Архів за Листопад, 2009

Міжнародний день захисту інформації

22:47 30.11.2009

Сьогодні, 30 листопада, у світі відзначається Computer Security Day - Міжнародний день захисту інформації. З чим вас і вітаю ;-) .

Його ціль - нагадати людям про необхідність захисту своїх комп’ютерів і інформації, що знаходиться в них. Щорічно День проводиться під визначеним девізом, що розміщується на плакати й іншу друковану продукцію, що випускається до свята. Девізом 2009 р. став слоган “Керування ризиком”.

Міжнародний день захисту інформації був оголошений Асоціацією комп’ютерного обладнання в 1988 р. Проголошуючи цей День, Асоціація хотіла нагадати усім про необхідність захисту комп’ютерної інформації і звернути увагу виробників та користувачів обладнання і програмних засобів на проблеми безпеки.

Проголошення Міжнародного дня захисту інформації саме в 1988 р. було не випадковим: саме в цей рік була зафіксована перша масова комп’ютерна епідемія - епідемія хробака Морріса, що одержав назву по імені свого творця. Саме тоді фахівці задумалися про необхідність комплексного підходу до забезпечення інформаційної безпеки. Але прототип першого комп’ютерного вірусу з’явився вже в 1983 р.

По матеріалам http://ain.ua.

Уразливості в Sage та infoRSS розширеннях Firefox

19:29 30.11.2009

Після попередніх численних уразливостех в розширеннях Mozilla Firefox, виявлені уразливості в нових розширеннях. Цього разу виявлені уразливості міжконтекстного скриптінга в розширеннях Sage та infoRSS до Firefox.

Уразливі продукти: плагіни Sage 1.4 та infoRSS 1.1 до Mozilla Firefox.

Уразливості в розширеннях дозволяють віддаленому користувачу скомпрометувати цільову систему.

  • Межконтекстный скриптинг в Sage расширении к Firefox (деталі)
  • Межконтекстный скриптинг в infoRSS расширении к Firefox (деталі)

Добірка уразливостей

16:11 30.11.2009

В даній добірці уразливості в веб додатках:

  • Cisco Unified Communications Manager Denial of Service and Authentication Bypass Vulnerabilities (деталі)
  • Exjune Guestbook v2 Remote Database Disclosure Exploit (деталі)
  • Directory traversal vulnerability in Horde (деталі)
  • Cross-site scripting (XSS) vulnerability in Horde Application Framework (деталі)
  • Cross-site scripting (XSS) vulnerability in Horde 3.2 and Turba 2.2 (деталі)
  • New pcre3 packages fix arbitrary code execution (деталі)
  • Multiple Vulnerabilities in Novell Teaming (деталі)
  • Phorum < 5.2.10 Cross-Site Scripting/Request Forgery (деталі)
  • Geeklog <= 1.5.2 savepreferences()/*blocks[] remote sql injection exploit (деталі)
  • webSPELL 4.2.0c XSS (BYPASS BBCODE) COOKIES STEALING VULNERABILITY (деталі)

Fingerprinting of Apache web server

22:41 28.11.2009

This is English version of my Fingerprinting of Apache web server article.

Already at 10.09.2006 I created method of fingerprinting of Apache web server. This method based on feature of Apache, which I found at that time during security researches at my localhost (on Apache 1.3.23).

Feature of Apache.

There is interesting feature of Apache web server, which lie in that for accessing to file it’s possible to not set its extension. As I found recently, this future concerned with MultiViews option (if it’s turned on, which is by default).

I.e. for accessing to file robots.txt at the site, request can be made to file robots.txt:

http://site/robots.txt

Or request can be made to file robots (without extension):

http://site/robots

I.e. with making of request to file without setting of its extension, Apache will show file (which can have arbitrary extension at the server) after making of auto-addition of extension.

At that it concerns only those extensions, which is known by Apache. I.e. those ones, MIME type of which is known by Apache (which sets in settings of web server, particularly in mime.types). Order of auto-addition of extensions also sets in settings of web server.

For example, according to settings of my Apache, if to place test.html, test.txt and test.xml at the server, then at request to file test:

http://site/test

Content of test.xml will be shown, i.e. xml extension is going first. Html extension is going next and after that is txt extension.

Fingerprinting of Apache.

This feature can be used for identification of Apache.

For this it’s needed to find any working file at the server, which name and extension is known. For example, page.html. And after that to send two requests: http://site/page.html and http://site/page.

If in both cases there will be shown content of the same file and, which is the most important, there will be no error 404, then this web server is Apache.

Searching for hidden information.

Also this feature can be used for searching for hidden information at the sites. On which this feature of Apache will lead to information leakage.

