Websecurity - Веб безпека

Після попереднього дослідження похаканих сайтів, приведу нову інформацію про взломані сайти. З числа українських сайтів.

• http://pozitifa.net (хакером Altair-Z) - 18.01.2010, зараз сайт вже виправлений адмінами
• http://archtech.com.ua (хакерами з kasper security-team) - 01.12.2009, зараз сайт не працює
• http://recepti.org.ua (хакером Azko) - причому спочатку сайт був взломаний 19.01.2010 Azko, а 22.01.2010 взломаний FuaDanger34. Схоже, що сайт постійно хакається, як і деякі інші сайти в Уанеті
• http://www.slovoprosvity.org.ua (хакером Dr.HaCkEr) - 23.12.2009, зараз сайт не працює (закритий на технічне обслуговування
• http://www.sc-collection.com.ua (хакером Dr.MiLiTaN-53) - 20.01.2010, зараз сайт вже виправлений адмінами

В січні місяці Microsoft випустила 1 патч. Що значно менше ніж у грудні.

У січневому “вівторку патчів” Microsoft випустила черговий пакет оновлень, до якого увійшов лише один патч. Даний патч адресований уразливості, що дозволяє віддалено перехоплювати керування комп’ютером і запускати на виконання довільний код. Для систем Windows 7, Vista, XP, Server 2003 і Server 2008 зазначена низька потенційна небезпека.

Також у січні, вже після чергового вівторку пачтів, Microsoft випустила виправлення для численних уразливостей в Microsoft Internet Explorer (не відкладуючи до наступного місяця). А також випустила advisory з рекомендаціями по виправленню уразливості в Flash Player, що постачається в Windows XP.

В даній добірці уразливості в веб додатках:

• iPhone Safari JavaScript alert Denial of Service (деталі)
• CakePHP 1.1.20 Local File Inclusion Vulnerability (деталі)
• Unauthenticated File Retrieval on Sun Java System Identity Manager “ext” parameter (деталі)
• Cross-site Request Forgery (CSRF) on Sun Java System Identity Manager (деталі)
• High security hole in NullLogic Groupware (деталі)
• Citrix XenCenterWeb Multiple Vulnerabilities (деталі)
• Atlantic SimpleCaddy Shopping Cart Price Manipulation (деталі)
• CJ Dynamic Poll 2.0 Remote File Inclusion Vulnerability (деталі)
• LogRover SQL Injection Authentication Bypass (деталі)
• New sork-passwd-h3 packages fix cross-site scripting (деталі)

У випадку Content Spoofing уразливостей можливі як HTML включення, так й інші варіанти атак. Зокрема коли можливе обмежене включення контенту для проведення Content Spoofing атаки. До таких атак відносяться Link Injection та Text Injection.

Хорошим прикладом HTML Injection є уразливість в WP-Cumulus для WordPress. При наявності HTML включення, можна проводити Link Injection та Text Injection атаки (які є його підвидом), але коли повноцінне HTML включенне неможливе (наприклад при фільтрації на сервері чи WAF), то тоді дані атаки можуть стати у нагоді. Зазначу, що дані атаки можливі як при включенні до html сторінок, так і до флеш файлів і капч.

Link Injection.

Хорошим прикладом Link Injection є уразливість на www.ibm.com. Подібні уразливості можуть використовуватися для проведення атак редирекції.

Можливі два варіанта атаки:

1. Коли можна лише вказати лінку на зовнішній сайт:

http://site/page?url=http://badsite

2. Коли можна вказати лінку на зовнішній сайт та її текст:

http://site/page?text=Click%20here!&url=http://badsite

У випадку Link Injection, іноді можливе не тільки включення лінки, а й коду скриптів (JS чи VBS) для проведення Strictly social XSS атак. Як у випадку forum.banner.kiev.ua та WP-Cumulus.

HTML Injection уразливість в WP-Cumulus може зокрема використовуватися для Link Injection атаки, причому можна задавати довільну кількість лінок.

http://site/wp-content/plugins/wp-cumulus/tagcloud.swf?mode=tags&tagcloud=%3Ctags%3E%3Ca+href='http://badsite'+style='font-size:40pt'%3EHacked%3C/a%3E%3C/tags%3E

Text Injection.

