Архів за Вересень, 2010

Численні уразливості в WordPress 2 та 3

23:53 30.09.2010

Через два місяці після проведення проекту День багів в WordPress 2 (Day of bugs in WordPress 2) я публікую численні уразливості в WordPress. Це в якості попереднього анонсу Дня багів в WordPress 3, який відбудеться з часом :-) .

У серпні, 14.08.2010, я знайшов Cross-Site Scripting, Full path disclosure, Information Leakage, Directory Traversal, Arbitrary File Deletion і Denial of Service уразливості в WordPress.

Для всіх цих атак потрібно мати доступ до адмінського акаунта, або мати акаунт з правами для роботи з плагінами. Або атакувати адміна чи іншого користувача з необхідними правами через XSS, щоб дізнатися токен, призначений для захисту від CSRF атак.

Тому користувачам WordPress особливо переживати за ці дірки не треба (якщо не допускати вищезгаданих вимог). Але дані уразливості стануть в нагоді секюріті дослідникам при доступі до адмінки або наявності XSS на сайті. Тому розробникам WP бажано їх виправити.

Перевірено в WordPress 2.0.11, 2.6.2, 2.7, 2.8, 2.9.2, 3.0.1. Версії 2.0.х невразливі, тому що в них немає даного функціоналу. До різних уразливостей вразливі WordPress 2.6 - 3.0.1 та потенційно попередні версії.

Коментуючи XSS уразливість в WordPress 3.0.1, я зазначив додаткову інформацію стосовно XSS уразливості. Дані нюанси відносяться і до нищенаведених уразливостей. Атакувати можна як черех параметр checked[0], так через checked[1] і т.д., а також через checked[]. В версіях WP 2.7 і вище можна використовувати параметр action=delete-selected, а в версіях 2.8 і вище можна використовувати також параметр action2=delete-selected.

XSS:

Як я зазначав в вищезгаданому записі, в WordPress 2.6.x Cross-Site Scripting атака проводиться по іншому. І користі від даної XSS майже немає.

Для атаки потрібно послати POST запит до http://site/wp-admin/plugins.php з параметрами _wpnonce рівному значенню токена, delete-selected рівному “Delete” та checked[] рівному <body onload=alert(document.cookie)>.

Уразливі WordPress 2.6.x та потенційно попередні версії.

Full path disclosure:

Для атаки потрібно послати POST запит до http://site/wp-admin/plugins.php з параметрами _wpnonce рівному значенню токена, delete-selected рівному “Delete” та checked[] рівному “1″.

Уразливі WordPress 2.6.x та потенційно попередні версії.

Full path disclosure:

http://site/wp-admin/plugins.php?_wpnonce=e0dc6c722b&action=delete-selected&checked[]=1
http://site/wp-admin/plugins.php?_wpnonce=e0dc6c722b&action2=delete-selected&checked[]=1

Уразливі WordPress 2.7 - 3.0.1 (для параметра action2 - 2.8 і вище).

Full path disclosure:

http://site/wp-admin/plugins.php

Повний шлях виводиться прямо на сторінці з плагінами.

Уразливі WordPress 2.6 - 2.7.1.

Information Leakage + Directory Traversal:

На сторінці (в списку під лінкою Click to view entire list of files which will be deleted) виводиться перелік файлів в поточній папці та підпапках.

В папці http://site/wp-content/plugins/:
http://site/wp-admin/plugins.php?_wpnonce=e0dc6c722b&action=delete-selected&checked[]=
http://site/wp-admin/plugins.php?_wpnonce=e0dc6c722b&action2=delete-selected&checked[]=

В папці http://site/wp-content/:
http://site/wp-admin/plugins.php?_wpnonce=e0dc6c722b&action=delete-selected&checked[]=../1
http://site/wp-admin/plugins.php?_wpnonce=e0dc6c722b&action2=delete-selected&checked[]=../1

Уразливі WordPress 2.7 - 3.0.1 (для параметра action2 - 2.8 і вище). А також WordPress 2.6.х. В версіях 2.6.х потрібно послати відповідний POST запит до http://site/wp-admin/plugins.php (як зазначалось вище).

