Websecurity - Веб безпека

Після попереднього дослідження інфікованих сайтів, приведу нову інформацію про заражені сайти. З числа українських сайтів.

• http://l2bz.at.ua - інфекція була виявлена 11.03.2011. Зараз сайт не входить до переліку підозрілих.
• http://zavodnaya.at.ua - інфекція була виявлена 19.05.2011. Зараз сайт входить до переліку підозрілих.
• http://i.com.ua - інфекція була виявлена 19.05.2011. Зараз сайт не входить до переліку підозрілих.
• http://gm-portal.at.ua - інфекція була виявлена 10.05.2011. Зараз сайт входить до переліку підозрілих.
• http://torre.org.ua - інфекція була виявлена 15.05.2011. Зараз сайт не входить до переліку підозрілих.

06.05.2011

Виявлені численні уразливості безпеки в Mozilla Firefox, Seamonkey, Thunderbird.

Уразливі продукти: Mozilla Firefox 3.5, Firefox 3.6, Firefox 4.0, SeaMonkey 2.0, Thunderbird 3.1.

Численні пошкодження пам’яті, звертання по неініціалізованим вказівникам, витік інформації, виконання коду.

• Mozilla Foundation Security Advisory 2011-18 (деталі)
• Mozilla Foundation Security Advisory 2011-17 (деталі)
• Mozilla Foundation Security Advisory 2011-16 (деталі)
• Mozilla Foundation Security Advisory 2011-15 (деталі)
• Mozilla Foundation Security Advisory 2011-14 (деталі)
• Mozilla Foundation Security Advisory 2011-13 (деталі)
• Mozilla Foundation Security Advisory 2011-12 (деталі)

19.05.2011

Додаткова інформація.

• Mozilla Firefox OBJECT mChannel Remote Code Execution Vulnerability (деталі)
• Mozilla Firefox OBJECT mObserverList Remote Code Execution Vulnerability (деталі)
• Mozilla Firefox nsTreeRange Dangling Pointer Remote Code Execution Vulnerability (деталі)

Сьогодні пройшла конференція UISG та ISACA Kiev Chapter #6, на якій я виступив з доповіддю. В своїй доповіді я розповів про системи виявлення інфікованих веб сайтів (веб антивіруси).

Доповідь доступна в мене на сайті:

Системы выявления инфицированных веб сайтов

В своїй доповіді я розглянув наступні теми: Статистика інфікованості Уанету, Шляхи зараження веб сайтів, Методи боротьби з інфекцією на сайтах, Тестування систем виявлення інфікованих веб сайтів.

17.07.2010

У червні, 30.06.2010, я знайшов SQL Injection уразливість на проекті http://www.isfp.com.ua. Про що найближчим часом сповіщу адміністрацію проекту.

Детальна інформація про уразливість з’явиться пізніше.

19.05.2011

SQL Injection:

http://www.isfp.com.ua/index.php?content_id=-1%20or%20version()%3E5

Дана уразливість досі не виправлена.

Виявлена можливість проведення DoS атаки проти Opera.

Уразливі версії: Opera 10.60.

Звертання по нульовому вказівнику при великому значенні SIZE у тезі SELECT.

• Opera : SELECT SIZE Arbitrary null write (деталі)

За повідомленням www.xakep.ru, хакер обнародував інформацію про взлом поліції.

Під час тестування рівня безпеки американського муніципального органа управління, Кевін Фіністер провів доволі цікавий взлом. Після сканування декількох ІP-адрес, використовуваних міським відділенням поліції, він незабаром виявив, що вони прямо зв’язані з Linux-пристроями, що знаходяться в поліцейських автомобілях. Використовуючи трохи більше, ніж FTP і telnet-команди, він підключився до автомобільного цифрового відеореєстратора, застосовуваному для запису і показу аудио і відео. І отримав пряму трансляцією з поліцейского авто.

За повідомленням hackzona.com.ua, хакери у Ванкувері. На конференції з комп’ютерної безпеки CanSecWest у Ванкувері в березні пройшов популярний конкурс хакерів Pwn2Own.

Apple MacBook з браузером Safari першим “здався” на змаганнях хакерів. У перший же день експерти успішно взломали браузери Safari та Internet Explorer 8. А от спроби взлому Chrome не увінчалися успіхом, попри те, що Google заснував додатковий приз у 20000 доларів тому, хто може знайти вразливість у системі.

Раніше я повідомляв про думку директора Tipping Point стосовно надійності браузерів. Яку він висловив стосовно результів останнього змагання хакерів Pwn2Own.

За повідомленням www.3dnews.ru, хакери змусили “Аерофлот” змінити платіжну систему.

В липні 2010 року відбувся цікавий інцедент. Практично цілий тиждень авіакомпанія “Аерофлот” не могла продавати в онлайні квитки через зупинку процесінгової системи Assist, викликаною хакерскою атакою. Як зазначив представник “Аерофлоту” - “Персональні дані клієнтів не постраждали, але оплачувати квитки через Інтернет було неможливо”. Що змусило “Аерофлот” змінити Assist на систему інтернет-платежів Альфа-банку.

Тобто DDoS атака на процесінгову систему призвела як до збитків у самої системи та її клієнтів, так і до того, що головний клієнт процесінгової системи пішов від неї. Що негативно вплинуло як на імидж компанії, так і на її подальші прибутки.

