Websecurity - Веб безпека

В даній добірці уразливості в веб додатках:

• EMC Dantz Retrospect 7 backup Client PlainText Password Hash Disclosure Vulnerability (деталі)
• EMC Dantz Retrospect 7 backup Client 7.5.116 Remote Memory corruption Vulnerability (деталі)
• EMC Dantz Retrospect 7 backup Server Authentication Module Weak Password Hash Arithmetic Vulnerability (деталі)
• EMC Dantz Retrospect 7 backup Client 7.5.116 NULL-Pointer reference Denial of Service Vulnerability (деталі)
• Jetty Persistent XSS in Sample Cookies Application (деталі)
• Remote File Inclusion In AIOCP (деталі)
• IronPort Encryption Appliance / PostX and PXE Encryption Vulnerabilities (деталі)
• Docebo Multiple SQL-Injection Vulnerabilities (деталі)
• vBulletin - Multiple Versions - Cross Site Script Redirection (деталі)
• DreamPoll 3.1 Vulnerabilities (деталі)

Про можливі атаки через редиректори, в тому числі сервіси редирекції, я писав в свої статтях Редиректори: прихована загроза та Атаки через закриті редиректори. Зокрема я наголошував на можливості розповсюдження шкідливого ПЗ через редиректори.

Також я писав про уразливості на багатьох сервісах редирекції, зокрема про уразливості на tinyurl.com. І я зокрема писав про можливість розповсюдження шкідливого коду саме через сервіс TinyURL. Атаки на користувачів можуть відбуватися як через редирекцію на зловмисні сайти, так і через поширення шкідливого коду безпосередньо через уразливості на сервісах редирекції. Але на всі мої попередження власники даних сервісів не звертали уваги.

І нещодавно, 03.03.2010, я виявив, що tinyurl.com почав активно використовуватися для поширення malware. Тому що Гугл виявив інфекцію на даному сайті, зокрема в його редиректорах (подібне використання tinyurl.com могло бути й раніше, але лише нещодавно я це виявив).

Це добре, що Google почав перевіряти на інфікованість і сервіси редирекції. Зокрема на tinyurl.com Гугл виявив 363 редиректори, з яких на 112 була виявлена підозріла активність за останні 90 днів. Частина сайта tinyurl.com була внесена до переліку сайтів із підозрілою активністю 7 разів протягом останніх 90 днів і за цей час tinyurl.com був посередником зараження 52 сайтів.

Що цікаво, TinyURL почали звертати увагу на використання їхнього сервісу для атаки на користувачів, і почали попереджати про можливість небезпеки при редирекції через них на деякі URL (потенційно вони можуть співробітничати з тим же Гуглом). Вони виводять сторінку “Warning - this URL may be harmful” з повідомленням про небезпеку даної адреси і пропонують користувачеві, якщо він бажає, самому перейти по лінці.

Зазначу, що TinyURL попереджає лише про деякі зі шкідливих URL (знайдених Гуглом), а ще багато інших їхніх редиректорів на шкідливі сайти працюють без жодних попереджень. Тому їм потрібно ще працювати над покращенням свого сервісу.

10.07.2009

У жовтні, 01.10.2008, я знайшов SQL Injection, SQL DB Structure Extraction та Cross-Site Scripting уразливості на проекті http://www.a-counter.com. Про що найближчим часом сповіщу адміністрацію проекту.

Раніше я вже писав про уразливість на www.a-counter.com.

Детальна інформація про уразливості з’явиться пізніше.

06.03.2010

SQL Injection:

http://www.a-counter.com/cgi-bin/ratecat?code=%22'%20or%20version()=4.1%20or%201='

SQL DB Structure Extraction:

http://www.a-counter.com/cgi-bin/ratecat?code=’%221

XSS:

• alert(’XSS’)

Уразливості досі не виправлені.

В даній добірці експлоіти в веб додатках:

• Blink Blog System (Auth Bypass) SQL Injection Vulnerability (деталі)
• Payment Processor Script (shop.htm cid) SQL Injection Vulnerability (деталі)
• elgg <= 1.5 (/_css/js.php) Local File Inclusion Vulnerability (деталі)
• MOC Designs PHP News 1.1 (Auth Bypass) SQL Injection Vulnerability (деталі)
• In-Portal 4.3.1 (index.php env) Local File Inclusion Vulnerability (деталі)
• Perl$hop e-commerce Script Trust Boundary Input Parameter Injection (деталі)
• Shopmaker CMS 2.0 (bSQL/ LFI) Multiple Remote Vulnerabilities (деталі)
• MyBackup 1.4.0 (AFD/RFI) Multiple Remote Vulnerabilities (деталі)
• Irokez CMS 0.7.1 Remote SQL Injection Vulnerability (деталі)
• FlatPress 0.804-0.812.1 Local File Inclusion to Remote Command Execution vulnerability exploit (деталі)

Як я нещодавно згадував, в цьому році житель Луцька дістав базу даних Укртелекома і намагався її продати, після чого був пійманий міліцією. При тому, що подібні диски з Базою 09 продаються в Україні вже багато років, зокрема в Києві. Тому Укртелеком сам постійно створює подібні витоки даних, що й дозволяє створювати подібні БД та поширювати їх на компакт дисках.

І раніше я вже писав про уразливість на сайті Укртелекома, що дозволяє отримати всі дані з їхньої БД (в тому числі потенційно й ті, яких не знайдеш в Базі 09). Так що можливість витоків даних від Укртелекома цілком зрозуміла.

Нещодавно, 21.02.2010, досліджуючи це питання за Базою 09, я зайшов на http://www.kyiv.ukrtelecom.ua і виявив Information Leakage уразливість. Що призводить до витоку даних про абонентів Укртелекома.

