Websecurity - Веб безпека

Продовжуючи тему антивірусів для сайтів, розповім вам про ще один подібний сервіс. Це ZeuS Tracker.

Даний сервіс дещо відрізняється від раніше згаданих сервісів. Він не призначий для виявлення вірусів на веб сайтах, а сконцентрований на ботнеті ZeuS. Мета сервіса - виявлення командних серверів ZeuS по всьому світі та надання блеклістів по їх доменам та IP.

Веб сервіс ZeuS Tracker в цьому подібний до сервісів Clean MX та DNS-BH – Malware Domain Blocklist.

Щоб скористатися даним сервісом, потрібно зайти на головну сторінку сайта та переглянути карту хостів ботнета ZeuS (у вигляді карти на Google Maps). Також можете ознайомитися зі статистикою, переглянути повний список хостів ботнета і викачати блеклісти (по домену чи IP). А також можна подивитися детальну інформацію по хостам даної бот мережі.

Можете подитивитися на детальну інформацію про інфікований сайт strbypass.uz.ua:

https://zeustracker.abuse.ch/monitor.php?host=strbypass.uz.ua

Виявлені уразливості безпеки в Microsoft .Net і Silverlight.

Уразливі продукти: Windows XP, Windows 2003 Server, Windows Vista, Windows 2008 Server, Windows 7.

Пошкодження пам’яті, виконання коду.

• Critical Vulnerabilities in the Microsoft .NET Common Language Runtime and in Microsoft Silverlight Could Allow Remote Code Execution (2265906) (деталі)

В даній добірці уразливості в веб додатках:

• CoreHTTP web server off-by-one buffer overflow vulnerability (деталі)
• JV2 Folder Gallery 3.1.1 (popup_slideshow.php) Multiple Vulnerability (деталі)
• SQL injection vulnerability in Zabbix <= 1.8.1 (деталі)
• XSS vulnerability in razorCMS (деталі)
• XSS vulnerability in GetSimple CMS (деталі)
• XSS vulnerability in RuubikCMS (деталі)
• SQL injection vulnerability in 360 Web Manager (деталі)
• XSS vulnerability in 360 Web Manager (деталі)
• Hewlett-Packard Application Recovery Manager MSG_PROTOCOL Stack Overflow Vulnerability (деталі)
• HP OpenView Data Protector Application Recovery Manager, Remote Denial (деталі)

Після попереднього дослідження похаканих сайтів, приведу нову інформацію про взломані сайти. З числа українських сайтів.

• http://www.thisisukraine.org (хакером Skorsky)
• http://www.kievgallery.kiev.ua (хакерами з Und3rGr0unD W4rri0rZ)
• http://bistro.com.ua (хакером DistinguisheD)
• http://www.polvent.com (хакером J0J0k з Ashiyane Digital Security) - 06.08.2010, зараз сайт не працює (немає контенту)
• http://foundryua.org (хакерами з AHG) - 28.07.2010, зараз сайт вже виправлений адмінами

Виявлені численні уразливості безпеки в Microsoft Internet Explorer.

Уразливі продукти: Microsoft Internet Explorer 6, 7 та 8 під Windows XP, Windows 2003 Server, Windows Vista, Windows 2008 Server, Windows 7.

Численні пошкодження пам’яті, міжсайтовий доступ.

• Microsoft Security Bulletin MS10-053 - Critical Cumulative Security Update for Internet Explorer (2183461) (деталі)

09.10.2009

У лютому, 13.02.2009, я знайшов SQL Injection уразливість в CMS WebManager-Pro. Це українська CMS. Дану уразливість я виявив на сайті moral.gov.ua, де використовується дана система. Про що найближчим часом повідомлю розробникам.

Детальна інформація про уразливість з’явиться пізніше. Спочатку повідомлю розробникам системи.

11.08.2010

SQL Injection:

http://site/index.php?content_id=-1%20or%20version()=4

Уразливі дві системи CMS WebManager-Pro від двох розробників. Уразливі версії CMS WebManager-Pro v.7.0 (версія від WebManager) та попередні версії, а також CMS WebManager-Pro v.7.4.3 (версія від FGS_Studio) та попередні версії.

Дана уразливість досі не виправлена розробником FGS_Studio (як й інші дірки, про які я повідомляв). Зате WebManager вже випривили дану уразливість в 8.x версіях своєї системи.

Алгоритм шифрування MD5 (Message-Digest algorithm 5), що призначений для створення хешів, активно використовується в програмуванні, зокрема при розробці веб додатків, в якості секюріті інструмента. Окрім його використання для хешування паролів, також MD5 використовується для інших задач, що стосуються безпеки (про які йтиметься у даній статті). Наприклад, для генерації паролів при інсталяції чи створенні нових акаунтів, або при створенні випадкових рядків для імен файлів чи папок.

При використанні MD5 алгоритму в секюріті цілях можливе неякісне його використання, що призведе по погіршення безпеки веб додатків і до появи уразливостей в них. Дані недоліки використання MD5 алгоритму я назвав MD5-string атакою. В 2007-2008 роках я знайшов два таких випадки, що стосуються WordPress (інші веб додатки також можуть мати подібні уразливості).

