Websecurity - Веб безпека

Після попереднього дослідження інфікованих сайтів, приведу нову інформацію про заражені сайти. Якщо минулого разу я навів приклади інфікованих як звичайних сайтів, так і gov-сайтів в Уанеті, то цього разу наведу приклади лише інфікованих недержавних сайтів.

Ось п’ятірка інфікованих сайтів в Уанеті:

• http://fsetyt.org.ua - інфекція була виявлена 21.12.2009. Частина цього сайта була внесена до переліку сайтів із підозрілою активністю 11 разів протягом останніх 90 днів. Зараз сайт не входить до переліку підозрілих.
• http://donnatravel.kiev.ua - інфекція була виявлена 14.12.2009. Частина цього сайта була внесена до переліку сайтів із підозрілою активністю 4 разів протягом останніх 90 днів. Зараз сайт не входить до переліку підозрілих.
• http://pp.ua - інфекція була виявлена 06.12.2009. Частина цього сайта була внесена до переліку сайтів із підозрілою активністю 15 разів протягом останніх 90 днів. Зараз сайт не входить до переліку підозрілих.
• http://energodar.zp.ua - інфекція була виявлена 03.10.2009. Зараз сайт не входить до переліку підозрілих.
• http://mobile.lviv.ua - інфекція була виявлена 19.12.2009. Частина цього сайта була внесена до переліку сайтів із підозрілою активністю 8 разів протягом останніх 90 днів. Зараз сайт входить до переліку підозрілих.

Нещодавно, 15.12.2009, вийшла Invision Power Board 3.0.5. В даній версії виправлені уразливості, зокрема XSS, LFI та SQL Injection, а також знайдені мною Cross-Site Scripting уразливості в IPB.

• Форум Invision Power Board (IP.Board) 3.0.5 (деталі)

Компанія ІBResource повідомляє про вихід російської версії IP.Board 3.0.5 (IPB). Ця версія включає виправлення уразливостей, а також багатьох помилок і поліпшення швидкості роботи форуму.

В даній добірці уразливості в веб додатках:

• WMI Mapper for HP Systems Insight Manager Running on Windows, Remote Unauthorized Access to Data, Local Unauthorized Access (деталі)
• FormMail 1.92 Multiple Vulnerabilities (деталі)
• User options changer (SQLi) EXPLOIT Bigace CMS stable release 2.5 (деталі)
• Belkin BullDog Plus UPS-Service Buffer Overflow Vulnerability (деталі)
• Drupal 6 CCK Module XSS Vulnerability (деталі)
• Novell GroupWise Web Access Multiple XSS (деталі)
• MULTIPLE SQL INJECTION VULNERABILITIES Flash Quiz Beta 2 (деталі)
• IPsession SQL Injection Vulnerability (деталі)
• Drupal 6.12 (core) User Module XSS Vulnerability (деталі)
• DMXReady Registration Manager Arbitrary File Upload Vulnerability (деталі)

This is English version of my XSS vulnerabilities in 8 millions flash files article.

I’ll continue a topic, which I started in 2008 in my article XSS vulnerabilities in 215000 flash files. That time I found hundreds of thousands flash files vulnerable to Cross-Site Scripting attacks. After previous article, published at 12.11.2008, I continued researches and found, that much more flash files - millions flash files - were vulnerable to XSS attacks. As flash files in different global and local banner systems, as flash files at individual sites.

Vulnerable ActionScript code.

As I already wrote in previous article, vulnerability is in the next AS code. As with setting second parameter in function getURL (target), as without it.

getURL(_root.clickTAG, "_blank");

But, as my researches showed, in different flash files (at different sites and banner systems) different parameters are using for passing of a site’s address to flash file. Besides clickTAG there are also using url and other parameters.

getURL(_root.url, "_blank");

Attack occurs via passing of XSS code to flash file in clickTAG, url or other parameter:

http://site/flash.swf?clickTAG=javascript:alert('XSS')

http://site/flash.swf?url=javascript:alert('XSS')

There are also flash files which are using two parameters, particularly clickTAG and TargetAS, with the next AS code:

getURL(_root.clickTAG, _root.TargetAS);

Attack occurs with using of parameters clickTAG and TargetAS:

http://site/flash.swf?clickTAG=javascript:alert('XSS')&TargetAS=

After click on flash the transfer of string to function getURL occurs, which passed to flash via appropriate parameter. Thus can be executed JavaScript code, which was passed to flash. So it’s strictly social XSS.

Prevalence of the problem.

