Websecurity - Веб безпека

У листопаді місяці відбувся масовий взлом сайтів на сервері Inter-Telecom. Нещодавно я вже розповідав про інші масові взломи.

Був взломаний сервер української ISP компанії Inter-Telecom. Взлом відбувся перед згаданим масовим взломом сайтів на сервері Delta-X.

Всього було взломано 273 сайти на сервері Inter-Telecom (IP 62.80.178.142). Перелік сайтів можете подивитися на www.zone-h.org. Серед них українські державні сайти dcssm.gov.ua та kyiv-oblosvita.gov.ua.

Всі зазначені сайти були взломані 11 листопада 2010 року. А також було ще 2 окремих дефейси, що відбулися в 2008 і 2010 роках (перед цим масовим взломом проведеним T0r3x). Дефейси 273 сайтів проведено хакером T0r3x, 1 сайта хакерами з KDS і 1 сайта хакерами з v4 Team. Причому v4 Team взломали сайт fpo.krok.edu.ua 19.08.2008, а KDS взломали цей же сайт 10.06.2010 (тобто це був редефейс), так що окремих сайтів було дефейснуто 274.

Враховуючи велику кількість сайтів на одному сервері та короткий проміжок часу для дефейсу всіх цих сайтів, немає сумнівів, що вони були взломані через взлом серверу хостінг провайдера. Коли через взлом одного сайта, був отриманий root доступ до сервера (через уразливості в програмному забезпеченні самого сервера) та атаковані інші сайти на даному сервері.

Виявлене переповнення буфера в СУБД IBM Informix.

Уразливі продукти: IBM Informix Database Server.

Переповнення буфера в опції USELASTCOMMITTED не усунуто на протязі більше двох років.

• IBM Informix Dynamic Server SET ENVIRONMENT Remote Code Execution Vulnerability (деталі)

07.08.2010

У лютому, 10.02.2010, я знайшов SQL Injection та Directory Traversal уразливості на проекті http://referaty.co.ua. Про що найближчим часом сповіщу адміністрацію проекту.

Детальна інформація про уразливості з’явиться пізніше.

22.02.2011

SQL Injection:

http://referaty.co.ua/files.php?refdll=-1+union+select+version()%23

Directory Traversal (через SQL Injection):

http://referaty.co.ua/files.php?refdll=-1+union+select+’../index.php’%23

Зараз сайт не працює (замість нього виводиться лише сторінка “парковки” домена).

Після попереднього дослідження інфікованих сайтів, приведу нову інформацію про заражені сайти. З числа українських сайтів.

• http://www.controlf.biz.ua - інфекція була виявлена 18.01.2011. Зараз сайт не входить до переліку підозрілих.
• http://i-m.com.ua - інфекція була виявлена 26.12.2010. Зараз сайт не входить до переліку підозрілих.
• http://novinka.com.ua - інфекція була виявлена 12.02.2011. Зараз сайт входить до переліку підозрілих.
• http://sigraem.com - інфекція була виявлена 27.01.2011. Зараз сайт не входить до переліку підозрілих.
• http://belkosmetik.com.ua - інфекція була виявлена 23.01.2011. Зараз сайт не входить до переліку підозрілих.

27.01.2011

Виявлені численні уразливості в багатьох додатках Oracle і Sun.

Уразливі продукти: WebLogic Server 7.0, Oracle 10g, Oracle 11g, JRockit 28.0, PeopleSoft Enterprise CRM 9.1, Oracle Audit Vault 10g, Oracle Secure Backup 10g та інші продукти Oracle.

Чергове щоквартальне оновлення закриває майже 70 уразливостей в усіх продуктах.

• Oracle Document Capture Actbar2.ocx - insecure method (деталі)
• Oracle Document Capture empop3.dll - insecure method (деталі)
• SAP Crystal Reports 2008 - ActiveX insecure methods (деталі)
• Oracle Document Capture ImportBodyText - read files (деталі)
• SAP Crystal Reports 2008 - Directory Traversal (деталі)
• Oracle Document Capture ActiveX - Insecure method, buffer overflow (деталі)
• Open Edge RDBMS - Multiple architecture vulnerabilities (UNPATCHED) (деталі)
• OpenVAS Manager Vulnerable To Command Injection (деталі)
• SAP Crystal Reports 2008 - actionNavjsp_xss (деталі)
• Oracle Critical Patch Update Advisory - January 2011 (деталі)

21.02.2011

Додаткова інформація.