Хорошим прикладом Text Injection є уразливість на seal.godaddy.com - в логотипі Secure web site від GoDaddy.

HTML Injection (Text Injection):

• включення тексту

Про подібну уразливість я вже писав раніше на allmebel.com.ua та forum.banner.kiev.ua.

Можлива наступна атака (з вказанням довільного тексту):

http://site/page?text=Hacked

З однієї сторони дану уразливість можна використати для розміщення довільного тексту, для введеня в оману відвідувачів сайта. А з іншої сторони при атаці через флеш чи капчу, при наявності відповідних Buffer overflow уразливостей, можна провести атаку на браузер користувача (з flash плагіном) чи веб сервер (де розміщена captcha).

Подібні атаки відбуваються через html-сторінку (як на www.ibm.com), флешку (як на WP-Cumulus, seal.godaddy.com і forum.banner.kiev.ua) або капчу (як на allmebel.com.ua).

Інцидентів, пов’язаних із утратою, розголошенням, крадіжкою чи випадковою публікацією найважливішої інформації в 2009 р. відбулося чимало. При цьому більша частина подібних випадків відбулася по недогляду чи внаслідок недотримання найпростіших правил забезпечення безпеки.

Нижче представлений перелік п’яти самих помітних випадків витоку даних у США, що відбулися в минулому році через неуважність і недбалість, за версією видання Computerworld.

1. Управління транспортної безпеки США: публікація секретного керівництва.

На початку грудня Управління транспортної безпеки США (TSA) випадково опублікувало на офіційному урядовому веб-сайті 93-сторінкове керівництво, у якому докладно розповіло про всі процедури огляду пасажирів, передбачених в американських аеропортах. Витік був визнаний загрожуючим національній безпеці США.

2. Heartland Payment Systems: витік даних кредитних карт.

Через наявність уразливостей до SQL-ін’єкцій, комп’ютерна мережа найбільшого платіжного оператора Heartland Payment Systems була взломана хакерами, що дозволило їм протягом декількох місяців викрасти дані про 130 млн. кредитних і дебетових карт. Цей витік став найбільшим за всю історію галузі.

3. Health Net: запізніле повідомлення.

Медична компанія Health Net одержала скандальну популярність через те, що протягом півроку ховала від своїх клієнтів і влади інформацію про те, що нею був загублений жорсткий диск, що містив інформацію про 1,5 млн. пацієнтів. Серед загубленої інформації значилися медичні записи, а також адреси, телефони і номери карт соціального страхування клієнтів компанії.

4. Управління урядового друку США: публікація ядерних секретів.

Управління урядового друку США опублікувало на своєму сайті офіційний звіт, що містить інформацію про сотні цивільних ядерних об’єктів, розташованих на території країни. Варто відзначити, що гриф “високої конфіденційності” на цей документ був накладений президентом США особисто.

5. RockYou: 32 мільйонів незашифрованих паролів.

В грудні з вини компанії RockYou, розробника додатків для соціальних мереж, були скомпрометовані дані авторизації 32 млн. зареєстрованих користувачів. Масштаби витоку потрясають самі по собі, однак найбільш дивним є той факт, що всі ці паролі зберігалися в розробника в незашифрованому вигляді.

По матеріалам http://ain.ua.

В даній добірці експлоіти в веб додатках:

• TalkBack 2.3.14 Multiple Remote Vulnerabilities (деталі)
• Sun One WebServer 6.1 JSP Source Viewing Vulnerability (деталі)
• Siteframe CMS 3.2.x SQL Injection/phpinfo() Multiple Vulnerabilities (деталі)
• Universe CMS 1.0.6 (vnews.php id) Remote SQL Injection Exploit (деталі)
• phpBMS 0.96 Multiple Remote Vulnerabilities (деталі)
• GenCMS 2006 Multiple Remote Vulnerabilities (деталі)
• MyMsg 1.0.3 (uid) Remote SQL Injection Vulnerability (деталі)
• Citrix XenCenterWeb (XSS/SQL/RCE) Multiple Remote Vulnerabilities (деталі)
• Phenotype CMS 2.8 (login.php user) Blind SQL Injection Vulnerability (деталі)
• Exploits Buffer Overflow in NaviCopa HTTP server 2.01 (cgi-bin) (деталі)

Після попереднього дослідження інфікованих сайтів, приведу нову інформацію про заражені сайти. З числа українських сайтів.

