Websecurity - Веб безпека

В публічних емайл розсилках (mailing lists), також відомих як дискусійні групи (discussion groups), існує ряд уразливостей, про які я вже розповідав на прикладі WASC Web Security Mailing List (які я виявив в даній дискусійній групі в 2008 році). Що можуть використовуватися для проведення різних атак на розсилку та її дописувачів.

Основними уразливостями, що характерні всім емайл розсилкам, є наступні Abuse of Functionality та Insufficient Anti-automation уразливості. І всім користувачам дискусійних груп варто враховувати ризики їх використання.

Abuse of Functionality:

Коли участник посилає повідомлення в розсилку, після публікації воно посилається всім дописувачам. І погані хлопці (спамери), що підписані на розсилку, можуть встановити автовідповідач зі спамовим (чи зловмисним) повідомленням. І дане повідомлення автоматично відправиться на емайл відправника.

Так що спамерам навіть не потрібно знати емайли учасників розсилки, що надсилають до неї повідомлення, а лише потрібно підписатися на розсилку та встановити автовідповідач.

Abuse of Functionality:

Розсилка захищає емайли участників, що посилають повідомлення в розсилку (шляхом видозміни їх - обфускації). Але використовуючи підписку спамери можуть легко виявити емайли участників.

Тому що емайли доступні в тексті повідомлень (в чистому вигляді), що надсилаються всім дописувачам, коли участники надсилають їх до розсилки. Так що спамерам потрібно лише підписатися на розсилку і чекати повідомлень з емайлами, що прийдуть до них.

Insufficient Anti-automation:

В розсилках можлива автоматизована реєстрація. Що дозволить спамерам автотизовано підписуватися на розсилку та проводити дві вищезгадані атаки. І поєднуючи Insufficient Anti-automation з Abuse of Functionality уразливостями, спамери можуть автоматизовано відправляти спам чи автоматизовано збирати емайли для подальшого використання.

В цьому місяці, 07.02.2011, вишла нова версія WordPress 3.0.5.

WordPress 3.0.5 це секюріті випуск 3.0 серії. В якому розробники виправили три уразливості: дві Cross-Site Scripting уразливості (що потребують ролі Author чи Contributor для атаки) та одну Information Disclosure уразливість (що потребує роль Author для атаки).

А також розробники додали нові секюріти покращення в WP. Одне з них покращує безпеку будь-яких плагінів, що некоректно використовують секюріті API движка. Інше надає додатковий захист проти уразливості, що була виправлена в попередній версії.

Виявлені численні уразливості безпеки в Adobe Shockwave Player.

Уразливі версії: Adobe Shockwave Player 11.5.

Численні пошкодження пам’яті.

• Adobe Shockwave DIRAPI LCTX Chunck Memory Corruption Vulnerability (APSB11-01) (деталі)
• Adobe Shockwave CSWV Chunk Substructure Offset Value Remote Code Execution Vulnerability (деталі)
• Adobe Shockwave Player 0xFFFFFF45 Record Count Element Remote Code Execution Vulnerability (деталі)
• Adobe Shockwave Player FFFFFF88 Record Count Element Remote Code Execution Vulnerability (деталі)
• Adobe Shockwave Player Memory Corruption Vulnerability (деталі)
• Adobe Shockwave PFR1 Font Chunk Parsing Remote Code Execution Vulnerability (деталі)
• Adobe Shockwave GIF Logical Screen Descriptor Parsing Remote Code Execution Vulnerability (деталі)
• Adobe Shockwave Font Xtra String Decoding Remote Code Execution Vulnerability (деталі)
• Adobe Shockwave TextXtra Invalid Seek Remote Code Execution Vulnerability (деталі)
• Adobe Shockwave dirapi.dll IFWV Trusted Offset Remote Code Execution Vulnerability (деталі)
• Security update available for Shockwave Player (деталі)

20.12.2010

У липні, 25.07.2010, я знайшов Abuse of Functionality уразливості в Drupal. Які я виявив під час секюріті аудиту на одному сайті. Про що найближчим часом повідомлю розробникам.

Раніше я вже писав про Brute Force та Abuse of Functionality уразливості в Drupal.

Детальна інформація про уразливості з’явиться пізніше. Спочатку повідомлю розробникам системи.

18.02.2011

Abuse of Functionality:

В системі використовується ненадійний механізм зміни пароля. В профілі користувача (http://site/user/1/edit) можна змінити пароль без знання поточного пароля. І хоча в формі використовується захист від CSRF, це не захистить від Abuse of Functionality.

Тому що з використанням XSS уразливості можна обійти даний захист і провести віддалену атаку для зміни пароля (в тому числі й адміністратора). Або ж при викраденні сесії через XSS можна зайти в акаунт і змінити пароль. Або ж це можна зробити при тимчасовому доступі до комп’ютера користувача, з якого він зайшов в свій акаунт.

Abuse of Functionality:

Окрім двох раніше згаданих методів, існують наступні методи визначення логінів користувачів.

На форумі (http://site/forum) виводяться логіни користувачів сайта, що запостили на форумі (відкрили тему або написали коментар).

В розділі Останні публікації (http://site/tracker) на сторінках “Всі останні публікації” та “Мої публікації” виводяться логіни користувачів сайта, що написали записи на сайті. Атаку можна провести лише будучи залогіненим на сайті.