• Multiple Vendor Calendar Manager RPC Service Remote Code Execution Vulnerability (деталі)

Додаткова інформація.

• HP-UX Running CDE Calendar Manager, Remote Execution of Arbitrary Code (деталі)

В даній добірці уразливості в веб додатках:

• HP OpenView NNM ovwebsnmpsrv.exe Command Line Argument Remote Code Execution Vulnerability (деталі)
• HP OpenView Network Node Manager (OV NNM), Remote Execution of Arbitrary Code (деталі)
• Vulnerability in Subversion (деталі)
• XSS vulnerability in Ronny CMS (деталі)
• Hewlett-Packard OpenView NNM ovwebsnmpsrv.exe Bad Option Remote Code Execution Vulnerability (деталі)
• Hewlett-Packard OpenView NNM ovutil.dll getProxiedStorageAddress Remote Code Execution Vulnerability (деталі)
• XSS vulnerability in Ronny CMS (деталі)
• XSS vulnerability in PluXml (деталі)
• XSS vulnerability in PluXml (деталі)
• HP Virtual Machine Manager (VMM) for Windows, Remote Unauthorized Access, Privilege Elevation (деталі)

В листопаді, після виходу версії 3.1.3, вийшла Invision Power Board 3.1.4. Це оновлення для 3.1.х гілки форуму IPB.

• Русская версия IP.Board 3.1.4 (деталі)

Компанія IBResource повідомляє про вихід російської версії IP.Board 3.1.4. Ця версія включає виправлення помилок, виявлених у версії IPB 3.1.3, а також додає необхідні вихідні коди для сумісності нових версій модулів.

В своїй презентації Hackers Paradise SQL Injection Attacks, Doug Seven, розповідає про SQL Injection атаки. Про те, що таке SQL ін’єкції, про просунуті атаки та про те, як їм протидіяти.

За повідомленням www.xakep.ru, Facebook оперативно залатав дірку.

На початку місяця Facebook непомітно усунув уразливість, нещодавно відкриту двома студентами-дослідниками. Дірка дозволяла шкідливим сайтам без дозволу одержувати доступ до особистих даних користувачів Facebook і постити шкідливі лінки в їхньому профілі.

Про дірявий Facebook я пишу регулярно, як про дірки в самій соціальній мережі (в якій я також знаходив уразливості), так і про взломи акаунтів Facebook, в тому числі відомих людей. Так що це типове явище для Фейсбука .

За повідомленням hackzona.com.ua, вийшов реліз DEFT 6, інструментарію для розслідування комп’ютерних злочинів.

В січні побачив світ реліз Linux-дистрибутива DEFT 6, призначеного для проведення аналізу наслідків зломів, визначення прихованих або втрачених даних у системі, а також для збору доказів в розслідуваннях комп’ютерних злочинів.

За повідомленням www.xakep.ru, фальшиві антивірусні компанії заробляють більше грошей, чим справжні фірми по безпеці.

Виступивши на конференції “Висновки з переслідування кіберзлочинців”, що відбулася цього року в Сан-Франциско, Педро Бустаманте, старший аналітик Panda Security, розповів нам, чому географія перешкоджає встановленню кіберсправедливості.

24.12.2010

У вересні, 11.09.2010, я знайшов Denial of Service уразливість в Megapolis.Portal Manager. Це комерційна CMS від компанії Cофтлайн. Яку я виявив на сайті www.kvs.gov.ua. Про що найближчим часом повідомлю розробникам.

Також дана уразливість наявна на державних сайтах www.dcz.gov.ua та www.kmu.gov.ua. Інші сайти на даному движку також можуть бути уразливі.

Раніше я вже неодноразово писав про уразливості в Megapolis.Portal Manager, коли розповідав про дірки на державних сайтах, де викорустивується даний движок.

Детальна інформація про уразливість з’явиться пізніше. Спочатку повідомлю розробникам системи.

19.02.2011

DoS:

http://site/path/cewolf?img=1&width=10000&height=10000

Використовуючи великі значення в параметрі width, height або в обох параметрах можна спожити всю пам’ять сервера.

Уразливі всі версії Megapolis.Portal Manager. Cофтлайн, розробник даної CMS, проігнорував дану уразливість (що є дуже несерйозно). Добре, що знайшлися більш серйозні люди в СБУ, що виправили дану уразливість як на сайтах українських спецслужб, так і на деяких державних сайтах. Але все ще є чимало сайтів на Megapolis.Portal Manager, в тому числі gov.ua сайтів, вразливих до DoS атаки.