Arbitrary File Deletion + DoS:

Якщо послати вищенаведені запити з параметром verify-delete=1, то можна видалити файли та папки в поточній папці та підпапках. Враховуючи Directory Traversal можна видалити як всі плагіни, так й інші файли в інших папках, в тому числі можна провести DoS атаку на сайт (якщо видалити важливі файли WP). Наприклад з запитом checked[]=../../1 можна видалити весь сайт.

http://site/wp-admin/plugins.php?_wpnonce=e0dc6c722b&action=delete-selected&checked[]=../1&verify-delete=1
http://site/wp-admin/plugins.php?_wpnonce=e0dc6c722b&action2=delete-selected&checked[]=../1&verify-delete=1

Уразливі WordPress 2.7 - 3.0.1 (для параметра action2 - 2.8 і вище). А також WordPress 2.6.х. В версіях 2.6.х потрібно послати відповідний POST запит до http://site/wp-admin/plugins.php (як зазначалось вище).

Антивірус для сайтів Web of Trust

22:47 30.09.2010

Продовжуючи тему антивірусів для сайтів, розповім вам про ще один подібний сервіс. Це WOT - Web of Trust. В деякій мірі це ще один конкурент моїй Web VDS.

Даний сервіс призначений для створення рейтингу довіри до сайтів. В тому числі він може використовуватися для захисту від вірусів на веб сайтах та інших шкідливих сайтів. Він доступний як у вигляді плагіна для браузерів, так і у вигляді онлайн сервіса.

Веб сервіс Web of Trust відрізняється від таких сервісів як McAfee SiteAdvisor, Norton Safe Web від Symantec (хоча є деяка схожість з ними) та інших тим, що він представляє собою не сервіс виявлення шкідливого коду на сайтах, а рейтинг сайтів (де є в тому числі і шкідливі сайти). В цьому він подібний до сервісів Clean MX та DNS-BH – Malware Domain Blocklist.

Щоб скористатися даним сервісом, потрібно зайти на сайт та переглянути перелік сайтів за популярністю, та почитати детальну інформацію про сайт на сторінці WOT Reputation Scorecard (для конкретного сайта). Де може бути вказана інформація про інфікованість конкретного сайта. Або можна скористатися плагіном WOT add-on, що розроблений для багатьох браузерів (Mozilla Firefox, Google Chrome, Internet Explorer, Safari, а також існує букмарклет для інших браузерів).

Можете подитивитися на детальну інформацію про інфікований сайт tipsyking.com:

http://www.mywot.com/en/scorecard/tipsyking.com

Численні уразливості в Adobe Shockwave

19:20 30.09.2010

Виявлені численні уразливості безпеки в Adobe Shockwave.

Уразливі версії: Adobe Shockwave Player 11.5.

Численні переповнення буфера, пошкодження пам’яті, цілочисленні переповнення, виконання коду.

  • Adobe Shockwave 3D Blocks Field Code Execution Vulnerability (деталі)
  • Adobe Shockwave DIRAPI Multiple Code Execution Vulnerabilities (деталі)
  • Adobe Shockwave 3D Two Remote Code Execution Vulnerabilities (деталі)
  • Adobe Shockwave IML32 Multiple Code Execution Vulnerabilities (деталі)
  • Adobe Shockwave Player Font Processing Buffer Overflow (деталі)
  • Adobe Shockwave Player Asset Entry Parsing Vulnerability (деталі)
  • Adobe Shockwave Player Integer Overflow Vulnerability (деталі)

Уразливість на imageshack.us

15:16 30.09.2010

25.01.2010

У червні, 01.06.2009, я знайшов Cross-Site Scripting уразливість на популяному проекті http://imageshack.us. Про що найближчим часом сповіщу адміністрацію проекту.

В статті Редиректори через Flash, я вже розповідав про використання imageshack.us для редирекції на рекламуємі спамерами чи зловмисні сайти. Що можливе через завантаження шкідливих flash файлів на даний хостінг зображень. Тобто це XSS атака через Flash, як і випадку megaswf.com.

Детальна інформація про уразливість з’явиться пізніше. Треба дати час адмінам на реакцію з цього приводу.

30.09.2010

XSS:

Дана уразливість вже виправилена.

Уразливості в плагінах для WordPress №22

23:59 29.09.2010

Продовжуючи тему уразливостей в плагінах для WordPress, пропоную вам інформацію про дірки в інших плагінах для WP.

Цього разу повідомляю про уразливості в плагінах WordPress Polls та WP-Forum. Для котрих з’явилися експлоіти. WordPress Polls - це плагін для створення голосувань, WP-Forum - це плагін для створення форуму.

  • WordPress Polls 2.x Incorrect Flood Filter (деталі)
  • WP-Forum <= 2.3 SQL Injection vulnerabilities (деталі)

Користувачам даних плагінів варто або оновити їх, або власноруч виправити дірки. В якості тимчасового рішення, поки не будуть виправлені чи оновлені плагіни, можна їх виключити в адмінці.