В записах блога (http://site/content/post), а також в коментарях до записів блогів та на інших сторінках сайта (http://site/page) виводяться логіни користувачів сайта, що зробили запис в блозі або написали коментар.

В формі відновлення пароля (http://site/user/password) можна виявити логіни та емайли користувачів сайта. Якщо відправити невірний логін або емайл то виведеться повідомлення “Sorry, … is not recognized as a user name or an e-mail address”, а якщо відправити вірний логін або емайл, то це повідомлення не виведеться.

Уразливі Drupal 6.20 та попереднії версії (перевірено в Drupal 6.17).

В листопаді вийшла Invision Power Board 3.1.3. Це оновлення для 3.1.х гілки форуму IPB, що в тому числі покращує безпеку форуму.

• Русская версия IP.Board 3.1.3 (деталі)

Компанія IBResource повідомляє про вихід російської версії IP.Board 3.1.3 (IPB). Ця версія включає виправлення багатьох помилок, виявлених у версії IPB 3.1.2, включає всі додаткові виправлення англомовної версії, а також закриває потенційну уразливість.

Після попереднього виявлення похаканих сайтів в моїх логах, приведу нову інформацію про взломані українських сайти. Що використовуються для атак (зокрема RFI атак) на інші сайти.

Похакані сайти в Уанеті:

• http://nash.tgs.ck.ua (невідомим хакером) - 01.2011
• http://www.infra.com.ua (хакером FeeLCoMz) - 05.02.2011

Файли, що використовувалися для RFI атак:

http://nash.tgs.ck.ua/.sh/id.jpg - файл вже видалений з сайта.
http://www.infra.com.ua/rzgn/1 - файл вже видалений з сайта, але все ще є в кеші Гугла.

Виявлені численні уразливості безпеки в Adobe Flash Player.

Уразливі версії: Adobe Flash Player 10.1.

Цілочислені переповнення, пошкодження пам’яті.

• Remote Binary Planting in Adobe Flash Player (деталі)
• Adobe Flash Player ActionScript Memory Corruption Vulnerability (деталі)
• Adobe Flash Player ActionScript Integer Overflow Vulnerability (деталі)
• Adobe Flash Player Point Object Remote Code Execution Vulnerability (деталі)
• Security update available for Adobe Flash Player (деталі)

15.12.2010

У липні, 25.07.2010, я знайшов Brute Force та Abuse of Functionality уразливості в Drupal. Які я виявив під час секюріті аудиту на одному сайті. Про що найближчим часом повідомлю розробникам.

Раніше я вже писав про уразливість в reCAPTCHA для Drupal.

Детальна інформація про уразливості з’явиться пізніше. Спочатку повідомлю розробникам системи.

17.02.2011

Brute Force:

В формі логіна (http://site/user/) не реалізований надійний захист від підбору пароля. В самому Drupal капчі немає, а існуючий Captcha модуль (а також всі плагіни до нього, такі як reCAPTCHA) є уразливим, як я вже писав.

Abuse of Functionality:

На сторінці контактів (http://site/contact) та на сторінці контакту з користувачем (http://site/user/1/contact) є можливість відправляти спам на довільні емайли через функцію “Send yourself a copy”. Атака з використанням цієї функції можлива лише для залогінених користувачів.

Для автоматизованої розсилки спаму потрібно використати раніше згадані Insufficient Anti-automation уразливості - в самому Drupal капчі немає, а існуючий качпа-модуль (та всі плагіни до нього, такі як reCAPTCHA) є уразливим.

Про подібні Abuse of Functionality уразливості я писав в статті Розсилка спаму через сайти та створення спам-ботнетів.

Abuse of Functionality:

При зверненні до визначених сторінок сайта з вказанням логіна (http://site/users/user) можна визначити існуючі логіни користувачів на сайті. Якщо виводить “Access denied” - значить такий логін є, а якщо “Page not found” - значить немає.

При зверненні до сторінок контакту з користувачем (http://site/user/1/contact) виводиться логін користувача на сайті. Атаку можна провести лише будучи залогіненим на сайті й вона спрацює лише якщо користувач включив опцію “Персональна форма контактів” в своєму профілі.

Уразливі Drupal 6.20 та попереднії версії (перевірено в Drupal 6.17).

Після попереднього дослідження похаканих сайтів, приведу нову інформацію про взломані сайти. З числа українських сайтів.

• http://gadget-click.com (хакерами з GarOo-TeaM)
• http://www.randevucity.net (хакером Samael91) - 10.02.2011, взломаний форум проекту, зараз він вже виправлений адмінами
• http://news.vpolitesi.com (хакерами з 1923TURK-GRUP)
• http://forum.mrc.net.ua (хакером GHoST61)
• http://ukrtransport.com (хакерами з EliTTe SquaD)

На початку вересня вийшло оновлення безпеки для Invision Power Board 3.1.2. В даному оновленні виправлена Cross-Site Scripting уразливість, яка стосується 3.x версій движка.

• Обновление безопасности в IP.Board v3.1.2 (деталі)

Компанія IBResource повідомляє про вихід оновлення безпеки в IP.Board останніх версій, а саме IPB 3.1.2. Була знайдена некритична уразливість, пов’язана з недостатньою перевіркою вхідних даних при обробці BB-кодів. В останній версії дистрибютива ІPB 3.1.2 дана уразливість вже виправлена.