• http://soft1.org.ua - інфекція була виявлена 03.01.2010. Частина цього сайта була внесена до переліку сайтів із підозрілою активністю 2 рази протягом останніх 90 днів. Зараз сайт не входить до переліку підозрілих.
• http://studportal.com.ua - інфекція була виявлена 02.01.2010. Частина цього сайта була внесена до переліку сайтів із підозрілою активністю 4 рази протягом останніх 90 днів. Зараз сайт не входить до переліку підозрілих.
• http://vokruge.in.ua - інфекція була виявлена 07.11.2009. Частина цього сайта була внесена до переліку сайтів із підозрілою активністю 5 разів протягом останніх 90 днів. Зараз сайт не входить до переліку підозрілих.
• http://luchesk.com.ua - інфекція була виявлена 10.11.2009. Частина цього сайта була внесена до переліку сайтів із підозрілою активністю 5 разів протягом останніх 90 днів. Зараз сайт не входить до переліку підозрілих.
• http://reborn.cv.ua - інфекція була виявлена 16.01.2010. Частина цього сайта була внесена до переліку сайтів із підозрілою активністю 4 рази протягом останніх 90 днів. Зараз сайт входить до переліку підозрілих.

Виявленні численні уразливості в Microsoft Internet Explorer. Серед них 0-day уразливість use-after-free, що активно використовувалася в січні.

Уразливі продукти: Microsoft Internet Explorer 6, 6 SP1, 7 і 8 на Windows 2000 Server, Windows 2000 Professional, Windows XP, Windows 2003 Server, Windows Vista, Windows 2008 Server, Windows 7.

0-day уразливість “використання після звільнення” при обробці createEventObject, численні пошкодження пам’яті.

• Microsoft Internet Explorer Remote Memory Corruption Vulnerability (деталі)
• Microsoft Internet Explorer Table Layout Reuse Remote Code Execution Vulnerability (деталі)
• Microsoft Internet Explorer item Object Memory Corruption Remote Code Execution Vulnerability (деталі)
• Microsoft Internet Explorer Table Layout Col Tag Cache Update Remote Code Execution Vulnerability (деталі)
• Microsoft Internet Explorer Baseline Tag Rendering Remote Code Execution Vulnerability (деталі)
• Microsoft Security Bulletin MS10-002 - Critical Cumulative Security Update for Internet Explorer (978207) (деталі)
• Microsoft Internet Explorer Vulnerabilities (деталі)
• Code to mitigate IE event zero-day (CVE-2010-0249) (деталі)

В даній добірці уразливості в веб додатках:

• IBM Tivoli Storage Manager Express for Microsoft SQL Heap Overflow Vulnerability (деталі)
• Empire Cms 5.1 sql injection (деталі)
• Authentication Bypass, Passwords Leakage and SNMP Injection on 3Com AP 8760 (деталі)
• FCKeditor input sanitization errors (деталі)
• eAccelerator encoder files backup Vulnerability (деталі)
• Joomla! < 1.5.12 Multiple XSS vulnerabilities in HTTP Headers (деталі)
• Nagios vulnerability (деталі)
• HP OpenView Network Node Manager (OV NNM), Remote Cross Site Scripting (XSS) (деталі)
• New ipplan packages fix cross-site scripting (деталі)
• Juice Remote SQL Injection Vulnerability (деталі)

В своїй презентації Get Rich or Die Trying, що Jeremiah Grossman представив на конференції Black Hat в 2008 році, він розповів про сучасні методи атак в Інтернеті. Які можуть використовуватися для заробітку коштів.