For example, if there is a file secret.ext at the site, which extension (ext) can be complex (non-standard), or can be standard. To find this file there is no need to guess its full name (with extension), and it’ll be enough to guess only name without extension. Which allows to find this hidden file much faster.

http://site/secret

I have happened to use this feature of Apache on own experience during security audit to find hidden information at the site, admin of which didn’t expect that somebody would find this information.

Affected versions.

This feature works in Apache 1.x - tested in Apache 1.3.23 and Apache 1.3.37. Also it works in Apache 2.x, but I haven’t happened to meet such sites on Apache 2.x. So all versions of Apache with turned on MultiViews have this feature.

For example, Google also isn’t using extensions in some scripts at their sites - http://www.google.com/search - but they are using server GWS and it’s there such name set for web application. Besides Apache I haven’t happened to meet other web servers with such feature.

Уразливості на www.helsinki.org.ua

20:08 28.11.2009

27.07.2009

У грудні, 03.12.2008, я знайшов Full path disclosure та Cross-Site Scripting уразливості на проекті http://www.helsinki.org.ua. Про що найближчим часом сповіщу адміністрацію проекту.

Детальна інформація про уразливості з’явиться пізніше.

28.11.2009

Full path disclosure:

http://www.helsinki.org.ua/index.php?id=-

http://www.helsinki.org.ua/index.php?print=-

http://www.helsinki.org.ua/inc/creator.php

http://www.helsinki.org.ua/inc/data/page.php

XSS:

Дані уразливості вже виправлені, але не всі - перші дві Full path disclosure ще не виправлені.

Добірка експлоітів

16:13 28.11.2009

В даній добірці експлоіти в веб додатках:

  • Dana Portal Remote Change Admin Password Exploit (деталі)
  • DOURAN Portal <= 3.9.0.23 Multiple Remote Vulnerabilities (деталі)
  • ClanWeb 1.4.2 Remote Change Password / Add Admin Exploit (деталі)
  • httpdx <= 0.5b FTP Server (USER) Remote BOF Exploit (SEH) (деталі)
  • httpdx <= 0.5b FTP Server (CWD) Remote BOF Exploit (SEH) (деталі)
  • Joomla com_gsticketsystem (catid) Blind SQL Injection Exploit (деталі)
  • VidShare Pro Arbitrary Shell Upload Vulnerability (деталі)
  • PHP Article Publisher Remote Change Admin Password Exploit (деталі)
  • DGNews 3.0 Beta (id) Remote SQL Injection Vulnerability (деталі)
  • MaxCMS 2.0 (inc/ajax.asp) Remote SQL Injection Vulnerability (деталі)
  • Jieqi CMS <= 1.5 Remote Code Execution Exploit (деталі)
  • LightOpenCMS 0.1 (id) Remote SQL Injection Vulnerability (деталі)
  • Mereo 1.8.0 (Get Request) Remote Denial of Service Exploit (деталі)
  • PAD Site Scripts 3.6 Insecure Cookie Handling Vulnerability (деталі)
  • glFusion <= 1.1.2 COM_applyFilter()/cookies remote blind sql injection exploit (деталі)

Визначення веб сервера Apache

22:44 27.11.2009

Ще 10.09.2006 я розробив методику визначення веб сервера Apache (fingerprinting). Дана методика базується на особливості Apache, яку я тоді, під час секюріті досліджень, виявив в себе на localhost (на Apache 1.3.23).

Особливість Apache.

Цікава особливість веб сервера Apache полягає в тому, що для доступу до файла, можна не вказувати його розширення. Як я нещодавно вияснив, ця особливість пов’язана з опцією MultiViews (якщо вона ввімкнена, що є по замовчуванню).

Тобто для доступу до файла robots.txt на сайті, можна зробити запит до файла robots.txt:

http://site/robots.txt

Або можна зробити запит до файла robots (без розширення):

http://site/robots

Тобто зробивши запит до файла без вказання його розширення, Апач виведе файл (який може мати довільне розширення на сервері) зробивши автодоповнення розширення.

При цьому це стосується лише тих розширень, які знає Апач. Тобто тих, MIME type яких відомий Апачу (що задається в налаштуваннях веб сервера, зокрема в mime.types). Порядок підстановки розширень також задається налаштуваннями веб сервера.

Наприклад, відповідно до налаштуваннь мого Apache, якщо на сервері розмістити test.html, test.txt і test.xml, то при запиті до файла test:

http://site/test

Виведеться зміст test.xml, тобто першим йде розширення xml. Наступним йде розширення html і потім вже розширення txt.

Визначення Apache.

Дану особливість можна використати для ідентифікації Apache.

