Websecurity - Веб безпека

Американський суд зобов’язав виплатити 4,7 мільйони доларів в якості компенсації колишньому співробітнику урядової організації Sandia National Laboratories Шону Карпентеру. Карпентер, що займався аналітикою в області інформаційної безпеки, був незаконно звільнений з компанії в січні 2005 року. Причиною звільнення аналітика стало незалежне розслідування ряду хакерських атак, результати якого були передані у ФБР усупереч забороні з боку роботодавця.

Розмір компенсації, визначеної судом, більш ніж у 2 рази перевищує суму, що запитував сам позивач. Карпентер почав своє розслідування після того, як зафіксував атаки на мережі Sandia з Китаю, Румунії, Італії і ряду інших країн. Через деякий час аналітик виявив, що хакери намагаються зламати і мережі американських військових баз, після чого запросив у керівництва дозвіл на виявлення джерел атак. Але одержав відмову. Незважаючи на відсутність необхідного дозволу, Карпентер продовжив розслідування - за власною ініціативою і по запиту від ФБР.

Коли керівники Sandіa виявили, що їхній співробітник продовжує займатися розслідуванням, вони його звільнили. Представник компанії заявив, що керівництво розчароване рішенням суду і розглядає можливість подачі апеляції. Ніяких додаткових коментарів з боку колишнього роботодавця Карпентера не було.

Епізод з Карпентером підтверджує той факт, що в даний час фахівців, що забезпечують безпеку важливих мереж, при виконанні службових обов’язків очікують серйозні труднощі у вигляді обмежених ресурсів і бюрократичних процедур. Дані фактори вже довгий час не дозволяють дати гідну відповідь кіберзлочинцям, число і кваліфікація яких постійно зростають. Звичайно, до відповідальності притягнутий уже не один комп’ютерний зловмисник, однак більшість зусиль по їхньому виявленню і затримці витрачена групами ентузіастів.

По матеріалам http://www.uinc.ru.

21.12.2006

У жовтні, 10.10.2006, я знайшов декілька Cross-Site Scripting уразливостей на відомому проекті http://ipages.com.ua. Про що найближчим часом сповіщу адміністрацію проекту.

Детальна інформація про уразливості з’явиться пізніше. Треба дати час адмінам на реакцію з цього приводу.

14.03.2007

XSS:

• alert(document.cookie)
• alert(document.cookie)
• alert(document.cookie)
• alert(document.cookie)
• alert(document.cookie)
• alert(document.cookie)
• цікавий
• html включення

Дані уразливості досі не виправлені.

В даній добірці експлоіти в веб додатках:

• NetVIOS <= 2.0 (page.asp) Remote SQL Injection Vulnerability (деталі)
• mxBB calsnails Module 1.06 (mx_common.php) File Include Vulnerability (деталі)
• HTTP Upload Tool (download.php) Information Disclosure Vulnerability (деталі)
• Etomite CMS <= 0.6.1.2 (manager/index.php) Local File Include Exploit (деталі)
• phpwcms <= 1.2.6 (Cookie: wcs_user_lang) Local File Include Exploit (деталі)

Триває Місяць багів в PHP. І Стефан Ессер у власній манері продовжує інформувати про діри в безпеці PHP.

Як повідомляється на офіційному сайті Month of PHP Bugs, на тринадцятий день не було упобліковано деталей про жодну уразливість в PHP.

На сайті останній опублікований баг висить той самий PHP ext/filter Space Trimming Buffer Underflow Vulnerability, про який я писав учора. В чому там проблема Наврядчи баги закінчились, бо заздалегіть команда готувалась.

Невідомо, що думає собі Стефан і навіщо цей чорний гумор, коли люди чекають на баги. Тим паче сам же обіцяв щоденно публікувати деталі про нові уразливості, Ось такий він хитрий хлопець - перші 12 днів інформацію публікував, а на 13 день - дзуськи (фіга, тобто). Не можна так людей підводити, тих хто чекає на нові баги.

Звичайно, може в Стефана і його команди виникли якійсь проблеми (з Інтернетом, як у мене, або ще щось), але все рівно - проект підтримувати треба. Не можна так на півдорозі кидати його (ще й пів місяця не пройшло). Так що чекаємо на нову інформацію від даного проекту.

На початку місяця, 02.03.2007, вийшла нова версія WordPress 2.1.2. Як повідомляється на офіційному сайті в записі “WordPress 2.1.1 dangerous, Upgrade to 2.1.2″, всім користувачам WP 2.1.1 варто оновити свій движок до версії 2.1.2.

Не одразу звернув увагу на цю подію, в зв’язку з власними проблемами з доступом в інтернет, які в мене тягнуться вже 12 діб, і, як виявилося, у Вордпресовців також є проблеми. Про що і повідомляю, бо це доволі серйозна новина - жара ще та, не одним Місяцем багів в PHP видався березень.

