Архів за Квітень, 2011

Інфіковані сайти №76

22:45 25.04.2011

Після попереднього дослідження інфікованих сайтів, приведу нову інформацію про заражені сайти. З числа українських сайтів.

  • http://ssolers.at.ua - інфекція була виявлена 10.02.2011. Зараз сайт не входить до переліку підозрілих.
  • http://spas-jc.com - інфекція була виявлена 20.04.2011. Зараз сайт входить до переліку підозрілих.
  • http://uatender.com - інфекція була виявлена 16.04.2011. Зараз сайт не входить до переліку підозрілих.
  • http://gamemaster.org.ua - інфекція була виявлена 24.04.2011. Зараз сайт входить до переліку підозрілих.
  • http://bnu.com.ua - інфекція була виявлена 16.04.2011. Зараз сайт не входить до переліку підозрілих.

Як і у випадку з іншими веб сайтами, інфіковані сайти spas-jc.com та uatender.com також хостить в себе Укртелеком.

Численні уразливості в Apple WebKit і Safari

19:28 25.04.2011

19.04.2011

Виявлені численні уразливості безпеки в Apple WebKit і Safari.

Уразливі продукти: Apple Safari 5.0.

Цілочислені переповнення, використання пам’яті після звільнення.

  • (Pwn2Own) WebKit WBR Tag Removal Remote Code Execution Vulnerability (деталі)
  • (Pwn2Own) Webkit CSS Text Element Count Remote Code Execution Vulnerability (деталі)
  • Apple Safari Text Nodes Remote Use-after-free Vulnerability (деталі)
  • About the security content of Safari 5.0.5 (деталі)

25.04.2011

Додаткова інформація.

  • Webkit Undefined DOM Prototype Attach Remote Code Execution Vulnerability (деталі)
  • Webkit Anonymous Frame Remote Code Execution Vulnerability (деталі)
  • Webkit Detached Body Element Remote Code Execution Vulnerability (деталі)

Добірка уразливостей

15:16 25.04.2011

В даній добірці уразливості в веб додатках:

  • RSA, The Security Division of EMC, releases security hot fix for a potential vulnerability in RSA Access Manager Agent when working with RSA Adaptive Authentication (деталі)
  • email XSS in SimpLISTic (деталі)
  • RSA, The Security Division of EMC, releases security hot fixes for potential vulnerability in RSA Access Manager Server under certain conditions (деталі)
  • URL XSS in Easy Banner Free (деталі)
  • HP ProLiant G6 Lights-Out 100, Remote Management, Denial of Service (DoS) (деталі)
  • SQL injection Auth Bypass in Easy Banner Free (деталі)
  • HP Insight Diagnostics Online Edition, Remote Cross Site Scripting (XSS) (деталі)
  • SQL injections in FreeTicket (деталі)
  • YOPS Web Server Remote Command Execution (деталі)
  • XSS vulnerability in Wolf CMS (деталі)

Уразливості в плагінах для WordPress №44

23:52 23.04.2011

Продовжуючи тему уразливостей в плагінах для WordPress, пропоную вам інформацію про дірки в інших плагінах для WP.

Цього разу повідомляю про уразливості в плагінах SocialGrid та Universal Post Manager. Для котрих з’явилися експлоіти. SocialGrid - це плагін для додавання лінків на профілі в різних соціальних мережах, Universal Post Manager - це плагін для створення голосуваннь та багатьох інших функцій на сайті на WP.

  • XSS in SocialGrid wordpress plugin (деталі)
  • Path disclosure in Universal Post Manager wordpress plugin (деталі)
  • Multiple XSS in Universal Post Manager wordpress plugin (деталі)

Користувачам даних плагінів варто або оновити їх, або власноруч виправити дірки. В якості тимчасового рішення, поки не будуть виправлені чи оновлені плагіни, можна їх виключити в адмінці.

Третій масовий взлом сайтів на сервері Delta-X

22:38 23.04.2011

Минулої осені відбувся третій масовий взлом сайтів на сервері Delta-X, після другого взлому сайтів на сервері Delta-X. Нещодавно я вже розповідав про інші масові взломи.

Був взломаний третій сервер компанії Delta-X. Всього в листопаді було взломано 5 серверів даної компанії, це третій випадок з п’яти (про кожен з них я розповім окремо). Майже всі дефейси на цих серверах були проведені на протязі 23-25 листопада, лише декілька сайтів було взломано вже цього року.

Всього було взломано 2667 сайтів (що більше ніж попереднього разу) на сервері української компанії Delta-X (IP 195.64.184.18). Перелік сайтів можете подивитися на www.zone-h.org. Серед них український державний сайт www.vinrajrada.gov.ua.

Майже всі зазначені сайти були взломані 25.11.2010, 1 сайт 20.02.2011 та 1 сайт 28.02.2011. Дефейси 2666 сайтів було проведено хакером iskorpitx та 1 сайта хакерами з RKH.

Враховуючи велику кількість сайтів на одному сервері та короткий проміжок часу для дефейсу всіх цих сайтів, немає сумнівів, що вони були взломані через взлом серверу хостінг провайдера. Коли через взлом одного сайта, був отриманий root доступ до сервера (через уразливості в програмному забезпеченні самого сервера) та атаковані інші сайти на даному сервері.

Квітневий вівторок патчів від Microsoft

19:22 23.04.2011

В квітні місяці Microsoft випустила 17 патчів. Що значно більше ніж у березні. Це найбільший випуск патчів - по кількості патчів він рівний грудневому, але по кількості виправлених окремих уразливостей він значно більший за усі попередні.