Vulnerability exists in ActionScript code for counting of clicks in flash banners. And taking into account that such code is using for many years in different banner systems of Internet (including widespread instructions for developing of flash banners with using of vulnerable AS code), so the problem is widespread enough. For example, I registered at banner.kiev.ua already in 2000, and, as far as I remember, already at that time they had recommendations at the site with using of vulnerable AS code.

So problem is concerned with faulty recommendations for developing of flash banners with possibility of counting of clicks. And it’s concerned millions flash banners in the Net.

Such vulnerabilities exist in many banner system, as global, as local ones. Particularly these vulnerabilities I found in systems phpAdsNew, OpenAds and OpenX (at many sites on these engines), and also in banner system www.banner.kiev.ua and in other banner systems of Uanet an Runet.

There are a lot of potentially vulnerable flash files in Internet (according to Google):

filetype:swf inurl:clickTAG

About 3960000 results. At 12.11.2008 there were about 215000. Growth in 18,42 times for this time.

filetype:swf inurl:url

About 4050000 results. At 12.11.2008 there were about 996000. Growth in 4,07 times for this time.

In total it’s about 8010000 (more than 8 millions) flash files which are potentially vulnerable to XSS attacks. Not all of these flashes are vulnerable, but many of them. And these are only those flash files, which were indexed by Google, and actually there can be much more of them.

Among them there are about 12400 + 275 gov-sites - the sites of state institutions of different countries.

Note, that some of these flashes are using method #1 for protection against XSS, which is mentioned bellow. But it’s small percent of flashes - mostly they are using vulnerable AS code.

Besides, similar Strictly social XSS vulnerability I found at 15.03.2009 in plugin WP-Cumulus for WordPress (in file tagcloud.swf).

filetype:swf inurl:tagcloud.swf

About 34000000 results. I.e. another 34 millions flashes which are potentially vulnerable to XSS attacks . Add 34 millions to 8 millions and result 42 millions of vulnerable flash files!

Nuances of work in different browsers.

In flashes with set target = “_blank” it’s not possible to get to cookies in Internet Explorer (particularly IE6), Mozilla and Google Chrome. But it’s possible to get to cookies in Firefox 3, Opera 9.52 and possibly in other browsers.

Also in case of set target = “_blank”, JS-code doesn’t work in browsers IE6 and Google Chrome.

If target is unspecified, or if target set to other than “_blank” (including via parameter TargetAS, if it’s using in flash), JS-code works in all browsers. And it’s possible to get to cookies in all browsers.

Examples of vulnerable flash files.

Among sites with flashes vulnerable to XSS there is server.cpmstar.com (attack via parameter clickTAG):

• alert(’XSS’)

Among gov-sites as an example of flash at www.fatherhood.gov (attack via parameter clickTag):

• alert(’XSS’)

Example of vulnerable flash at www.banner.kiev.ua (attack via parameter url):

• alert(’XSS’)

Example of vulnerable flash at www.wie-man-sieht.net, which allows to get to cookies in all browsers (attack via parameter url):

• alert(’XSS’)
• alert(document.cookie)

Example of vulnerable flash at www.adspeed.com, which allows to get to cookies in all browsers (attack via parameters clickTAG and TargetAS):

• alert(’XSS’)
• alert(document.cookie)

Protection of flash files against XSS attacks.

To prevent such XSS attacks via flash files it’s needed to not use vulnerable AS code and it’s needed to use one of the next methods.

1. Instead of vulnerable AS code it’s possible to use more secure code. E.g. code which is mentioned at Adobe’s site - Designer’s Guide: Building Macromedia Flash Banners with Tracking Capabilities.

on (release) {
if (clickTAG.substr(0,5) == "http:") {
getURL(clickTAG);
}
}

It’s code on button. If using of code on frame, then for button “button” code will be the next:

_root.button.onRelease = function () {
if (clickTAG.substr(0,5) == "http:") {
getURL(clickTAG);
}
}

But this method isn’t protecting against URL spoofing, which allows to conduct of redirection attacks to arbitrary (including malicious) sites. So it’s better to use more secure AS code.

2. To use direct URL in flash (http://site), without using of parameter clickTAG.

3. If needed to count clicks, then it’s possible to use URL to banner system (http://banner/click?id=1), which will redirect to necessary site.

For example, in my system MustLive Banner System directly in the interface I’m recommending to use for flash banners above-mentioned methods #2 and #3, so there is no this problem with XSS via flash files in it. So attend to your flash files and don’t allow such vulnerabilities in them.