В своїй онлайновій базі Служба 109, Укртелеком видає забагато інформації. Він видає не тільки телефон, але й призвіще, ініціали (невірно) і вулицю (без дома і квартири). При цьому дозволяє використовувати wildcard-символи.

Хоча сам заявляє про “пошук телефону абонентів квартирного сектору”, тобто повинен тільки телефони видавати. Тобто він дає завеликий витік інформації. За допомогою даного сервісу можна знайти забагато інформації, навіть не маючи Бази 09.

Виявлені численні уразливості безпеки в Apache Tomcat.

Уразливі версії: Apache Tomcat 5.5, Tomcat 6.0.

Видалення файлів, слабкі дозволи після переустановки.

• Apache Tomcat insecure partial deploy after failed undeploy (деталі)
• Apache Tomcat unexpected file deletion in work directory (деталі)

Продовжу тему витоку інформації про версію системи. Як я зазначав, виведення версії системи - це поширена функція у веб додатках та веб системах. Багато різних движків виводять інформацію про версію системи і дана можливість движків є уразливістю. Це витік інформації (Information Leakage) про версію системи, що може бути використаний для атаки на сайти, що використовують даний движок.

Наведу нові приклади Information Leakage уразливостей в різних веб додатках, що приводять до витоку інформації про версію системи.

Mambo

В Mambo є декілька витоків інформації:

• На сторінці адмінки http://site/administrator/ виводиться (у вигляді зображення) версія системи (4.5.2).
• В фідах (http://site/index2.php?option=com_rss&feed=RSS0.91, http://site/index2.php?option=com_rss&feed=RSS1.0, http://site/index2.php?option=com_rss&feed=RSS2.0, http://site/index2.php?option=com_rss&feed=ATOM0.3) виводиться версія (Mambo 4.5.2).
• В файлах /css/admin.css, /docs/Manual_Installation.html, /docs/Changelog.txt або /CHANGELOG (в різних версіях) та /sql/*.sql або /installation/sql/*.sql (в різних версіях).

MODx

В MODx є декілька витоків інформації:

• На сторінці адмінки http://site/manager/ вказані роки копірайту “2005-2008″, з чого можна визначити приблизну версію системи.
• В файлах /install/changelog.txt та /install/setup.sql.

phpAdsNew

В phpAdsNew є декілька витоків інформації:

• В мета-тезі в адмінці виводиться версія системи (phpAdsNew 2.0.8).
• В файлах /README та /misc/ChangeLog.

OpenAds

В OpenAds є декілька витоків інформації:

• В мета-тезі в адмінці (http://site/www/admin/) виводиться версія системи (Openads v2.4).
• В файлах /README.txt та /misc/ChangeLog.txt.

OpenX

В OpenX є декілька витоків інформації:

• В мета-тезі в адмінці (http://site/www/admin/) виводиться версія системи (OpenX v2.8.3).
• В файлах /README.txt, /RELEASE_NOTES.txt, /TRANSLATIONS.txt (неповна версія), /UPGRADE.txt (неповна версія) та /docs/KNOWN_ISSUES.txt (неповна версія).

В даній добірці уразливості в веб додатках:

• LightBlog Remote File Upload Vulnerability (деталі)
• LiveCart XSS vulnerability fixed since version 1.1.0 (деталі)
• sflog! 0.96 remote file disclosure vulnerabilities (деталі)
• phpShop <= v 0.8.1 Remote SQL injection / Filter Bypass (деталі)
• WowWee Rovio - Insufficient Access Controls - Covert Audio/Video Snooping Possible (деталі)
• New gnome-peercast packages fix several vulnerabilities (деталі)
• New peercast packages fix arbitrary code execution (деталі)
• Heap overflow in PeerCast 0.1217 (деталі)
• Hyperic HQ Multiple XSS (деталі)
• XSS in Blackberries Mobile Data Service Connection Service (деталі)

Після попереднього дослідження похаканих сайтів, приведу нову інформацію про взломані сайти. З числа українських сайтів.

• http://www.amnu.gov.ua (хакером the.spider) - це перший взлом державного сайта в цьому році - похаканий форум сайта, причому спочатку він був взломаний 09.01.2010 the.spider, потім 21.02.2010 Vezir.04 і в той же день взломаний The.caylak. Схоже, що сайт постійно хакається, як і деякі інші сайти в Уанеті
• http://www.sumy-bespredel.info (хакером SALDIRAY) - 24.02.2010, зараз сайт вже виправлений адмінами
• http://www.mp.dn.ua (хакером Palyo34 з 1923 Turk Group) - 26.02.2010, зараз сайт вже виправлений адмінами
• http://sfw.kharkov.ua (хакером DardanMiftari) - дефейс залишився на окремій сторінці сайта
• http://www.panbud.com.ua (хакером KuNdUz) - 26.12.2009 - зараз сайт не працює

24.08.2009

У січні, 03.01.2009, я знайшов SQL Injection, SQL DB Structure Extraction та Full path disclosure уразливості на проекті http://www.findthatfile.com (пошукова система). Про що найближчим часом сповіщу адміністрацію проекту.

Детальна інформація про уразливості з’явиться пізніше.

04.03.2010

SQL Injection:

http://www.findthatfile.com/?q=test&mediaselect='%20and%20benchmark(10000,md5(now()))%20and%201='1

SQL DB Structure Extraction:

http://www.findthatfile.com/?q=test&mediaselect=’

Full path disclosure:

http://www.findthatfile.com/?q=test&mediaselect=’%20a()

Виправлена лише Full path disclosure уразливість. Всі інші уразливості досі не виправлені. В SQL Injection виправлений лише вектор атаки з benchmark, але можливі інші атаки на select запит, а також атаки на запити insert та update.