Websecurity - Веб безпека

Нещодавно, 09.03.2011, я виявив фішинг атаку на клієнтів ПриватБанку - на користувачів Приват24. В той день я отримав два однакових фішерських листи (на два моїх емайли) з темою “PrivatBank: New security notification” стосовно змін в системі Приват24 і рекомендацією терміново відвідати власний акаунт П24 (що є типовою схемою для фішинга).

Зазначу, що сам я не користуюся Приват24, але фішинг листи все ж таки отримав . Це може бути пов’язано або з тим, що фішери проводили масоване розсилання спам-листів по великій базі українських емайлів (щоб хоча б на деяких користувачів П24 натрапити). Або ж мій емайл потрапив в їхній список в зв’язку з деякими моїми згадками в Інтернеті, що я іноді взаємодіяв з цією системою.

Обидва листи були відправлені з серверів англійського хостинг-провайдера uk2.net. В обох листах використовувалось ідентичне шахрайське повідомлення, що вело на фішерський сайт для крадіжки облікових даних користувачів П24. Відправка фішінг-листів відбувалась через Perl-скрипт.

Сам фішинг сайт розміщувався на сайті www.abc-centraltaxis.com, що також хоститься у цього ж провайдера (в одній з папок сайта - http://www.abc-centraltaxis.com/login.privatbank.ua/). Вірогідно даний сайт був взломаний для проведення фішинг атаки на користувачів П24. Зараз фішерських сторінок (всієї папки login.privatbank.ua) вже немає на даному сайті.

Це поширений підхід, коли фішери розміщують свої фішерськи веб-сторінки на існуючих сайтах (що вони взломали). В Уанеті такі випадки також регулярно трапляються, про що я знаю зокрема з розповідей людей, які звертаються до мене за аудитом безпеки.

В лютому, незабаром після версії 3.0.5, 23.02.2011, вишла нова версія WordPress 3.1.

WordPress 3.1 це перший випуск нової 3.1 серії. В ній додано чимало покращень порівняно з 3.0.x версіями движка, в тому числі виправлено більше 820 багів.

Серед головних покращень зокрема був змінений процес встановлення лінків, додана панель адміна, модернізований інтерфейс написання записів та сторінок і оновлена адмінська тема.

Серед покращень для розробників можна виділити наступні: підтримка форматів постів, нові можливості CMS (такі як сторінки архівів для різного контенту), новий розділ адмінки Network Admin, ревізована система імпорту та експорту і можливість робити запити розширеної таксономії та довільних полів.

11.01.2011

У жовтні, 15.10.2010, я знайшов Insufficient Anti-automation та Cross-Site Scripting уразливості в CMS WebManager-Pro. Дані уразливості я виявив на різних сайтах на CMS WebManager-Pro від FGS_Studio. Про що найближчим часом повідомлю розробникам.

Раніше я вже писав про уразливості в CMS WebManager-Pro.

Детальна інформація про уразливості з’явиться пізніше. Спочатку повідомлю розробникам системи.

11.03.2011

Insufficient Anti-automation:

На сторінці контактів (http://site/index.php?menu_id=x) немає захисту від автоматизованих запитів (капчі).

XSS:

POST запит на сторінці контактів (http://site/index.php?menu_id=x)
<script>alert(document.cookie)</script>В полях: ФИО, E-mail, Телефон, Тема письма, Текст.

Уразливі CMS WebManager-Pro v.7.4.3 (версія від FGS_Studio) та попередні версії.

Після попереднього дослідження похаканих сайтів, приведу нову інформацію про взломані сайти. З числа українських сайтів.

• http://www.balkanfest.com (хакером Mjdy ArAr)
• http://vial.kiev.ua (хакером HeDi MlikA)
• http://www.luxuryhouse.com.ua (хакером M4L3T) - 05.03.2011, зараз сайт вже виправлений адмінами
• http://bridge-school.com.ua (хакерами з RBH-CREW) - 28.02.2011, зараз сайт вже виправлений адмінами
• http://www.be-be.com.ua (хакерами з TURKSTARZ)

Виявлені численні уразливості безпеки в Firefox, Seamonkey, Thunderbird.

Уразливі продукти: Mozilla Firefox 3.6, SeaMonkey 2.0, Thunderbird 3.1.

