Архів за Лютий, 2010

Добірка уразливостей

18:08 20.02.2010

В даній добірці уразливості в веб додатках:

  • Cisco Unified Communications Manager IP Phone Personal Address Book Synchronizer Privilege Escalation Vulnerability (деталі)
  • Various Orion application application server example pages are vulnerable to XSS (деталі)
  • HP Laserjet multiple models web management CSRF vulnerability & insecure default configuration (деталі)
  • T-HTB Manager Mutiple Blind SQL Injection (деталі)
  • Nullam Blog Multiple Remote Vulnerabilities (деталі)
  • ChartDirector Critical File Access (деталі)
  • New xapian-omega packages fix cross-site scripting (деталі)
  • New yaws packages fix denial of service (деталі)
  • New rails packages fix cross-site scripting (деталі)
  • vBulletin 3.8.2 Denial of Service Exploit (деталі)

Стаття про мене в журналі Фокус

14:25 20.02.2010

На початку місяця я дав інтерв’ю журналу Фокус. І в сьомому номері журналу, що вийшов на цьому тижні (номер від 17.02.2010), вийшла стаття, в якій також розповідається і про мене.

Стаття називається “Хак со смаком”. В ній розповідається про українських хакерів (як blackhat, так і whitehat хакерів).

Так що кому буде цікаво прочитати інформацію про мене, як тим хто вже читав про мене в журналах InternetUA та Афіша ;-) , так і всім іншим, можете дістати собі сьомий номер Фокуса. Зазначу, що хоча на сайті вказано, що це №7 (171) від 17.02.2010, безпосередньо на журналі вказано №8 (171) від 19.02.2010.

P.S.

Стаття розміщена на сайті журналу (з дещо іншою назвою):

Хакнуть за 60 секунд. Как работают украинские хакеры

Операція Аврора

22:42 19.02.2010

Наприкінці грудня 2009 року - початку січня 2010 року відбулася хакерська атака, що отримала назву Операція Аврора. Раніше я наводив відео про Операцію Аврора, що розповідали про саму атаку та демонстрували використання експлоіта для IE, а зараз розповім про дану атаку більш детально.

Операція Аврора (Operation Aurora) - це хакерська атака, що проводилася проти Google та ряду інших американських компаній. Яка тривала, як повідомляє Вікіпедія, з середини грудня і аж до лютого (тобто вона продовжувался навіть після офіційної заяви Гугла в січні). До речі, на Вікіпедії наводяться три відеоролики на цю тему, один з яких відмінний від раніше опублікованих мною відео.

Вперше про дану атаку заявив Google 12.01.2010 в своєму блозі. При цьому компанія заявила, що атака проводилася з Китаю. Окрім компанії Google, цілями нападників було багато інших компаній. Зокрема Adobe Systems, Juniper Networks і Rackspace, що офіційно підтвердили факт атаки на них, а також за даними ЗМІ серед цілей були компанії Yahoo, Symantec, Northrop Grumman, Dow Chemical і Rand Corporation.

Свою назву “Операція Аврора” атака отримала від секюріті компанії McAfee. Що активно пропіарила себе на цьому інциденті (але назва прижилася і використовується як офіційна назва даної атаки). Дослідники з McAfee Labs виявили рядок “Aurora” в двох бінарниках експлоітів, що використовувалися нападниками під час атаки, тому й вирішили, що так атаку називали між собою нападники (і тому запропонували використувати саме таку назву).

Головним вектором атаки, на думку дослідників, було використання уразливостей в Microsoft Internet Explorer. Причому вразливими виявился версії IE 6, 7 і 8 для різних версіїй Windows (від Windows 2000 до Windows 7). Microsoft вже випустила патчі в січні під час позапланого випуску патчів (вже після щомісячного випуска патчів).

Атака виявилася достатньо складною та добре спланованою, і вона включала в себе використання уразливостей в IE, зокрема раніше невідомих дірок (0-day) та соціальної інженерії. Тому, як виявили дослідники, нападниках вдалося отримати деяку інформацію (хоча Гугл і заявляє, що не дуже багато). Тому й Гугл підняв такий шум, хоча інші компанії, що також були атаковані, не стали піднімати шум з цього приводу (лише три інші компанії, як я зазначав, публічно підтвердили факт атаки на їх інфраструктуру).

Тим часом Google та АНБ США планують укласти угоду про співпрацю обох структур в розслідуванні китайських кібер-атак. А McAfee, продовжуючи свій піар на цій темі, заявили, що після цих атак світ змінився, і подібні складні й сплановані атаки можуть проводитися не тільки проти урядових структур, а й проти часних компаній (що видно на прикладі Гугла).

Нові уразливості в Abton

19:17 19.02.2010

23.10.2009

У лютому, 17.02.2009, я знайшов SQL Injection та Directory Traversal уразливості в системі Abton. Це українська CMS. Дірку виявив на http://uareferat.com, де використовується даний движок.

Раніше я вже писав про уразливості в Abton.

Детальна інформація про уразливість з’явиться пізніше. Спочатку повідомлю розробникам системи.

