Websecurity - Веб безпека

20.04.2007

У грудні, 22.12.2006, я знайшов Cross-Site Scripting уразливість на популярному проекті http://cool.a.ua. Про що найближчим часом сповіщу адміністрацію проекту.

Детальна інформація про уразливість з’явиться пізніше.

10.09.2007

XSS:

• alert(document.cookie)
• цікавий
• html включення (PR5)

Дана уразливість досі не виправлена.

В даній добірці експлоіти в веб додатках:

• Xoops Module Library (viewcat.php) Remote SQL Injection Exploit (деталі)
• Xoops Module Lykos Reviews 1.00 (index.php) SQL Injection Exploit (деталі)
• IBM Lotus Domino Server 6.5 PRE AUTH Remote Exploit (деталі)
• Really Simple PHP and Ajax (RSPA) 2007-03-23 RFI Vulnerability (деталі)
• PHP-Fusion Module Arcade 1.0 (cid) Remote SQL Injection Vulnerability (деталі)
• PHP-Fusion Module topliste 1.0 (cid) Remote SQL Injection Vulnerability (деталі)
• MapLab MS4W 2.2.1 Remote File Inclusion Vulnerability (деталі)
• HP Mercury Quality Center 9.0 build 9.1.0.4352 SQL Execution Exploit (деталі)
• MyBulletinBoard (MyBB) <= 1.2.3 Remote Code Execution Exploit (деталі)
• Site-Assistant <= v0990(paths[version])Remote File Include Exploit (деталі)

На відміну від раніше виявлених подібних додатків, таких як Mpack, ця утиліта самостійно виконує зараження і поширюється без втручання хакера. Поява цієї утиліти свідчить про існування в Інтернеті визначеної бізнес-моделі, заснованої на розробці і продажі подібних видів шкідливих додатків.

PandaLabs знайшла нову небезпечну утиліту, що встановлює шкідливе ПЗ за допомогою експлоітів. Ця утиліта зветься Icepack і продається в Інтернеті за $400. Вона доповнює ряд інших утиліт, виявлених PandaLabs останнім часом, таких як Mpack, XRummer, Zunker, Barracuda, Pinch та ін., підтверджуючи успішність і вигідність бізнесу, що розвивається в Інтернеті за рахунок створення і продажу шкідливих додатків.

Icepack заражає комп’ютери наступним чином: утиліта одержує доступ до визначеної веб-сторінки, куди вона додає iframe-лінку, що веде на сервер, на якому встановлений даний додаток. Основна відмінність Icepack полягає в тому, що таку лінку додає сама утиліта. Попереднім додаткам, таким як Mpack, були необхідні дії хакера, що вручну здійснював доступ до веб-сторінки, на які потім додавалася лінка.

При відвідуванні таких змінених сторінок користувачами, активується Icepack, що аналізує комп’ютер користувача на предмет уразливостей. При позитивному результаті, вона скачує з мережі експлоіт, необхідний для використання наявної в комп’ютері уразливості. Ще одна відмітна ознака Icepack - це те, що вона використовує експлоіти, що відповідають самим останнім виявленим уразливостям. Цьому є розумне пояснення - у такому випадку існує менша імовірність того, що користувачі вже обновили свої комп’ютери для виправлення останніх проломів безпеки.

Після цього кібер-злочинці можуть завантажувати на заражені комп’ютери будь-яке шкідливі програми. Якщо врахувати вартість утиліти, швидше за все вона буде завантажувати шкідливі коди, що найбільше часто використовуються для крадіжки конфіденційних даних і котрі дозволяють займатися онлайновим шахрайством (трояни, шпигунське ПЗ, боти тощо).

Інше нововведення в Icepack - це те, що вона поєднує у собі програму перевірки ftp та iframe. Перша допомагає кібер-злочинцям користуватися інформацією про облікові записи FTP, вкрадених із заражених комп’ютерів. Дані цих облікових записів проходять через спеціальну програму перевірки, щоб упевнитися в їхній дійсності. Утиліта додає в обліковий запис iframe-лінку, що веде до Icepack. Повторенням цього процесу додаток починає свій “життєвий цикл” заново.

По матеріалам http://www.securitylab.ru.

Вчора, 08.09.2007, вийшла нова версія WordPress 2.2.3 - оновлення для гілки WP 2.2.x.

WordPress 2.2.3 це секюріті та багфікс випуск для 2.2 серії. В даній версії було виправлено декілька багів та уразливостей. Зокрема була виправлена XSS уразливість (Users without unfiltered_html capability can post arbitrary html).

Усім користувачам Вордпреса (передусім гілки 2.2.x) рекомендується оновити движок до останньої версії.

В даній добірці уразливості в веб додатках:

• Cross-site scripting (XSS) vulnerability in Trac before 0.10.3.1 (деталі)
• Обхід захисту tor (protection bypass) (деталі)
• Python 2.5 (Modules/zlib) minigzip local buffer overflow vulnerability (деталі)
• XSS vulnerability in KDE HTML library (kdelibs), as used by Konqueror 3.5.5 (деталі)
• Open Conference Systems = 2.8.2 Remote File Inclusion (деталі)
• AdMentor (banners) admin SQL injection (деталі)
• local Calendar System v1.1 (lcStdLib.inc) Remote File Include (деталі)
• PHP remote file inclusion vulnerability in CyberBrau 0.9.4 (деталі)
• SQL-ін’єкція в системі управління змістом ConPresso CMS (деталі)
• PHP remote file inclusion vulnerability in AROUNDMe (деталі)
• Multiple PHP remote file inclusion vulnerabilities in PHPmybibli (деталі)
• PHP-інклюдинг в BasiliX (деталі)
• Міжсайтовий скриптінг і SQL-ін’єкція в OlateDownload (деталі)
• PostNuke <= 0.763 (PNSV lang) Remote Code Execution Exploit (деталі)
• Multiple PHP remote file inclusion vulnerabilities in Security Suite IP Logger in dwingmods for phpBB (деталі)

Деякий час тому в WordPress були знайдені дві уразливості (низького ризику, але тим не менш) - Full path disclosure та Table Prefix disclosure (даний тип уразливостей я називаю SQL DB Structure Extraction).