Експлоіт для Microsoft Internet Explorer

22:41 29.09.2010

Продовжуючи розпочату традицію, після попереднього відео про обхід аутентифікації в Mikrotik Hotspot, пропоную новий відео секюріті мануал. Цього разу відео про eксплоіт для Microsoft Internet Explorer. Рекомендую подивитися всім хто цікавиться цією темою.

Internet Explorer iepeers.dll use-after-free - Demo

В відео показаний процес атаки на користувачів Internet Explorer через use-after-free уразливість в iepeers.dll бібліотеці браузера. Для створення експлотіа використовується Metasploit Framework. Рекомендую подивитися дане відео для розуміння векторів атак на браузер Internet Explorer.

Похакані сайти №114

19:33 29.09.2010

Після попереднього дослідження похаканих сайтів, приведу нову інформацію про взломані сайти. З числа українських сайтів.

  • http://podrujki.org.ua (хакером Dr.SiLnT HilL) - 24.09.2010, зараз сайт вже виправлений адмінами
  • http://www.n-steni.com.ua (хакером HoppuS)
  • http://vstyle.kiev.ua (хакером Houssem jrad) - 22.09.2010, зараз сайт вже виправлений адмінами
  • http://www.elektrodom.sumy.ua (хакером Real_Karizma) - 18.09.2010, зараз сайт не працює
  • http://minimen.com.ua (хакерами з Wannabe Hacker Team)

Уразливості на smallurl.ru

17:27 29.09.2010

23.01.2010

У травні, 27.05.2009, я знайшов Cross-Site Scripting та Abuse of Functionality уразливості на проекті http://smallurl.ru. Про що найближчим часом сповіщу адміністрацію проекту.

Детальна інформація про уразливості з’явиться пізніше.

29.09.2010

XSS:

POST запит на сторінці http://smallurl.ru
http://site.ru"><script>alert(document.cookie)</script>В полі для вказання URL.

Це Persistent XSS. Код виконається на сторінках http://smallurl.ru/aed774.html (зараз цієї сторінки немає і даний функціонал редиректора перероблений), http://smallurl.ru/ ?module=ShortURL та http://smallurl.ru/?module=ShortHits.

Abuse of Functionality:

В “дополнительные опции” є можливість створення довільної адреси для URL, що дозволяє створювати зациклені редиректи з іншими редиректорами (для проведення DoS атак).

Зараз цієї опції не видно, вона можливо доступна лише для зареєстрованих користувачів. Дана уразливість подібна до Abuse of Functionalty на tinyurl.com, про що я розповідав в статтях Пекло редиректорів та Пекельний вогонь для редиректорів.

Дані уразливості переважно досі не виправлені.

Добірка уразливостей

21:40 28.09.2010

В даній добірці уразливості в веб додатках:

  • XM Easy Personal FTP Server ‘LIST’ Command Remote DoS Vulnerability (деталі)
  • Exponent Slideshow XSS Vulnerability (деталі)
  • Pligg Installation File XSS Vulnerability (деталі)
  • Crypto backdoor in Qnap storage devices (деталі)
  • RunCMS XSS Vulnerability via User Agent (деталі)
  • ArtForms 2.1b7.2 RC2 Joomla Component Multiple Remote Vulnerabilities (деталі)
  • MODx Installation File XSS Vulnerability (деталі)
  • HP curiosity and vulnerability (деталі)
  • DCP-Portal Multiple XSS Vulnerabilities (деталі)
  • Alteon OS BBI (Nortell) - Multiple Vulnerabilities (деталі)

Вересневий вівторок патчів від Microsoft

19:28 28.09.2010

В вересні місяці Microsoft випустила 9 патчів. Що менше ніж у серпні.

У вересневому “вівторку патчів” Microsoft випустила черговий пакет оновлень, до якого увійшло 9 бюлетней по безпеці. Що закривають 11 уразливостей в програмних продуктах компанії. В тому числі чотири патчі виправляють критичні уразливості, які дозволяють виконати довільний шкідливий код на віддаленому комп’ютері, а ще п’ять патчів мають “важливий” рейтинг.

Дані патчі стосуються таких продуктів Microsoft як операційні системи Windows XP, Windows Server 2003, Windows Vista, Windows 7, Windows Server 2008 R2, а також Outlook та Internet Information Services. Про уразливості в Microsoft IIS я вже писав.