Websecurity - Веб безпека

Про уразливості на сайтах Укртелекома, зокрема на www.kyiv.ukrtelecom.ua, я вже розповідав раніше. А зараз розповім вам про DoS атаку на користувачів Укртелекому, яку я розробив нещодавно. На практиці я її не випробовував , але виходячи з власного досвіду роботи з Укртелекомом, я бачу, що вона цілком реальна.

На користувачів Укртелекому, що користуються проводовим телефонним зв’язком від даної компанії, можлива DoS атака (соціально-інженерійна атака). Вона можлива через зміну групи телефону на третьої групу, що означає заборону дзвінків на мобільні телефони, міжміські та закордонні номери (тільки можливі дзвінки по місту). Враховуючи, що дана операція можлива по телефону (немає потреби особисто писати заяву, це за вас зробить оператор Укртелефону, прийнявши у вас заяву по телефону), то можна легко провести соціально-інженерійну атаку, знаючи лише телефон та ПІБ жертви.

Що можливо, у випадку коли ви знаєте жертву особисто, або через раніше згадані витоки інформації в Укртелекомі. Атаку можна провести зателефонувавши за номером 176 (для Києва) й від імені жертви змінити групу її телефону. Що призведе до часткового DoS телефону та нанесення фінансових збитків (дана послуга платна).

Таким чином можна частково заблокувати людині дзвінки з телефону (жертва не зможе робити дзвінків на мобільні та інші номери, окрім як по місту) та нанести збитки на 10 грн. Плюс ще 10 грн. за повторну зміну групи телефону (для повернення попередньої групи і в даному випадку вже потрібно писати заяву).

Одним з методів захисту від даної атаки, що може використати Укртелеком, може бути вимога особисто написати заяву не тільки при зміні з третьої групи на інші (як це є зараз), а в усіх випадках. Звичайно можна провести соціально-інженерійну атаку з написанням заяви безпосередньо в одному з центрів Укртелекома, але мало хто на це піде (щоб особисто засвітитися), а по телефону це може зробити будь-хто. Тому даний метод може в достатній мірі захистити від подібних атак.

Виявлена можливість пошкодження пам’яті в Microsoft IIS.

Уразливі версії: Microsoft IIS для Windows 2003 Server, Windows Vista, Windows 2008 Server, Windows 7.

Пошкодження пам’яті при включеному Extended Protection for Authentication.

• Important Vulnerability in Internet Information Services Could Allow Remote Code Execution (982666) (деталі)

Продовжу тему “Warning” Гугл хакінга (”Warning” Google hacking). Котрий є різновидом Гугл хакінга - використання пошукових систем (зокрема Гугла) для пошуку уразливостей на сайтах.

Дана методика передбачає використання Гугла (чи інших пошукових систем) з метою пошуку повідомлень на сайтах про помилки, і дозволяє знайти важливу інформацію стосовно даних сайтів. За допомогою спеціальних пошукових запитів (дорків) можна знайти Full path disclosure та Information leakage уразливості на різноманітних сайтах в Інтернеті.

Новий перелік “варнінг” пошукових запитів:

Warning: Permission denied

Warning: date

Warning: Access denied for user (при роботі з СУБД, зокрема MySQL)

Warning: db2 function.db2

Warning: dba function.dba

Warning: dbase function.dbase

Warning: dbmexists

Warning: dbmfetch

Warning: dbminsert

Warning: dbmopen

В даній добірці уразливості в веб додатках:

• ContentKeeper - Remote command execution and privilege escalation (деталі)
• There are lost of xss vul in PHPWind v6.0 (деталі)
• Flex CMS <= 2.5 (index.php)Blind SQL Injection Vulnerability (деталі)
• Vbulletin 4.0.2 XSS Vulnerability (деталі)
• DreamHost <= && > 2.3 global Inj3ct0r/Xss/Local inc Multiple Exploit (деталі)
• Outdated and vulnerable OpenSource libraries used in “Deutsche Telekom” home banking software (деталі)
• KloNews <= 2.0 Cross-Site Scripting (XSS) Vulnerability (деталі)
• Joomla component com_extplorer_2.0.1_pt-BR <= Multiple Vulnerability exploits (деталі)
• New ikiwiki packages fix cross-site scripting (деталі)
• IBM BladeCenter Advanced Management Module Multiple vulnerabilities (деталі)

Після попереднього дослідження інфікованих сайтів, приведу нову інформацію про заражені сайти. З числа українських сайтів.