Full path disclosure та Table Prefix disclosure:
http://site/index.php?m[]=

Уразливі версії WordPress 2.1 Alpha 3 та WordPress =>2.0.6. Версії WordPress <=2.0.5 вразливі лише до Full path disclosure (як я перевірив). Дірка пов'язана з тим, що при некоректному параметрі m, WP виводить повідомлення про помилку.

По замовчуванню Вордпрес виводить повідомлення про помилки, тим самим створюючі витоки важливої інформації. Я вже писав про подібні уразливості в WordPress знайдені мною. В даному випадку треба або перевіряти параметр m, або відключити виведення даних повідомлень (і тим самим виправити чимало дірок в WP).

• Wordpress disclosure of Table Prefix Weakness (деталі)

Управління СБУ в Харківській області наприкінці липня 2007 року піймала користувача, що входив в Інтернет під чужими логіном і паролем.

Співробітниками СБУ була отримана інформація про те, що 23-літній житель Харкова, маркетолог-аналитік одного з приватних підприємств зі спеціальною технічною підготовкою, під виглядом комп’ютерного інженера шахрайським шляхом заволодів особистими реквізитами доступу до мережі Інтернет іншої комерційної структури. Після цього зловмисник через свій домашній телефон заходив до мережі Інтернет під логіном і паролем постраждалого абонента, наносячи йому матеріальний збиток.

Усвідомлюючи можливість викриття і намагаючись убезпечити себе, зловмисник власноручно знешкодив сліди протиправної діяльності на своєму комп’ютері, однак зроблені співробітниками УСБУ спеціальні дослідження й експертизи дозволили одержати беззастережні докази його провини.

Щодо комп’ютерного зловмисника порушена кримінальна справа по ознаках злочину, передбачена ч.1 ст.361 Кримінального кодексу України: несанкціоноване втручання в роботу електронно-обчислювальних машин (комп’ютерів), автоматизованих систем, комп’ютерних мереж чи мереж зв’язку.

По матеріалам http://ain.com.ua.

P.S.

Вже не в перший раз СБУшніки піймали хакера, що вкрав логін та пароль доступу до Мережі (хакерством це можна назвати лише з натяжкою, бо це ще примітив, забавки). СБУ трохи не тим займається і не тих шукає - замість пошуку таких жартівників, котрі крадуть реквізити доступу до Інтернет (і наносять мінімальні збитки), варто було б більше шукати тих діячив, хто краде величезні суми (і наносить людям і державі чималі збитки). А також займатися більш гучними випадками, наприклад знайти тих хакерів, що нападали на сайти політичних партій.

Але й цей хакер теж повинен був добре подумати спочатку. Не варто порушувати Кримінальний Кодекс.

18.04.2007

У грудні, 22.12.2006, я знайшов Cross-Site Scripting уразливість на популярному проекті http://work.a.ua. Про що найближчим часом сповіщу адміністрацію проекту.

Детальна інформація про уразливість з’явиться пізніше. Треба дати час адмінам на реакцію з цього приводу.

08.09.2007

XSS:

• alert(document.cookie)

Дана уразливість вже виправлена.

В даній добірці експлоіти в веб додатках:

• Xoops Module MyAds Bug Fix <= 2.04jp (index.php) SQL Injection Exploit (деталі)
• IBM Lotus Domino Server 6.5 (username) Remote Denial of Service Exploit (деталі)
• JSBoard 2.0.10 (login.php table) Local File Inclusion Vulnerability (деталі)
• phpBB MOD Forum picture and META tags 1.7 RFI Vulnerability (деталі)
• Xoops Module Repository (viewcat.php) Remote SQL Injection Exploit (деталі)
• Flexphpnews 0.0.5 (news.php newsid) Remote SQL Injection Vulnerability (деталі)
• CWB PRO 1.5 (INCLUDE_PATH) Remote File Inclusion Vulnerabilities (деталі)
• Xoops Module Tutoriais (viewcat.php) Remote SQL Injection Exploit (деталі)
• Xoops Module Core (viewcat.php) Remote SQL Injection Exploit (деталі)
• LushiNews <= 1.01 (comments.php) Remote SQL Injection Exploit (деталі)

Як повідомив RSnake в своєму записі Internal Info Leak Via Google Calendar, в сервісі Google Calendar існує витік інформації.

Для пошуку конфеденційної інформації потрібно використати деякі google dorks в пошуці в Календарі Гугла. Дана методика зветься Гугл хакінг, і в даному випадку пошук ведеться не в головній пошуковій системі, а у внутрішньому пошуці в Календарі (для чого потрібно залогінитися в свій гугловський акаунт).

В пості RSnak’а, а також в коментарях, наводяться наступні дорки для пошуку важливої інформації: passcode intranet, password intranet та username password. Перші два вже не працюють (Гугл пофіксив), а ось останній ще працює (і деякі логіни та паролі користувачів можна знайти). Від себе запропоную дорк “login password”, котрий видає ще більше інформації ніж попередній .

Цікава уразливість в даному сервісі Google. Котра може бути використана для пошуку конфеденційної інформації про користувачів, а також для пошуку таких даних, як логіни та паролі. Гуглу потрібно зайнятися безпекою сервіса Calendar, як і інших своїх сервісів, зокрема Blogspot.