Численні пошкодження пам’яті, переповнення буфера, використання пам’яті після звільнення, міжсайтовий скриптінг і підміна запитів.

• Mozilla Firefox JSON.stringify Dangling Pointer Remote Code Execution Vulnerability (деталі)
• Mozilla Foundation Security Advisory 2011-10 (деталі)
• Mozilla Foundation Security Advisory 2011-09 (деталі)
• Mozilla Foundation Security Advisory 2011-08 (деталі)
• Mozilla Foundation Security Advisory 2011-07 (деталі)
• Mozilla Foundation Security Advisory 2011-06 (деталі)
• Mozilla Foundation Security Advisory 2011-05 (деталі)
• Mozilla Foundation Security Advisory 2011-04 (деталі)
• Mozilla Foundation Security Advisory 2011-03 (деталі)
• Mozilla Foundation Security Advisory 2011-02 (деталі)
• Mozilla Foundation Security Advisory 2011-01 (деталі)

В даній добірці уразливості в веб додатках:

• pam_captcha username harvest vulnerability (деталі)
• XSS vulnerability in sNews (деталі)
• AlstraSoft E-Friends 4.96 Multiple Remote Vulnerabilities (деталі)
• New znc packages fix denial of service (деталі)
• MyCart 2.0 Multiple Remote Vulnerabilities (деталі)
• XSS vulnerability in Zomplog (деталі)
• Ipswitch Imail Server Queuemgr Format String Remote Code Execution Vulnerability (деталі)
• Ipswitch Imail Server Mailing List Remote Code Execution Vulnerability (деталі)
• Ipswitch Imail Server List Mailer Reply-To Address Remote Code Execution Vulnerability (деталі)
• SQL injection in BloofoxCMS registration plugin (деталі)

Продовжуючи тему уразливостей в плагінах для WordPress, пропоную вам інформацію про дірки в інших плагінах для WP.

Цього разу повідомляю про уразливості в плагінах Question and Answer Forum та WP Forum. Для котрих з’явилися експлоіти. Question and Answer Forum - це плагін для створення форуму питань і відповідей, WP Forum - це плагін для стоворення форуму.

• XSS in Question and Answer Forum wordpress plugin (деталі)
• SQL Injection in WP Forum wordpress plugin (деталі)
• SQL Injection in WP Forum wordpress plugin (деталі)

Користувачам даних плагінів варто або оновити їх, або власноруч виправити дірки. В якості тимчасового рішення, поки не будуть виправлені чи оновлені плагіни, можна їх виключити в адмінці.

У вересні місяці відбувся масовий взлом сайтів на сервері Freehost. Нещодавно я вже розповідав про інші масові взломи.

Був взломаний сервер української компанії Freehost. Взлом відбувся перед згаданим масовим взломом сайтів на сервері Inter-Telecom. Окрім основного (масового) взлому, були ще декілька невеликих взломів сайтів на даному сервері до і після цього інцеденту.

Всього в 2010-2011 роках було взломано 78 сайтів на сервері Freehost (IP 194.0.200.30). Це наступні сайти: www.your-brand.kiev.ua, general-brend.com.ua, www.efremov.kiev.ua, www.bibliotekaoz.com, www.report.if.ua, bilders.com.ua, masterknig.com.ua, masterknyg.com.ua, rotor-dv.com.ua, lawbrothers.com.ua, www.elitmoda.com.ua, www.podobovo.biz, www.caritas.if.ua, www.teksa.com.ua, drupal.ukrface.org.ua, www.studweek.org, www.styknews.info, www.ukrface.org.ua, www.vatikan.com.ua, www.studiya-igr.com.ua, www.relife.com.ua, www.sundara.com.ua, catalog.erkc.com.ua, jobs.alfa-personal.com.ua, www.alfa-dom.com.ua, www.alfa-personal.com.ua, www.erkc.com.ua, www.femida-online.com.ua, www.alliance-chemistry.com.ua, www.artmedia.dp.ua, www.colorart.com.ua, www.fabrika.gov.ua, www.filatovich.com, www.fit4you.dp.ua, www.gods.in.ua, www.hlpu.in.ua, www.nfuk.org.ua, www.novahvilya.org.ua, www.sharu.in.ua, www.inazuma.dn.ua, www.intermarr.com.ua, www.klimova.com.ua, littlestar.com.ua, www.master.ks.ua, www.mebel-megalux.com.ua, www.migexpo.kiev.ua, www.mykhail-krugliak.org.ua, www.naytov.net, www.nvcompany.com.ua, www.palladium.in.ua, www.goldenkey.com.ua, www.permyakov.info, www.lc-femida.com.ua, www.bomond-club.com.ua, www.burbbery.com.ua, www.timeresort.com.ua, www.retriever-db.com.ua, www.rk-ukraina.com, www.honda-shop.net, www.shopsex.in.ua, www.sichstudio.com, www.mebliki.kiev.ua, www.msio.com.ua, beta.bpf-ukraine.com.ua, maegrafik.in.ua, www.business-tour.com.ua, www.business-realt.com.ua, absolute-ukraine.com.ua, athome.in.ua, elegido.in.ua, gcapital.com.ua, lawyer-dan.in.ua, lmg.net.ua, na-5.org.ua, sessia-plus.org.ua, xxicentury-immigration.com, passionstyle.com.ua, www.dpks.dp.ua. Серед них український державний сайт www.fabrika.gov.ua.