• http://referaty.com.ua - інфекція була виявлена 26.03.2010. Частина цього сайта була внесена до переліку сайтів із підозрілою активністю 3 рази протягом останніх 90 днів. Зараз сайт не входить до переліку підозрілих.
• http://terraman.net - інфекція була виявлена 30.03.2010. Частина цього сайта була внесена до переліку сайтів із підозрілою активністю 8 рази протягом останніх 90 днів. Зараз сайт не входить до переліку підозрілих.
• http://link.kiev.ua - інфекція була виявлена 02.06.2010. Зараз сайт входить до переліку підозрілих.
• http://ho.com.ua - інфекція була виявлена 11.05.2010. Частина цього сайта була внесена до переліку сайтів із підозрілою активністю 3 рази протягом останніх 90 днів. Зараз сайт не входить до переліку підозрілих.
• http://textile-ua.com - інфекція була виявлена 08.06.2010. Частина цього сайта була внесена до переліку сайтів із підозрілою активністю 1 раз протягом останніх 90 днів. Зараз сайт входить до переліку підозрілих.

12.11.2009

У березні, 17.03.2009, я знайшов Cross-Site Scripting уразливість на секюріті проекті http://www.frikinet.com. Про що найближчим часом сповіщу адміністрацію проекту.

Детальна інформація про уразливість з’явиться пізніше. Треба дати час адмінам на реакцію з цього приводу.

08.06.2010

XSS:

• alert(document.cookie)
• цікавий
• html включення

Дана уразливість досі не виправлена.

В даній добірці експлоіти в веб додатках:

• CMScontrol 7.x (index.php id_menu) SQL Injection Vulnerability (деталі)
• cP Creator 2.7.1 (Cookie tickets) Remote SQL Injection Exploit (деталі)
• XM Easy Personal FTP Server HELP and TYPE command Remote Denial of Service exploit (деталі)
• SolarWinds TFTP Server <=9.2.0.111 Remote DoS Exploit (деталі)
• MX Simulator Server 2010-02-06 Remote Buffer Overflow PoC (деталі)

Раніше я вже писав про можливості закриття сайтів через їх уразливості, а в останнє я розповідав про закриття сайтів через їх взлом. Зараз разповім вам про нову можливість впливу на власників дірявих сайтів через законодавство.

Можливе закриття сайтів (а також висенення обвинувачення) через порушення закону про захист персональних даних. Як я писав учора, Верховна Рада України прийняла закон про захист персональних даних, який набирає чинність з 01.01.2011. І з того часу дія даного закону може торкнутися кожного власника дірявого сайта в Україні.

В новому законі зазначається, що поширення особистих відомостей без згоди їхнього власника тепер заборонено, за винятком випадків, передбачених законом. І якщо на будь-якому сайті буде розміщена БД з особистми даними (чи вони будуть внесені в БД сайта), і при цьому виявиться, що внесені ці особисті дані без згоди їхнього власника (і відповідно даний власник подасть позив), то до власника даного сайта можуть бути застосовані санкції. Починаючи від вилучення серверів для проведення слідчих дій, до висунення обвинувачення, що може призвести до штрафу.

Даний інцедент може статися через уразливості на сайті. Коли через дірки на сайті будуть розміщені особисті відомості інших людей (ясна річ без їхньої згоди). Або навіть через існуючий функціонал сайта, через звичайну форму реєстрації, можуть бути занесені особисті дані людини, яка не давала на це згоду. І притензії будуть висунуті сайту і його власнику. Подібно до випадків закриття сайтів через розміщення на них порнографічних, секретних або терористичних матеріалів, що вже мали місце в Україні в 2008-2009 роках.

Так що всім адмінам і власникам сайтів варто слідкувати за безпекою власних сайтів, щоб не потрапити під дію даного закону.

Виявлена уразливість міжсайтового скриптінгу в Apache Axis2.

Уразливі версії: Apache Axis2 1.4.

Міжсайтовий скриптінг в інтерфейсі адміністрування.

• Authenticated Cross-Site Scripting (XSS) within the Apache Axis2 administration console (деталі)

В даній добірці уразливості в веб додатках:

• SolarWinds TFTP Server <=9.2.0.111 Remote DoS Exploit (деталі)
• SugarCRM Stored XSS vulnerability (деталі)
• SOFTSAURUS 2.01 Multiple Remote File Include Vulnerabilities (деталі)
• eSahana 0.6.2.2 Authentication Bypass (деталі)
• eFront-learning PHP file inclusion vulnerability (деталі)
• Quicksilver Forums Backup Information Disclosure (деталі)
• Quicksilver Forums Cross-Site Request Forgery Vulnerability (деталі)
• Quicksilver Forums “mysqldump” Password Disclosure (деталі)
• CA HIPS Remote Kernel Vulnerability (деталі)
• Security Notice for CA Host-Based Intrusion Prevention System (деталі)