В даній добірці уразливості в веб додатках:

• HP Data Protector Manager v6.11 / NULL Pointer Dereference Remote Denial of Service Vulnerabilities (деталі)
• Orbis CMS Arbitrary Script Execution Vulnerability (деталі)
• Multiple XSS inj in Wernhart Guestbook (деталі)
• RSA, The Security Division of EMC, announces a fix for a potential security vulnerability in RSAR Authentication Client when storing secret key objects on an RSA SecurIDR 800 Authenticator (деталі)
• Multiple SQL injections in Wernhart Guestbook (деталі)
• Pandora FMS Authentication Bypass and Multiple Input Validation Vulnerabilities (деталі)
• SAP BusinessObjects Axis2 Default Admin Password (деталі)
• Multiple vulnerabilities in BugTracker.Net (деталі)
• Digitalus 1.10.0 Alpha2 Arbitrary File Upload vulnerability (деталі)
• CiscoWorks Common Services Arbitrary Code Execution Vulnerability (деталі)

25.03.2011

У січні, 29.01.2011, я знайшов SQL Injection, Full path disclosure, Abuse of Functionality та Insufficient Anti-automation уразливості в Cetera eCommerce (онлайн магазин). Які виявив на демо сайті розробників системи http://ecommerce-demo.cetera.ru.

Раніше я вже писав про уразливості в Cetera eCommerce.

Детальна інформація про уразливості з’явиться пізніше. Спочатку повідомлю розробникам системи.

14.05.2011

SQL Injection (blind SQLi):

http://site/catalog/’+(version()=5.1)+’/ (200 при true, 404 при false)

http://site/’+(version()=5.1)+’/ (404 при true, 200 при false)

Full path disclosure:

http://site/’/

http://site/catalog/’/

http://site/account/’/

http://site/news/’/

http://site/vendors/’/

Abuse of Functionality:

В даних функціоналах можливий витік емайлів, що є логинами в системі.

http://site/account/recoverpassword/

http://site/account/recoverpassword/code/

Insufficient Anti-automation:

В даних двох функціоналах немає захисту від автоматизованих запитів (капчі).

Уразливі Cetera eCommerce 15.0 та попередні версії. SQLi та FPD стосуються лише версії 15.0, а AoF та IAA стосуються версії 15.0 та попередніх версій. Дані уразливості досі не виправлені.

Різні параметри вашого браузера і ОС, що доступні на веб сайтах, дозволяють створити “відбиток”. І через цей “відбиток” можна ідентифікувати особу - чим більш унікальним він є, тим більш точно можна ідентифікувати особу. Тобто якщо ваш браузер є достатньо унікальним, то це дозволить будь-яким сайтам вас ідентифікувати (незважаючи на динамічні IP, проксі чи анонімайзери).

На сайті How Unique Is Your Browser ви можете перевірити ваш браузер на предмет унікальності вашого “відбитка”. Спробуйте перевірити свою унікальність .

Відбиток можна роботи по різним показникам. Але нійбільш ефективними з точки зору ідентифікації особи я вважаю такі показники як набір плагінів та набір шрифтів.

Зазначу, як я первірив деякий час тому, що для мого браузера Firefox 3.0.19 “відбиток” виявився достатньо унікальним (серед 1528101 перевірених на той момент). Мій браузер мав “відбиток”, що містить 20,54 біта ідентифікаційної інформації. Тобто за деякими показниками (що дозволяють отримати 20,54 біта) мене можно достатньо чітко ідентифікувати.

Подібні методи ідентифікації можуть використовуватися різними сайтами, зокрема рекламними системами. Що торкається питання приватності особи.

Минулої осені відбувся п’ятий масовий взлом сайтів на сервері Delta-X, після четвертого взлому сайтів на сервері Delta-X. Нещодавно я вже розповідав про інші масові взломи.

Був взломаний п’ятий сервер компанії Delta-X. Всього в листопаді було взломано 5 серверів даної компанії, це останній випадок з п’яти. Загалом на даних серверах було дефейснуто 11065 сайтів. Майже всі дефейси на цих серверах були проведені на протязі 23-25 листопада, лише декілька сайтів було взломано вже цього року (а в цьому випадку чимало сайтів було взломано також 26.10.2010).

Всього було взломано 3126 сайтів (що більше ніж в попередні рази) на сервері української компанії Delta-X (IP 195.64.184.13). Перелік сайтів можете подивитися на www.zone-h.org. Серед них український державний сайт www.kozova-rda.gov.ua.

Частина зазначених сайтів була взломана 26.10.2010, а частина - на протязі 24.11.2010 та 25.11.2010. Дефейси 2955 сайтів було проведено хакером The KabuS, 2 сайтів хакером TheWayEnd і 169 сайтів хакером iskorpitx.

Враховуючи велику кількість сайтів на одному сервері та короткий проміжок часу для дефейсу всіх цих сайтів, немає сумнівів, що вони були взломані через взлом серверу хостінг провайдера. Коли через взлом одного сайта, був отриманий root доступ до сервера (через уразливості в програмному забезпеченні самого сервера) та атаковані інші сайти на даному сервері.