В своїй статті Використання Safe Browsing від Google я розповідав про розроблену мною методику пошуку інфікованих сайтів (які були взломані і на них були розміщені шкідливі коди, або адміни цих сайтів самі розмістили шкідливі коди). Дана методика дозволяє знайти сайти, що були інфіковані на протязі останніх 90 днів.

Наведу вам приклади інфікованих українських сайтів.

Ось п’ятірка інфікованих сайтів в Уанеті:

• http://sputnikovoe-tv.com.ua - інфекція була виявлена 16.10.2009. Частина цього сайта була внесена до переліку сайтів із підозрілою активністю 1 раз протягом останніх 90 днів. Зараз сайт не входить до переліку підозрілих.
• http://seho.org.ua - інфекція була виявлена 20.12.2009. Частина цього сайта була внесена до переліку сайтів із підозрілою активністю 15 разів протягом останніх 90 днів. Зараз сайт входить до переліку підозрілих.
• http://cifraweek.com.ua - інфекція була виявлена 01.11.2009. Частина цього сайта була внесена до переліку сайтів із підозрілою активністю 3 рази протягом останніх 90 днів. Зараз сайт не входить до переліку підозрілих.
• http://franko.lviv.ua - інфекція була виявлена 18.12.2009. Частина цього сайта була внесена до переліку сайтів із підозрілою активністю 1 раз протягом останніх 90 днів. Зараз сайт не входить до переліку підозрілих.
• http://ivax.ua - інфекція була виявлена 30.11.2009. Частина цього сайта була внесена до переліку сайтів із підозрілою активністю 1 раз протягом останніх 90 днів. Зараз сайт не входить до переліку підозрілих.

Як видно власники сайтів зовсім не слідкують за їх безпекою. Що призводить до розміщення на них вірусів і про подібні випадки я вже неодноразово писав.

А ось п’ятірка інфікованих gov-сайтів в Уанеті:

• http://man.gov.ua - інфекція була виявлена 17.12.2009. Зараз сайт не входить до переліку підозрілих.
• http://kyivobljust.gov.ua - інфекція була виявлена 14.10.2009. Частина цього сайта була внесена до переліку сайтів із підозрілою активністю 1 раз протягом останніх 90 днів. Зараз сайт не входить до переліку підозрілих.
• http://dpa-zp.gov.ua - інфекція була виявлена 23.11.2009. Частина цього сайта була внесена до переліку сайтів із підозрілою активністю 3 рази протягом останніх 90 днів. Зараз сайт не входить до переліку підозрілих.
• http://lisproekt.gov.ua - інфекція була виявлена 19.12.2009. Частина цього сайта була внесена до переліку сайтів із підозрілою активністю 1 раз протягом останніх 90 днів. Зараз сайт входить до переліку підозрілих.
• http://dpi.gov.ua - інфекція була виявлена 15.12.2009. Частина цього сайта була внесена до переліку сайтів із підозрілою активністю 3 рази протягом останніх 90 днів. Зараз сайт не входить до переліку підозрілих.

Як видно адміністратори державних сайтів також зовсім не слідкують за їх безпекою. Як цього не роблять і СБУ та ДСТСЗІ.

В даній добірці експлоіти в веб додатках:

• VT-Auth 1.0 (zHk8dEes3.txt) File Disclosure Vulnerability (деталі)
• MyCars Automotive (Auth Bypass) SQL Injection Vulnerability (деталі)
• Joomla Component MooFAQ (com_moofaq) LFI Vulnerability (деталі)
• httpdx <= 0.8 FTP Server Delete/Get/Create Directories/Files Exploit (деталі)
• Interlogy Profile Manager Basic Insecure Cookie Handling Vulnerability (деталі)
• Virtue Shopping Mall (cid) Remote SQL Injection Vulnerability (деталі)
• Virtue Book Store (cid) Remote SQL Injection Vulnerability (деталі)
• Virtue Classifieds (category) SQL Injection Vulnerability (деталі)
• Shop Script Pro 2.12 Remote SQL Injection Exploit (деталі)
• Joomla Component com_portafolio (cid) SQL injection Vulnerability (деталі)
• Automated Link Exchange Portal 1.3 Multiple Remote Vulnerabilities (деталі)
• DM FileManager 3.9.2 Insecure Cookie Handling Vulnerability (деталі)
• Grestul 1.2 Remote Add Administrator Account Exploit (деталі)
• Virtue News (SQL/XSS) Multiple Remote Vulnerabilities (деталі)
• Exploits BLIND SQL INJECTION Leap CMS 0.1.4 (деталі)

Коли я виявив можливість використання Safe Browsing від Google для перевірки сайтів на інфікованість, першим ділом я провів діагностику декількох популярних веб сайтів. І я отримав доволі цікаві результати .