Більшість з зазначених сайтів була взломана 07 вересня 2010 року. А також було ще декілька окремих дефейсів (перед і після цього масового взлому проведеного The KabuS): 01.03.2010, 18.05.2010, 16.08.2010, 17.08.2010, 24.08.2010, 24.08.2010, 10.09.2010, 30.09.2010, 17.11.2010 та 27.02.2011. Дефейси 52 сайтів проведено хакером The KabuS, 6 сайтів хакерами з K-N-S, 1 сайта хакером sr1_0d0nk, 17 сайтів хакерами з AHG, 1 сайта хакерами з AH-Crew і 1 сайта хакерами з KTN.

Враховуючи велику кількість сайтів на одному сервері та короткий проміжок часу для дефейсу всіх цих сайтів, немає сумнівів, що вони були взломані через взлом серверу хостінг провайдера. Коли через взлом одного сайта, був отриманий root доступ до сервера (через уразливості в програмному забезпеченні самого сервера) та атаковані інші сайти на даному сервері.

Продовжуючи розпочату традицію, після попереднього відео про Експлоіти для програм від Adobe, пропоную нове відео на веб секюріті тематику. Цього разу відео про діряві сайти McAfee. Рекомендую подивитися всім хто цікавиться цією темою.

XSSing McAfee SECURED

В даному відео від YGN Ethical Hacker Group показаний процес знаходження та демонстраційної експлуатації XSS уразливостей на сайтах McAfee - відомої секюріті компанії. Яка займається випуском антивірусів, а також проводить перевірки безпеки сайтів та роздає логотипи Hacker Safe та McAfee SECURE.

Раніше я вже писав про дірки на сайтах з логотипом McAfee “Hacker Safe” і в 2008 році дана компанія була переможцем Pwnie Awards за свою програму сертифікацї “Hacker Safe” (за ігнорування XSS). Стосовно справжної безпеки сайтів із секюріті логотипами я вже писав у своїй статті.

В відео демонструються дві XSS на двох сайтах McAfee і це при тому, що власні сайти даної компанії мають логотип McAfee SECURE . Рекомендую подивитися дане відео для розуміння справжнього значення секюріті логотипів.

14.01.2011

У жовтні, 26.10.2010, я знайшов Insufficient Anti-automation та Cross-Site Scripting уразливості в PHP-Nuke. Які я виявив на одному сайті, що використовує даний движок. Про що найближчим часом повідомлю розробникам.

Раніше я вже писав про уразливості в PHP-Nuke.

Детальна інформація про уразливості з’явиться пізніше. Спочатку повідомлю розробникам системи.

09.03.2011

Insufficient Anti-automation:

http://site/modules.php?name=Submit_News

В формі немає захисту від автоматизованих запитів (капчі).

XSS:

http://site/modules.php?name=Submit_News

"><img src='’ onerror="javascript:alert(document.cookie)

В полі Тема.

<img src='’ onerror="javascript:alert(document.cookie)">

В полях Анотація та Основний текст статті. Спрацює при використанні TinyMCE в формі.

Уразливі PHP-Nuke 8.0 та попередні версії.