Головна причина виходу цієї версії полягає в тому, що сервер розробників WordPress був похаканий (це міг зробити як зовнішній зловминсник, так й інсайдер) та були змінені деякі файли в архиві з версією WP 2.1.1 - зловмисник встановив секюріті експлоіт в код движка. Інші версії WP не постраждали. Тому всім хто викачував дану версію наприкінці лютого - початку березня дуже рекомендується оновити свій движок до версії 2.1.2.

Цей факт був виявлений одним з користувачів WP, який як раз скачав дану версію і примітив підозрілий та некоректний код. Й повідомив розробникам движка. Які перевіривши даний код прийшли до висновку, що це експлоіт і випустили оновлену версію WP. Даний експлоіт надавав зловмиснику можливість проводити Remote PHP Execution атаки.

В новій версії додані деякі невеличкі виправлення та повністю перевірений код всіх файлів движка. А також розробники WordPress провели додаткові організаційні та технічні заходи на сервері для покращення його безпеки. І вони обіцяють прикласти всіх зусиль, щоб подібне більше не повторилося (у тому числі і за рахунок постійної зовнішньої перевірки опублікованих дистрибутивів).

В даній добірці уразливості в веб додатках:

• DoSePa 1.0.4 (textview.php) Information Disclosure Vulnerability (деталі)
• ProFTPD 1.3.0 remote stack overflow (деталі)
• mg.applanix (RFI) (деталі)
• Dating Site [ login bypass & xss] (деталі)
• Infinitytechs Restaurants CM (деталі)
• 20/20 datashed [ multiples injection sql ] (деталі)
• Відмова в обслуговуванні в Novell eDirectory (деталі)
• PHP remote file inclusion vulnerability in Jupiter CMS (деталі)
• Vulnerability in eFiction before 2.0.7 (деталі)
• PHP-інклюдинг в Joomla Webring (деталі)

Триває Місяць багів в PHP. І відомий експерт Стефан Ессер продовжує інформувати про діри в безпеці PHP.

Як повідомляється на офіційному сайті Month of PHP Bugs, на дванадцятий день були упобліковані деталі про одну уразливість в PHP.

• PHP ext/filter Space Trimming Buffer Underflow Vulnerability (деталі), експлоіт: MOPB-19-2007.php

Дванадцятий день Місяця багів в PHP також видався цікавим. Чекаємо, що Стефан приготував нам на завтра.

20.12.2006

У жовтні, 10.10.2006, я знайшов Cross-Site Scripting уразливість на популярному проекті http://www.interface.ru. Про що найближчим часом сповіщу адміністрацію проекту.

Причому XSS не просто пасивна, а комбінована (пасивно-аквтивна). Що з більшою ефективністю (ніж пасивні XSS) може бути використано для віддаленого контролю.

Детальна інформація про уразливість з’явиться пізніше.

12.03.2007

XSS:

• alert(document.cookie)

Уразливість вже виправлена.

В даній добірці експлоіти в веб додатках:

• TorrentFlux <= 2.2 (Create/Exec/Delete) Multiple Remote Vulnerabilities (деталі)
• Links 1.00pre12 (smbclient) Remote Code Execution Exploit (деталі)
• Hpecs Shopping Cart Remote Login Bypass Vulnerability (деталі)
• BlogMe 3.0 (XSS/Auth Bypass) Multiple Remote Vulnerabilities (деталі)
• shambo2 Component For Mambo 4.5 Remote File Inclusion Exploit (деталі)

09.03.2007

Виявлена можливість доступу між доменами в Mozilla Firefox (cross domain access).

Уразливі версії: Firefox 2.0.

Використовуючи location.hostname=’evil.com\x00foo.example.com’ зловмисник може домогтися, щоб запит для foo.example.com пішов на evil.com, що дозволяє виконати доступ між доменами. Уразливість може бути використана для прихованого встановлення шкідливого коду.

• Firefox does not prompt users before saving bookmarklets (деталі)
• Mozilla Firefox mmight allow remote attackers to condut spoofing and phishing attacks (деталі)
• Mozilla based browsers allows remote attackers to bypass the same origin policy (деталі)

12.03.2007

Додаткова інформація:

• Mozilla Foundation Security Advisory 2007-07 (деталі)
• Firefox bookmark cross-domain surfing vulnerability (деталі)
• Firefox: about:blank is phisher’s best friend (деталі)
• Re: [Full-disclosure] Firefox: serious cookie stealing / same-domain bypass vulnerability (деталі)
• Firefox: serious cookie stealing / same-domain bypass vulnerability (деталі)

Про експлоіт для данної уразливості я розповім окремо.