Для цього потрібно виявити будь-який робочий файл на сервері, ім’я і розширення якого відомі. Наприклад, page.html. І потім послати два запити: http://site/page.html і http://site/page.

Якщо в обох випадках буде виведений зміст того ж самого файлу і, що є найбільш важливим, не буде помилки 404, значить цей веб сервер є Apache.

Пошук прихованої інформації.

Також дану особливість можна використати для пошуку прихованої інформації на сайтах. На яких дана особливість Apache призведе до витоку інформації.

Наприклад, якщо на сайті є файл secret.ext, розширення якого (ext) може бути складним (нестандартним), а може бути й стандартним. Для виявлення цього файлу не потібно вгадувати його повне ім’я (з розширенням), а достатньо буде вгадати лише ім’я без розширення. Що дозволить значно швидше виявити цей прихований файл.

http://site/secret

На власному досвіді під час секюріті аудиту доводилося використовувати дану особливість Апача для виявлення секретної інформації на сайті, адмін якого не сподівався, що хтось знайде цю інформацію.

Вразливі версії.

Дана особливість працює в Apache 1.x - перевірено в Apache 1.3.23 і Apache 1.3.37. Також вона працює в Apache 2.x, але мені не доводилося зустрічати подібні сайти на Apache 2.x. Так що всі версії Apache з ввімкненим MultiViews мають дану особливість.

Наприклад, Гугл також не використовує розширення у деяких скриптів на своїх сайтах - http://www.google.com/search - але в них сервер GWS і це в них таке ім’я задане для веб додатка. Окрім Apache мені не доводилося зустрічати інших веб серверів з подібною особливістю.

Листопадовий вівторок патчів від Microsoft

20:07 27.11.2009

В листопаді місяці Microsoft випустила 6 патчів. Що значно менше ніж у жовтні.

У листопадовому “вівторку патчів” Microsoft випустила черговий пакет оновлень, до якого увійшло 6 бюлетенів, що закривають останні виявленні уразливості. З яких 3 критичних та 3 важливих.

Найбільш небезпечною є критична уразливість, експлуатація якої відбувається при перегляді спеціального шрифту Embedded OpenType. Інша критична уразливість наявна в інтерфейсі Web Services on Devices Application Programming Interface (WSDAPI) і виявляється при передачі шкідливих пакетів по локальній мережі. Остання уразливість міститься в License Logging Server і так само діє при передачі пакета по мережі, але не обов’язково локальній.

Два важливих патчі призначенні для Office - один бюлетень випривляє Excel, а інший поліпшує безпеку Word. Останній патч запобігає DoS-атакам через Active Directory Lightweight Directory Service (AD LDS).

По матеріалам http://news.techlabs.by.

Добірка уразливостей

17:34 27.11.2009

В даній добірці уразливості в веб додатках:

  • Multiple vulnerabilities in Double-Take 5.0.0.2865 (деталі)
  • Asbru Web Content Management Vulnerabilities (деталі)
  • New moodle packages fix file disclosure (деталі)
  • CA ARCserve Backup Discovery Service Denial of Service Vulnerability (деталі)
  • net2ftp <= 0.97 Cross-Site Scripting/Request Forgery (деталі)
  • Adgregate ShopAd widget validation is vulnerable to replay attack (деталі)
  • SASPCMS Multiple Vulnerabilities (деталі)
  • AdaptBB 1.0 Beta Multiple Remote Vulnerabilities (деталі)
  • Geeklog <=1.5.2 'SESS_updateSessionTime()' vulnerability (деталі)
  • Geeklog <=1.5.2 SEC_authenticate()/PHP_AUTH_USER sql injection exploit (деталі)

DDoS атаки на обмінники електронних валют

22:40 26.11.2009

В цьому році в Уанеті, зокрема в другому півріччі, дуже збільшилася хакерська активність в політичній сфері. Я вже писав про взломи сайтів політичних партій, політиків та кандидатів в президенти (сайтів Яценюка і Гриценка), що зачастішали на передодні президентських виборів. А вчора піддався нападу сайт Президента України.

Але не тільки політичними атаками обмежуються життя в Уанеті, і окрим них також проводяться атаки в економічній сфері. Зокрема я зафіксував серію DDoS атак на обмінники електронних валют.

В другому півріччі мною зафіковані наступні DDoS атаки на обмінники електронних валют:

  • www.wmzua.com - 26.07.2009
  • www.intexchange.com - 29.09.2009
  • obmen.zt.ua - 02.11.2009

Атаки були проведені невідомими зловмисниками. Цілком імовірно, що атаки були замовлені конкурентами (що заздрять успішному бізнесу інших обмінників). Так що не тільки політикою живе Уанет, а й економікою теж.