Websecurity - Веб безпека

Продовжуючи тему уразливостей в ADSL модемі Callisto 821+, розповім вам про CSRF і XSS уразливості в даному модемі. У квітні, 07.04.2011, я виявив Cross-Site Request Forgery та Cross-Site Scripting уразливості в ADSL модемі Callisto 821+ (SI2000 Callisto821+ Router).

Уразлива версія SI2000 Callisto821+ Router: X7821 Annex A v1.0.0.0 / Argon 4×1 CSP v1.0 (ISOS 9.0) [4.3.4-5.1]. Дана модель з іншими прошивками також повинна бути вразливою.

Дані атаки потрібно проводити на власника модему, який залогінений в адмінку. Враховуючи, що малоймовірно застати його в такому стані, то можна використати раніше згадані уразливості для проведення віддаленого логіну (щоб залогінити його в адмінку). Після чого можна спокійно провести CSRF або XSS атаку.

CSRF:

Дана уразливість дозволяє змінити пароль дефолтному користувачу.

Callisto 821+ CSRF.html

XSS:

В даній формі також є дві persistent XSS уразливості.

Callisto 821+ XSS.html

В даному випадку код виконається одразу, а також при відвіданні сторінок http://192.168.1.1/system/events.html і http://192.168.1.1/shared/event_log_selection.html.

Callisto 821+ XSS2.html

В даному випадку код виконається одразу, а також при відвіданні сторінки http://192.168.1.1/configuration/authentication.html.

На початку травня, 03-04.05.2011, відбувся новий масовий взлом сайтів на сервері Hvosting. Перший масовий взлом сайтів на сервері Hvosting вібдувася в січні.

Був взломаний сервер української компанії Hvosting. Взлом відбувся після згаданого масового взлому сайтів на сервері Tavrida Network.

Всього було взломано 23 сайти на сервері Hvosting (IP 91.200.40.52). Це наступні сайти: ukraids.gov.ua, new.comrad.net.ua, khortytsalife.com, uca.zp.ua, tattoo.zp.ua, reabilitolog.com.ua, www.novsemena.zp.ua, matras.zp.ua, map.khortytsalife.com, ligasockiev.org.ua, ligasocial.org.ua, kvest.zp.ua, iok.zp.ua, grandmax.zp.ua, elos.zp.ua, elit-mebel.zp.ua, comrad.zp.ua, caffenitea.com.ua, baida.zp.ua, www.autoshrot.zp.ua, artremstroy.com.ua, alexandria-f.com.ua, www.estil.com.ua. Серед них український державний сайт ukraids.gov.ua.

З зазначених сайтів 1 був взломаний 3 травня 2011 року хакером iskorpitx, а 22 сайти були взломані 4 травня 2011 року хакером S3Ri0uS.

Враховуючи велику кількість сайтів на одному сервері та короткий проміжок часу для дефейсу всіх цих сайтів, немає сумнівів, що вони були взломані через взлом серверу хостінг провайдера. Коли через взлом одного сайта, був отриманий root доступ до сервера (через уразливості в програмному забезпеченні самого сервера) та атаковані інші сайти на даному сервері.

Виявлене переповнення буфера в Embarcadero Interbase.

Уразливі версії: Embarcadero InterBase XE 10.0.

Переповнення буфера в області стека при обробці запиту connect.

• Embarcadero Interbase connect Request Parsing Remote Code Execution Vulnerability (деталі)

В даній добірці уразливості в веб додатках:

• HP Insight Control Virtual Machine Management for Windows, Remote Cross Site Scripting (XSS), Denial of Service (DoS), Cross Site Request Forgery (CSRF) (деталі)
• LFI in Exponent CMS (деталі)
• HP Insight Recovery for Windows, Remote Cross Site Scripting (XSS), Arbitrary File Download (деталі)
• LFI in Exponent CMS (деталі)
• HP Insight Control Performance Management for Windows, Remote Arbitrary File Download (деталі)
• XSS vulnerability in Zimplit CMS (деталі)
• HP Virtual Connect Enterprise Manager (VCEM) for Windows, Remote Arbitrary File Download (деталі)
• XSS vulnerability in Zimplit CMS (деталі)
• HP Virtual Server Environment for Windows, Remote Arbitrary File Download (деталі)
• XSS vulnerability in WWWThreads (php version) (деталі)

У квітні, 07.04.2011, я виявив численні уразливості в ADSL модемі Callisto 821+ (SI2000 Callisto821+ Router) компанії Iskra. Зокрема Predictable Resource Location, Brute Force та Cross-Site Request Forgery уразливості (а про численні CSRF та XSS я розповім в наступних записах).

Уразлива версія SI2000 Callisto821+ Router: X7821 Annex A v1.0.0.0 / Argon 4×1 CSP v1.0 (ISOS 9.0) [4.3.4-5.1]. Дана модель з іншими прошивками, а також інші моделі Callisto також повинні бути вразливими. Що я підтвердив при попередньому перегляді іншої моделі модему Callisto, про яку розповім з часом.

Predictable Resource Location:

http://192.168.1.1 (веб сервер по 80 і 8008 порту)

Адмінка модема розміщується по дефолтному шляху з дефолтним логіном і паролем (інформація про які наявна в Інтернеті). Що дозволяє локальним користувачам (що мають доступ до ПК, або по LAN), а також віддаленим користувачам через Інтернет (про що я розповім згодом) отримувати доступ до адмінки і змінювати налаштування модема.