Серед найперших перевірених мною сайтів були google.com, yahoo.com та blogspot.com, які виявилися інфікованими (за останні 90 днів). Те, що blogspot.com (це один з доменів сервіса Гугла Blogger) виявився інфікованим, це мене не здивувало, бо я ще торік писав про те, що даний ресурс Google використовується для розповсюдження шкідливих кодів (по даним Sophos), а ось те, що сам google.com був інфікований, а також yahoo.com, це вже новина.

Діагностична сторінка Google Safe Browsing для google.com повідомляє про те, що:

Цей сайт наразі не входить до переліку підозрілих.

Частина цього сайта була внесена до переліку сайтів із підозрілою активністю 1 разів протягом останніх 90 днів.

А також:

З 70146 сторінок, які ми перевірили на сайті протягом останніх 90 днів, з 4 сторінок без дозволу користувача було завантажено і встановлено зловмисне програмне забезпечення. Останнього разу Google відвідував цей сайт 2009-12-19, і підозрілий уміст був знайдений на цьому сайті 2009-12-16.

Malicious software includes 7 scripting exploit(s), 1 trojan(s). Successful infection resulted in an average of 1 new process(es) on the target machine.

Також інформація про те, що зловмисне програмне забезпечення присутнє в 14 доменах, що 7 доменів є посередниками поширення зловмисних програм серед відвідувачів сайта, а також:

За останні 90 днів сайт google.com був посередником зараження 10 сайтів, включаючи apostei.net/, www.jazaan.com.googlepages.com/, debsh2.mihanblog.com/.

Так що сайт Гугла був нещодавно інфікований (16.12.2009). Після чого він був очищений від інфекції, але факт залишається фактом.

Таким чином Information Leakage в даному сервісі Гугла призвела до витоку інформації про зараженність власного сайта. Це такий гумор у Гугла - оприлюднювати інформацію про інфікованість власних сайтів . З іншої сторони - це добре, що Гугл чесно це визнав.

Діагностична сторінка Google Safe Browsing для yahoo.com повідомляє про те, що:

Цей сайт наразі не входить до переліку підозрілих.

Частина цього сайта була внесена до переліку сайтів із підозрілою активністю 2 разів протягом останніх 90 днів.

А також:

З 17710 сторінок, які ми перевірили на сайті протягом останніх 90 днів, з 15 сторінок без дозволу користувача було завантажено і встановлено зловмисне програмне забезпечення. Останнього разу Google відвідував цей сайт 2009-12-19, і підозрілий уміст був знайдений на цьому сайті 2009-12-13.

Malicious software includes 113 scripting exploit(s), 58 trojan(s), 8 exploit(s). Successful infection resulted in an average of 2 new process(es) on the target machine.

Також інформація про те, що зловмисне програмне забезпечення присутнє в 25 доменах, що 13 доменів є посередниками поширення зловмисних програм серед відвідувачів сайта.

Як видно, Yahoo пішов по стопам Гугла.

Діагностична сторінка Google Safe Browsing для blogspot.com повідомляє про те, що:

Цей сайт наразі не входить до переліку підозрілих.

Частина цього сайта була внесена до переліку сайтів із підозрілою активністю 462 разів протягом останніх 90 днів.

А також:

З 2112321 сторінок, які ми перевірили на сайті протягом останніх 90 днів, з 19127 сторінок без дозволу користувача було завантажено і встановлено зловмисне програмне забезпечення. Останнього разу Google відвідував цей сайт 2009-12-19, і підозрілий уміст був знайдений на цьому сайті 2009-12-19.

Malicious software includes 21423 worm(s), 11635 trojan(s), 3186 scripting exploit(s). Successful infection resulted in an average of 16 new process(es) on the target machine.

Також інформація про те, що зловмисне програмне забезпечення присутнє в 3825 доменах, що 1592 домена є посередниками поширення зловмисних програм серед відвідувачів сайта, а також:

За останні 90 днів сайт blogspot.com був посередником зараження 23 сайтів, включаючи euroddl.com/, alfawarez.com/, ddlspot.com/.

А також:

Так, цей сайт поширював зловмисне програмне забезпечення протягом останніх 90 днів. Він заразив 9 домен(-ів), включаючи tisuituputih.blogspot.com/, enfermagemsu.blogspot.com/, elltoro.com/.