Як я вже зазначав в 2008 році - вихідний алфавіт алгоритму MD5 має 16 символів. Тому при використанні, наприклад, функції md5 (в PHP), на її виході ви отримаєте рядок, що складається з 16 символів md5-алфавіту. І при використанні короткого рядка, його надійність вийде невилика, якщо використовувати цей рядок для захисних механізмів (тому що його можна буде відносно легко підібрати).

Кількість можливих комбінацій в залежності від довжини md5-рядка:

16^1 = 16
16^2 = 256
16^3 = 4096
16^4 = 65536
16^5 = 1048576
16^6 = 16777216
16^7 = 268435456

Тільки при довжині md5-рядка в 7 символів, його надійність буде прийнятною (при використанні для захисних механізмів). Якщо довжина md5-рядка менше 7 символів, то її можна відносно швидко підібрати.

Приклади MD5-string атак.

1. Використання md5-рядків для створення паролів.

Як я писав стосовно Weak Password уразливості в WordPress, в даному движку (в версіях WordPress 2.0.x і потенційно до 2.3.3 включно), при інсталяції задається слабкий пароль.

Він складається з 6 символів md5-алфавіту. А так як на виході функції md5 маємо алфавіт в 16 символів, то даний пароль має 16777216 можливих комбінацій. І брутфорсом його можна відносно швидко підібрати.

2. Використання md5-рядків в якості шляху до важливих ресурсів.

Як я писав стосовно Information Leakage та Full path disclosure уразливостей в WordPress, в плагіні WordPress Database Backup функція md5 використовується для створення папки для бекапів.

Ім’я папки має вигляд “backup-xxxxx” - це “backup-” та 5 символів md5-алфавіту. І це всього 1048576 можливих комбінацій. Що можна відносно швидко підібрати.

Так що при використанні MD5 алгоритму для захисних механізмів у веб додатках потрібно враховувати його алфавіт. Тому що у випадку коли використовується короткий md5-рядок для створення паролю (як у WP), або для назви папки з бекапами БД (як у плагіні WordPress Database Backup), то це можна відносно швидко забрутфорсити.

P.S.

Як показали мої дослідження роботи різних хеш-функцій (на додаток до md5), в результаті роботи таких хеш-функцій як gost, lm, md4, mysql323, mysql411, ntlm, ripemd128, ripemd160, ripemd256, ripemd320, sha1, sha224, sha256, sha384, sha512, tiger128_3, tiger128_4, tiger160_3, tiger160_4, tiger192_3, tiger192_4 та whirlpool видається рядок, що також є шістнадцятирічним числом (як і в md5). Тому даний рядок також має алфавіт з 16 символів. І тому всі застереження щодо довжини рядка в функції md5 (при використанні даного рядка для захисних механізмів) в рівній мірі відносяться до даних функцій.

Продовжуючи традицію, пропоную вашій увазі добірку цікавих записів на тему веб безпеки. Цього разу на тему DNS Rebinding (також відомого як Anti-DNS Pinning). Раніше я вже наводив відео про DNS Rebinding атаки.

В своєму записі Stanford’s DNS Rebinding Paper, RSnake розповідає про документ Стенфордського університету на тему DNS Rebinding атак.

На сторінці Stealing Information Using Anti-DNS Pinning ( DNS Rebinding ) : Online Demonstration наводиться онлайнова демонстрація DNS Rebinding атаки на браузер. Робота якої була перевірена в різних браузерах.

В своєму записі DNS Rebinding in Firefox, RSnake розповідає про ситуацію з DNS Rebinding в браузері Firefox. Як він виявив, в Firefox взагалі немає DNS Pinning захисту, тому DNS Rebinding атаки можна більш легко проводити в даному браузері.

В даній добірці уразливості в веб додатках:

• Oracle Secure Backup observiced.exe Remote Code Execution Vulnerability (деталі)
• Oracle Updates for Multiple Vulnerabilities (деталі)
• Oracle Critical Patch Update Advisory - January 2010 (деталі)
• XSS vulnerability in gpEasy CMS (деталі)
• SQL injection vulnerability in LiSK CMS (деталі)
• MKPortal horoscop module Vulnerability (деталі)
• MKPortal speed connection module Vulnerability (деталі)
• NaviCopa webserver 3.01 Multiple Vulnerabilities (деталі)
• Multiple Vulnerabilities in BigAce - Bkis (деталі)
• Hustoj is HUST ACM OnlineJudge “fckeditor” file upload security issue (деталі)

Після попереднього дослідження інфікованих сайтів, приведу нову інформацію про заражені сайти. З числа українських сайтів.

• http://solid.net.ua - інфекція була виявлена 05.08.2010. Частина цього сайта була внесена до переліку сайтів із підозрілою активністю 3 рази протягом останніх 90 днів. Зараз сайт входить до переліку підозрілих.
• http://webmastak.net - інфекція була виявлена 09.08.2010. Зараз сайт не входить до переліку підозрілих.
• http://all-travel.net.ua - інфекція була виявлена 04.08.2010. Частина цього сайта була внесена до переліку сайтів із підозрілою активністю 2 рази протягом останніх 90 днів. Зараз сайт входить до переліку підозрілих.
• http://glamur.biz - інфекція була виявлена 02.07.2010. Зараз сайт не входить до переліку підозрілих.
• http://mgx.com.ua - інфекція була виявлена 08.08.2010. Зараз сайт входить до переліку підозрілих.