Архів за Березень, 2010

Уразливість в CB Captcha для Joomla і Mambo

23:56 31.03.2010

У березні, 17.03.2010, я знайшов Insufficient Anti-automation уразливість в плагіні CB Captcha (plug_cbcaptcha) для компонента Community Builder (com_comprofiler) для Joomla і Mambo. Про що найближчим часом сповіщу розробників.

Даний плагін базується на скрипті капчі CaptchaSecurityImages.php і про уразливості в CaptchaSecurityImages я вже розповідав. І в плагіні plug_cbcaptcha виправлені всі Insufficient Anti-automation та Denial of Service уразливості з оригінального скрипта, окрім однієї.

Insufficient Anti-automation:

В плагіні можливий обхід капчі з використанням метода session reusing with constant captcha bypass method, описаного в проекті MoBiC. Використовуючи даний метод, можна обходити захист посилаючи один і той же код капчі.

Це може бути використано на всіх сторінках, де використовується даний плагін. Зокрема на сторінці реєстрації, формі втрати паролю та формі втрати емайлу.

Уразливі CB Captcha 1.0.2 та попередні версії, CB Captcha 2.2 та попередні версії.

Зазначу, що версії 1.x та 2.x зроблені різними авторами та мають чимало відмінностей. Зокрема в версії 2.x додана аудіо версія капчі, серед файлів плагіна зокрема з’явився captchaindex.php (який є головним скриптом плагіна, замість cb.captcha.php). Та окрім трьох вищезгаданий форм, капча також захищає контактну форму (при наявності компонента CB Contact 1.1) та форму логіна (при наявності модуля логіна CB 1.2).

Похакані сайти №90

22:43 31.03.2010

Після попереднього дослідження похаканих сайтів, приведу нову інформацію про взломані сайти. З числа українських сайтів.

  • http://uspixm.com (хакерами з UAH-Crew)
  • http://www.kompan.com.ua (хакерами з KING SOLUTIONZ)
  • http://mirabela.com.ua (хакером RedGuard) - 20.03.2010, зараз сайт не працює
  • http://www.compsysnet.chnu.edu.ua (хакером Top 511) - 23.03.2010, зараз сайт не працює (виводиться пуста сторінка)
  • http://artalexdm.com.ua (хакером SALDIRAY) - 09.01.2010, зараз сайт вже виправлений адмінами

До речі, у групи UAH-Crew (United Albania Hackers) цікава назва - нагадує українську гривню (UAH) :-) .

Березневий вівторок патчів від Microsoft

19:23 31.03.2010

В березні місяці Microsoft випустила 8 патчів. Що значно менше ніж у лютому.

У березневому “вівторку патчів” Microsoft випустила черговий пакет оновлень, до якого увійшло 8 бюлетеней по безпеці, що закривають 8 уразливостей. Дані патчі стосуються різних версій Windows та офісних додатків. Зокрема будуть виправлені уразливості в Windows Movie Maker та в Excel.

Уразливості, що одержали статус “важливих”, за певних умов можуть використовуватися для виконання довільного коду на віддаленому комп’ютері.

Добірка уразливостей

15:35 31.03.2010

В даній добірці уразливості в веб додатках:

  • ToutVirtual VirtualIQ Multiple Vulnerabilities (деталі)
  • Vulnerabilities in Oracle - Advisory #DSECRG-09-003 (деталі)
  • Vulnerabilities in Oracle - Advisory #DSECRG-09-002 (деталі)
  • Vulnerabilities in Oracle - Advisory #DSECRG-09-001 (деталі)
  • Oracle Updates for Multiple Vulnerabilities (деталі)
  • Multiple security issues in Cute News and UTF-8 Cute News (деталі)
  • HP System Management Homepage (SMH) for Linux and Windows, Remote Cross Site Scripting (XSS) (деталі)
  • HP System Management Homepage (SMH) for Linux and Windows Running PHP and OpenSSL, Remote Cross Site Scripting (XSS), Unauthorized Access (деталі)
  • HP System Management Homepage (SMH) for Linux and Windows, Remote Cross Site Scripting (XSS) (деталі)
  • AssetsSoSimple supplier_admin.php Supplier Field XSS (деталі)

Уразливості в Dunia Soccer

23:51 30.03.2010

У березні, 17.03.2010, я знайшов Insufficient Anti-automation та Denial of Service уразливості в системі Dunia Soccer. Про що найближчим часом сповіщу розробників.