Після написання новини про те, що понад 100000 сайтів заражені шкідливими iframe, я провів дослідження і знайшов цікавий сервіс Safe Browsing від Google (який є частиною вбудованої в пошуковець антивірусної системи). Даний сервіс дозволяє дізнатися інформацію про будь-який сайт просканований Гуглом, чи він є інфікованим і чи він був інфікованим на протязі останніх 90 днів.

Google є один з небагатьох пошуковців, що вже багато років проводить власні дослідження зараженності веб сайтів, про що періодично публікує звіти, чи заяви стосовно найбільш гучних випадків, як у вищезгаданій новині. А також повідомляє користувачів власної пошукової системи про небезпечність інфікованих сайтів у результатах пошуку. І сервіс Safe Browsing дозволяє отримати доступ до даних Гугла стосовно зараженності сайтів в Інтернеті.

Щоб скористатися сервісом Safe Browsing, потрібно зайти на сторінку діагностики сайта (в URL потрібно вказати домен сайта, інформацію по якому ви хочете отримати):

http://google.com/safebrowsing/diagnostic?site=site.com

І ознайомившись з цим сервісом я розробив метод, за допомогою якого я зможу використовувати Safe Browsing для пошуку інфікованих сайтів (окрім безпосереднього пошуку в Гуглі та знаходженні повідомлень про зараженність сайтів).

Щоб виявити кількість сайтів занесених Гуглом в базу інфікованих, потрібно використати наступні запити:

site:google.com/safebrowsing/

Всього в індексі Гугла до 1570000 сайтів занесених в базу Safe Browsing. Раз вони туди були занесені, значить вони або зараз інфіковані, або були інфіковані раніше.

site:google.com/safebrowsing/ ua

В Уанеті за даними Гугла до 8970 сайтів занесених в базу Safe Browsing.

Скільки сайтів інфіковано за даними Гугла:

site:google.com/safebrowsing/ “suspicious activity”

Всього до 29900 сайтів. З них до 817 gov-сайтів.

Скільки сайтів інфіковано в Уанеті за даними Гугла:

site:google.com/safebrowsing/ ua “suspicious activity”

Всього до 555 сайтів. З них до 84 державних сайтів.

Про кіберепідемію, що швидко поширюється і уражає сайти, попереджають фахівці ScanSafe. На заражених ресурсах можна підхопити шкідливу програму, що впроваджується на комп’ютер користувача.

Перші ознаки цієї кіберінфекції були зафіксовані ScanSafe наприкінці осені, а тепер темпи її поширення істотно зросли. Усього за пару днів кількість заражених сайтів збільшилася на 15 тисяч.

Як повідомляє Google, зараз в Інтернеті нараховується близько 136 тисяч сайтів, у коді сторінок яких захований цей небезпечний скрипт. У той же час Yahoo! приводить набагато більші цифри, повідомляючи про більш ніж 300 тисяч інфікованих цією заразою сайтів.

У ScanSafe не дають докладних коментарів про процес зараження, відзначаючи лише те, що відбувається це у вигляді SQL-ін’єкції, і більше всього уражено китайських ресурсів і веб сайтів із зони .com.

Слід зазначити, що, незважаючи на активне поширення шкідливого скрипта, спосіб зараження комп’ютерів з ОС Windows досить простий. Кіберінфекція завантажується через один-єдиний домен 318x.com, хоча для цього і використовуються приховані iframe і декілька редиректів. Утім, це дуже розповсюджена практика.

Проникнувши в систему, шкідливий код завантажує бекдор сімейства Buzus. Який, як правило, використовується для одержання даних банківських карт та інших видів шахрайства, що стосуються банківських операцій.

По матеріалам http://itua.info.

В даній добірці уразливості в веб додатках:

• HP OpenView Network Node Manager (OV NNM), Remote Denial of Service (DoS), Execute Arbitrary Code (деталі)
• HP OpenView Network Node Manager (OV NNM), Remote Denial of Service (DoS) (деталі)
• Vulnerabilities in squirrelmail (деталі)
• (GET var ‘member’) BLIND SQL INJECTION EXPLOIT FAMILY CONNECTIONS <= v1.9 (деталі)
• maxcms2.0 creat new admin exploit (деталі)
• Syhunt: A-A-S (Application Access Server) Multiple Security Vulnerabilities (деталі)
• AjaxTerm session id collision (деталі)
• (POST var ‘rating’) BLIND SQL INJECTION microTopic v1 Initial Release (деталі)
• Bitweaver <= 2.6 /boards/boards_rss.php / saveFeed() remote code execution exploit (деталі)
• Trend Micro Products Web Management Authentication Bypass (деталі)