У квітневому “вівторку патчів” Microsoft випустила черговий пакет оновлень, до якого увійшло 17 бюлетенів по безпеці. Що закривають 64 уразливості в програмних продуктах компанії. Зокрема дев’ять патчів закривають критичні уразливості (в Windows, Internet Explorer і Office), а інші вісім патчів виправляють важливі уразливості.

Дані патчі стосуються всіх поточних операційних систем компанії Microsoft - Windows XP, 2003, Vista, 2008, 7 та 2008 R2. А також Microsoft Office, Internet Explorer, Visual Studio та .NET.

Уразливості на www.un.org

15:10 23.04.2011

13.09.2010

У квітні, 29.04.2010, я знайшов Cross-Site Scripting та Remote HTML Include уразливості на http://www.un.org - сайті Організації Об’єднаних Націй (ООН). Про що найближчим часом сповіщу адміністрацію сайта.

Детальна інформація про уразливості з’явиться пізніше.

23.04.2011

XSS (RXI):

Remote HTML Include (RHI):

Дані уразливості досі не виправлені.

Уразливості в багатьох темах та компонентах для Joomla

23:53 22.04.2011

Подібно до уразливостей в багатьох темах для WordPress, Drupal та ExpressionEngine, також уразливими є багато тем та компонентів для Joomla.

У березні, 05.03.2011, я знайшов Cross-Site Scripting, Full path disclosure, Abuse of Functionality та Denial of Service уразливості в наступних темах та компонентах для Joomla: темі PBV MULTI VirtueMart Theme для компоненту VirtueMart, компоненті Registration, що є складовою Joomla, та компоненті Handy Photo Album.

Cross-Site Scripting, Full path disclosure, Abuse of Functionality та Denial of Service уразливості в даних темах такі ж самі як і в раніше згаданих темах для WP, Drupal та ExpressionEngine. Тому що дані шаблоні містять TimThumb, про уразливості в якому я вже писав.

Тема PBV MULTI VirtueMart Theme для компоненту VirtueMart для Joomla:

Full path disclosure:

http://site/components/com_virtuemart/themes/pbv_multi/scripts/timthumb.php?src=http://

Уразлива до Full path disclosure, Abuse of Functionality та DoS. У випадку AoF та DoS доступ можливий лише до поточного і дозволених сайтів.

Компонент Registration, що є складовою Joomla:

XSS:

http://site/components/com_registration/script/timthumb.php?src=1%3Cbody%20onload=alert(document.cookie)%3E

Уразливий до XSS, Full path disclosure, Abuse of Functionality та DoS.

Компонент Handy Photo Album для Joomla:

XSS:

http://site/components/com_hpalbum/timthumb.php?src=1%3Cbody%20onload=alert(document.cookie)%3E

Уразливий до XSS, Full path disclosure, Abuse of Functionality та DoS.

Уразливі версії даних шаблонів та компонентів з TimThumb 1.24 та попередніми версіями. Зокрема уразливі PBV MULTI VirtueMart Theme 1.0.5 та попередні версії, Registration 1.0.0 та Handy Photo Album 1.0.1 та попередні версії. Окрім цих є ще багато інших вразливих шаблонів та компонентів для Joomla. Ім’я вразливого скрипта може бути timthumb.php або thumb.php.

Анонс останніх оновлень

22:44 22.04.2011

Інформую вас про останні оновлення на сайті, що були зроблені в квітні.

Поповнив розділ Секюріті програми новим додатком - MustLive Uploader, що стане в нагоді при секюріті аудиті. Також заплановані інші оновлення та поповнення даного розділу.

Після останнього оновлення обох тестів з веб безпеки, нещодавно я оновив друге тестування, в якому ви можете перевірити рівень своїх хакерських знань. В даній версії додав 5 нових запитань.

Також повідомляю, що учора, 21.04.2011, виповнилося 12 років моєму першому сайту http://mlbpg.narod.ru!

З чим себе і вас поздоровляю ;-) . В зв’язку з цим можете послухати моїх нових композицій.

Новини: взлом Barracuda Networks, діряві сайти магазинів та 1,5 мільйони заражених сайтів

19:28 22.04.2011

За повідомленням hackzona.com.ua, хакери вкрали конфіденційні дані у Barracuda Networks.

На початку квітня веб сайт розробника рішень з мережевої безпеки Barracuda Networks піддався хакерській атаці, яка привела до витоку конфіденційних даних партнерів і співробітників компанії.

Я вже писав про уразливості на www.barracudacentral.org - одному з сайтів компанії Barracuda Networks. Так що взлом іхнього сайта цілком передбачуваний.

За повідомленням www.xakep.ru, найбільші торгові сайти цілком відкриті для атак.

Фахівці в області комп’ютерних систем зареєстрували серйозні недоліки в програмному забезпеченні деяких найбільших торгових сайтів і показали, як вони можуть бути атаковані з метою одержання DVD, журналів в електронному вигляді й інших продуктів безкоштовно чи по сильно знижених цінах, що не були встановлені продавцями.

За останні 5 років я багато писав стосовно уризливостей на сайтах банків, онлайн магазинів та інших e-commerce сайтах та веб додатках для таких сайтів. Про що я регулярно публікую добірки про безпеку e-commerce сайтів в Уанеті.

За повідомленням hackzona.com.ua, хакери заразили більше 1,5 млн. сайтів.

Шкідлива програма, що маскується під антивірусне ПЗ (так звана scareware) заразила понад півтора мільйони сайтів у Всесвітній мережі і продовжує поширюватися. За даними Websense, цим вірусом також були заражені кілька сторінок одного з найбільших онлайнових музичних магазинів - Apple iTunes.