Уразливості наявні в скрипті капчі CaptchaSecurityImages.php, що використовується в даній системі. Про уразливості в CaptchaSecurityImages я вже розповідав.

Insufficient Anti-automation:

http://site/class/captcha/CaptchaSecurityImages.php?width=150&height=100&characters=2

Можливий обхід капчі як через напівавтоматизований або автоматизований (з використанням OCR) методи, що були згадані раніше, так і з використанням метода session reusing with constant captcha bypass method, описаного в проекті MoBiC.

DoS:

http://site/class/captcha/CaptchaSecurityImages.php?width=1000&height=9000

Вказавши великі значення width і height можна створити велике навантаження на сервер.

Уразливі всі версії Dunia Soccer.

Антологія атак через капчі

22:45 30.03.2010

Раніше я зробив антологію атак через редиректори (відкриті та закриті) в своїх статтях Редиректори: прихована загроза та Атаки через закриті редиректори. А в даній статті я зроблю антологію атак через капчі.

CAPTCHA - це секюріті веб додатки, що призначені для захисту веб сайтів від автоматизованих запитів. Але капчі не тільки погано справляються з захистом від автоматизованих запитів, вони ще й створюють можливості для інших атак на сайти та їх відвідувачів. Існує багато різноманітних атак через капчі, про які я розповім в даній статті.

Атаки через капчі.

Окрім безпосередньо обходу капч, через них також можуть проводитися багато інших атак. Ось перелік усіх відомих мені атак через капчі:

  • Обіх капч.
  • Redirector атаки.
  • Cross-Site Scripting атаки.
  • SQL Injection атаки.
  • CSRF атаки.
  • Витоки інформації.
  • Denial of Service атаки.

Обіх капч.

В капчах бувають численні Insufficient Anti-automation уразливості, що дозволяють обходити капчі для відправки автоматизованих запитів. Про що я детально розповів в своєму проекті Month of Bugs in Captchas.

Redirector атаки.

В капчі Google є Redirector уразливість, що дозволяє перенаправляти відвідувачів на довільні сайти.

Cross-Site Scripting атаки.

В капчі для Nucleus та в плагінах Peter’s Random Anti-Spam Image, Math Comment Spam Protection, Captcha!, Cryptographp, WP-ContactForm та CapCC для WordPress є Cross-Site Scripting уразливості (reflected та persistent), що можуть використовуватися для XSS атак.

SQL Injection атаки.

В капчі для Nucleus та в плагіні CapCC для WordPress є SQL Injection уразливості, що можуть використовуватися для атак на сайти.

CSRF атаки.

В плагінах Captcha! та CapCC для WordPress є Cross-Site Request Forgery уразливості, що можуть використовуватися для CSRF-атак. В тому числі для експлуатації Insufficient Anti-automation (в обох капчах) та SQL Injection (в другій капчі) уразливостей.

Витоки інформації.

В капчі для Nucleus є Full path disclosure та SQL DB Structure Extraction уразливості, а в плагіні CapCC для WordPress є Full path disclosure уразливість. Які призводять до витоку інформації на сайті.

Denial of Service атаки.

Через капчі можуть бути проведені DoS атаки (через SQL Injection та Denial of Service уразливості в них). Про що я детально написав в своїй статті DoS атаки через капчі.

Висновки.

Замість захисту веб сайтів від автоматизованих запитів, капчі часто становлять загрозу безпеці веб сайтів та їх відвідувачів. Тому розробникам капч та власниках веб сайтів, що їх використовують, потрібно завжди перевірявіти безпеку своїх капч.

Яндекс запустив власний антивірус для сайтів

19:20 30.03.2010

Ще з кінця травня 2009 року Яндекс має функцію повідомлення в результатах пошуку про зараженість сайтів. І от 01.03.2010 компанія Яндекс оголосила про випуск власної антивірусної технології, що дозволить виявляти сайти із самими новими вірусами і попереджати про їх користувачів Інтернету.

Донедавна компанія використовувала антивірус від Sophos. Зараз поряд з технологіями цієї компанії, будуть використовуватися власні розробки Яндекса. Головна особливість нового рішення полягає в тому, що він використовує не традиційні механізми роботи, на основі антивірусних баз, а базується на поведінковому підході.