19.02.2010

SQL Injection:

http://site/files.php?refdll=-1+union+select+version()%23

Про дану SQL Injection мені повідомив Alex в коментарях під час обговорення попередніх дірок на uareferat.com. Також я виявив, що через цю уразливість можна проводити Directory Traversal атаки.

Directory Traversal (через SQL Injection):

http://site/files.php?refdll=-1+union+select+’../file.php’%23

Дані уразливості вже виправлені (в движку і на сайті uareferat.com).

Добірка експлоітів

15:33 19.02.2010

В даній добірці експлоіти в веб додатках:

  • Super Mod System v3 (s) SQL Injection Vulnerability (деталі)
  • PHP Paid 4 Mail Script (home.php page) Remote File Inclusion Vuln (деталі)
  • Cisco WLC 4402 Basic Auth Remote Denial of Service (meta) (деталі)
  • SerWeb <= 2.1.0-dev1 2009-07-02 Multiple RFI Vulnerabilities (деталі)
  • Magician Blog <= 1.0 (Auth Bypass) SQL injection Vulnerability (деталі)
  • Magician Blog <= 1.0 (ids) Remote SQL Injection Vulnerability (деталі)
  • Limny 1.01 (Auth Bypass) SQL Injection Vulnerability (деталі)
  • PunBB Automatic Image Upload <= 1.3.5 Delete Arbitrary File Exploit (деталі)
  • PunBB Automatic Image Upload <= 1.3.5 Remote SQL Injection Exploit (деталі)
  • Exploits Multiple XSRF in DD-WRT (деталі)

Уразливості на www.brewcraft.com.au

23:57 18.02.2010

У липні, 06.07.2009, я знайшов Cross-Site Scripting та Redirector уразливості на проекті http://www.brewcraft.com.au. Про що найближчим часом сповіщу адміністрацію проекту.

XSS:

Це Strictly social XSS. Дана XSS уразливість працює в браузерах Mozilla та Firefox.

Redirector:

http://www.brewcraft.com.au/ra.asp?url=http://websecurity.com.ua

Нові методи атак в Інтернеті для заробітку грошей

23:32 18.02.2010

В своїй презентації Mo’ Money Mo’ Problems - Making even more money online the black hat way, що Jeremiah Grossman представив на конференції Black Hat в 2009 році, він розповів про нові методи атак в Інтернеті. Які можуть використовуватися для ще більшого заробітку коштів. Це сіквел (продовження) презентації Get Rich or Die Trying.

Вийшов WordPress 2.9

19:30 18.02.2010

У грудні, 19.12.2009, вийшла нова версія WordPress 2.9.

WordPress 2.9 це перший випуск нової 2.9 серії. В ній додано чимало покращень порівняно з попередніми 2.8.x версіями, зокрема додані наступні важливі функції: функція глобальної відміни та кошика, вбудований редактор зображень, пакетне оновлення плагінів та перевірка їх сумісності, легке включення відео.

Серед нових функцій і покращень в движку, є покращення для SEO та збільшення його швидкодії. А також наявні покращення безпеки, що були зроблені в WordPress 2.8.5 та 2.8.6, та автоматичне виправлення БД (database repair). Цим вони виправили Abuse of Functionality уразливість, про яку я писав у травні.

За словами розробників, всього було зроблено більше 500 покращень та виправлень багів.

Добірка уразливостей

15:28 18.02.2010

В даній добірці уразливості в веб додатках:

  • HP Network Node Manager ovlaunch CGI BSS Overflow Vulnerability (деталі)
  • HP Network Node Manager Multiple Information Disclosure Vulnerabilities (деталі)
  • HP Network Node Manager Multiple Command Injection Vulnerabilities (деталі)
  • HP OpenView Network Node Manager (OV NNM), Remote Execution of Arbitrary Code (деталі)
  • HP OpenView Network Node Manager Multiple Vulnerabilities (деталі)
  • Incomplete blacklist vulnerability in the teximg plugin in ikiwiki (деталі)
  • File disclosure vulnerability in JSFTemplating, Mojarra Scales and GlassFish Application Server v3 Admin console (деталі)
  • DvBBS v2.0(PHP) boardrule.php Sql injection (деталі)
  • Accounting Portal authentication Bypass (деталі)
  • Safari buffer overflow (деталі)

Похакані сайти №84

22:45 17.02.2010

Після попереднього дослідження похаканих сайтів, приведу нову інформацію про взломані сайти. З числа українських сайтів.

  • http://www.fylypiv.com (хакером Metropolis)
  • http://vavilon.in.dn.ua (хакером Palyo34 з 1923Turk) - 09.02.2010, зараз сайт вже виправлений адмінами
  • http://autoexec.dp.ua (хакером SaDRaZaM) - причому спочатку сайт був взломаний 04.02.2010 SaDRaZaM, а вже 07.02.2010 взломаний LazRa. Схоже, що сайт постійно хакається, як і деякі інші сайти в Уанеті
  • http://www.belmar-ltd.com (хакером Mr.D4rK) - похаканий форум сайта
  • http://www.abcaudit.com.ua (хакерами з ParsiHacker Security Team) - похакана директорія сайта