Дефолтні вищезгадані налаштування - це звичайна практика у виробників ADSL роутерів, але провайдери повинні вносити зміни. Але зокрема Укртелеком цього не робить (і можуть бути й інші подібні ISP) і тому мільйони користувачів Інтернет послуг даного провайдера, що використовують модеми Callisto чи інших виробників, вразливі до даних атак. При цьому Укртелеком не попереджає своїх користувачів (і не дає жодної документації до модемів де було б це вказано) про наявність адмінки і дефолтних параметрів (які він не змінює) і що необхідно їх змінити за для безпеки. Про численні дірки на сайтах Укртелекому, а також в його телекомунікаційних та Інтернет послугах я вже писав.

В квітні я спілкувався з технічним працівником Укртелекому і спитав в нього про це, і як виявилося, компанія не змінює налаштування і не попереджає своїх клієнтів, бо не бачить жодних ризиків. Яких чимало, як я вже зазначав - це локальні та віддалені атаки.

Brute Force:

В формі логіна http://192.168.1.1 немає захисту від Brute Force атак. Що дозволить підбирати пароль (якщо він змінений з дефолтного), зокрема при локальній атаці. Наприклад, по LAN зловмисні користувачі або вірус на одному з комп’ютерів може провести атаку для підбору паролю, якщо він був змінений.

CSRF:

Відсутність захисту від Brute Force (такого як капча) також призводить до можливості проведення CSRF атаки, про що я писав в статті Атаки на незахищені логін форми. Це дозволяє проводити віддалений логін. Що стане в нагоді при проведенні атак на різні CSRF і XSS уразливості, про які я розповім в наступних записах.

Зазначу, що CSRF атака для віддаленого логіну можлива лише коли налаштування ADSL роутера не були змінені. Тому що після будь-яких змін налаштувань замість html-форми аутентифікації виводиться діалогове вікно Basic Auhentication, на яке вже не можна провести CSRF атаку. І дана ситуація не змінюється навіть після завантаження дефолтних параметрів модема.

В травні місяці Microsoft випустила 2 патчі. Що значно менше ніж у квітні.

У травневому “вівторку патчів” Microsoft випустила черговий пакет оновлень, до якого увійшло 2 бюлетені по безпеці. Що закривають 3 уразливості в програмних продуктах компанії. Зокрема один патч закриває критичну уразливість, а інший патч виправляє дві важливі уразливості.

Дані патчі стосуються серверних операційних систем компанії Microsoft (Windows 2003, 2008 та 2008 R2) та PowerPoint, що входить до складу Microsoft Office. А також компанія оновила свій Exploitability Index (індекс ризиків).

Виявлена можливість проведення DoS атаки проти бібліотеки APR і Apache mod_autoindex.

Уразливі продукти: Apache APR 1.4, Apache HTTP Server 2.2.

Вичерпання ресурсів процесора на довгих іменах.

• Vulnerability in apr (деталі)
• Multiple Vendors libc/fnmatch(3) DoS (incl apache poc) (деталі)
• apr security update (деталі)

19.07.2010

У червні, 30.06.2010, я знайшов SQL Injection уразливість на проекті http://utka.org.ua. Про що найближчим часом сповіщу адміністрацію проекту.

Детальна інформація про уразливість з’явиться пізніше. Треба дати час адмінам на реакцію з цього приводу.

24.05.2011

SQL Injection:

http://utka.org.ua/index.php?content_id=-1%20or%20version()%3E4

Дана уразливість досі не виправлена.

Ще з 2006 року мені відомо про один метод проведення XSS атак в Firefox, що дозволяє обходити деякі захисні фільтри. Це метод з використанням незакритого тега, про який я згадував стосовно різних сайтів і веб додатків, зокрема AltConstructor. Він працює лише в браузерах компанії Мозіла - в Mozilla, Firefox та інших браузерах на движку Gecko.

І от 18.03.2011, під час секюріті аудиту, я виявив інший просунутий метод проведення XSS атак, що є розширення вищезгаданого методу. Цей метод передбачає використання подвійного незакритого тега. Раніше мені здавалося, що спрацює лише один незакритий тег, але в березні я виявив, що і два і більше незакритих тегів спрацюють для проведення XSS атаки (а в деяких випадках необхідно використати як раз декілька тегів, зокрема коли треба вийти з одного тегу, щоб мати можливість виконати код).

XSS:

Атака виглядає наступним чином:

http://site/?p=%3C/title%20%3Cbody%20onload='alert(document.cookie)'

Даний метод (як і метод з одним незакритим тегом) працює в Mozilla 1.7.x, Firefox 3.0.19, 3.5.11, 3.6.8 (та попередніх версіях браузерів). Але не в Firefox 4.0b2, IE6, IE7, IE8, Chrome 1.0, Opera 10.62.

P.S.

Як я перевірив, в Firefox 3.5.19 та 3.6.28 дана атака також працює.

Після попереднього дослідження інфікованих сайтів, приведу нову інформацію про заражені сайти. З числа українських сайтів.

• http://honeycomb.dp.ua - інфекція була виявлена 05.05.2011. Зараз сайт не входить до переліку підозрілих.
• http://skolmo.com.ua - інфекція була виявлена 15.05.2011. Зараз сайт входить до переліку підозрілих.
• http://5fg4.pp.ua - інфекція була виявлена 19.05.2011. Зараз сайт не входить до переліку підозрілих.
• http://autoimport.dn.ua - інфекція була виявлена 15.05.2011. Зараз сайт входить до переліку підозрілих.
• http://m-court.od.ua - інфекція була виявлена 22.04.2011. Зараз сайт не входить до переліку підозрілих.