Новий антивірус від Яндекса імітує поводження користувача, заходить на сайт і аналізує, що відбувається в цьому випадку. Даний підхід подібний до того, що використовує Google. Якщо в результаті відвідання почнеться скачування чи виконання програми, то, швидше за все, дана сторінка заражена. Фахівці Яндекса підкреслюють, що така технологія дозволить виявляти віруси, що ще не потрапили в антивірусні бази.

Пошукові системи, що мають функцію виявлення інфікованих сайтів, більше турбуються про безпеку своїх користувачів і є більш конкурентноздатними. Серед таких систем є Google (з власною технологією), Yahoo (що використовує технологію McAfee) та Yandex (що з моменту запуску цього функціоналу в 2009 році використовує технологію Sophos, а з цього місяця також і власну технологію).

Альтернативою даним технологіям є моя система Web VDS. І, як я вже казав, якщо б в 2008 році вона була повністю розроблена, то можна було б Яндексу, як і іншим пошуковцям, запропонувати наші послуги. І Яндексу не довелося б ні купувати технологію у Sophos, ні розробляти свою (при тому, що моя технологія достатньо конкурентоспроможня порівняно з технологіями інших компаній).

По матеріалам http://ain.ua.

Добірка експлоітів

16:04 30.03.2010

В даній добірці експлоіти в веб додатках:

  • allomani 2007 (cat) Remote SQL Injection Vulnerability (деталі)
  • PAD Site Scripts 3.6 (list.php string) SQL Injection Vulnerability (деталі)
  • Open Auto Classifieds <= 1.5.9 Multiple Remote Vulnerabilities (деталі)
  • Discuz! Plugin Crazy Star <= 2.0 (fmid) SQL Injection Vulnerability (деталі)
  • TFTPUtil GUI 1.3.0 Remote Denial of Service Exploit (деталі)
  • Simple CMS FrameWork <= 1.0 (page) Remote SQL Injection Vuln (деталі)
  • Joomla Component com_digifolio 1.52 (id) SQL Injection Vulnerability (деталі)
  • Uiga Church Portal (year) Remote SQL Injection Vulnerability (деталі)
  • Silurus Classifieds System (category.php) SQL Injection Vulnerability (деталі)
  • MailEnable 1.52 HTTP Mail Service Stack BOF Exploit PoC (деталі)

Нові уразливості в Mantis

23:54 29.03.2010

У вересні, 04.09.2009, я знайшов Brute Force та Insufficient Anti-automation уразливості в Mantis (MantisBT). Дані уразливості я виявив на zillya.com, де використовується даний движок. Про що найближчим часом повідомлю розробникам.

Раніше я вже писав про уразливості в Mantis.

Детальна інформація про уразливості з’явиться пізніше. Спочатку повідомлю розробникам веб додатку.

Інфіковані сайти №22

22:48 29.03.2010

Після попереднього дослідження інфікованих сайтів, приведу нову інформацію про заражені сайти. З числа українських сайтів.

  • http://nahuinuzno.com - інфекція була виявлена 26.03.2010. Частина цього сайта була внесена до переліку сайтів із підозрілою активністю 1 раз протягом останніх 90 днів. Зараз сайт входить до переліку підозрілих.
  • http://ogk.kiev.ua - інфекція була виявлена 28.01.2010. Зараз сайт не входить до переліку підозрілих.
  • http://kivi-x.if.ua - інфекція була виявлена 27.03.2010. Частина цього сайта була внесена до переліку сайтів із підозрілою активністю 1 раз протягом останніх 90 днів. Зараз сайт входить до переліку підозрілих.
  • http://stoknig.com - інфекція була виявлена 23.01.2010. Частина цього сайта була внесена до переліку сайтів із підозрілою активністю 7 разів протягом останніх 90 днів. Зараз сайт не входить до переліку підозрілих.
  • http://dobra-glina.com.ua - інфекція була виявлена 16.02.2010. Частина цього сайта була внесена до переліку сайтів із підозрілою активністю 2 рази протягом останніх 90 днів. Зараз сайт входить до переліку підозрілих.

Як і у випадку з defend-pc.com, інфіковані сайти kivi-x.if.ua та stoknig.com також хостить в себе Укртелеком.