Websecurity - Веб безпека

Продовжуючи тему уразливостей в ADSL модемі Callisto 821+, розповім вам про нові уразливості в даному модемі. У квітні, 07.04.2011, я виявив Denial of Service, Cross-Site Request Forgery та Cross-Site Scripting уразливості в ADSL модемі Callisto 821+ (SI2000 Callisto821+ Router).

Уразлива версія SI2000 Callisto821+ Router: X7821 Annex A v1.0.0.0 / Argon 4×1 CSP v1.0 (ISOS 9.0) [4.3.4-5.1]. Дана модель з іншими прошивками також повинна бути вразливою.

Дані атаки потрібно проводити на власника модему, який залогінений в адмінку. Враховуючи, що малоймовірно застати його в такому стані, то можна використати раніше згадані уразливості для проведення віддаленого логіну (щоб залогінити його в адмінку). Після чого можна спокійно провести DoS, CSRF або XSS атаку.

DoS:

http://192.168.1.1/configuration/ports.html?120

При даному запиті відбувається рестарт модема.

CSRF:

Дані розділи є прихованими (вони не відображаються в адмінці), але до них можна дістатися вказавши відповідний номер в URL.

В розділі RIP Port Configuration (http://192.168.1.1/configuration/ports.html?10) через CSRF можлива зміна параметрів RIP порта.

В розділі Advanced RIP Port Configuration (http://192.168.1.1/configuration/ports_advanced.html?10) через CSRF можлива зміна параметрів RIP порта.

В розділі Bridge Port Configuration (http://192.168.1.1/configuration/ports.html?12) через CSRF можлива зміна параметрів Bridge порта.

В розділі Advanced Bridge Port Configuration (http://192.168.1.1/configuration/ports_advanced.html?12) через CSRF можлива зміна параметрів Bridge порта.

XSS:

Дані розділи є прихованими (вони не відображаються в адмінці), але до них можна дістатися вказавши відповідний номер в URL.

В розділі RIP Port Configuration (http://192.168.1.1/configuration/ports.html?10) у всіх текстових полях та деяких прихованих полях мають місце persistent XSS уразливості.

В розділі Advanced RIP Port Configuration (http://192.168.1.1/configuration/ports_advanced.html?10) у всіх текстових полях та деяких прихованих полях мають місце persistent XSS уразливості.

В розділі Bridge Port Configuration (http://192.168.1.1/configuration/ports.html?12) в деяких текстових полях та деяких прихованих полях мають місце persistent XSS уразливості.

В розділі Advanced Bridge Port Configuration (http://192.168.1.1/configuration/ports_advanced.html?12) в деяких текстових полях та деяких прихованих полях мають місце persistent XSS уразливості.

В даній серії статей про просунуті методи SQL Injection атак я розповім вам про різні цікави методи, що дозволять пришвидшити процес проведення SQL ін’єкцій та збільшити їх ефективність.

Зараз розповім вам про групування при SQL Injection. Групування - це відома процедура, що використовується при SQL запитах у веб додатках (а також при атаках на SQL Injection уразливості) для об’єднати в одному полі результуючих даних декілька полів.

Зокрема в MySQL групування відбувається за допомогою використання функцій concat та concat_ws. Це буває корисним при SQL ін’єкції, коли потрібно (для зручності чи при обмеженнях) вивести значення кількох полів в одному.

Окрім групування полів (щоб в одному полі одного запису виводилися значення декількох полів), є ще можливість групувати записи. Це робиться за допомогою функції group_concat.

Її синтаксис наступний: group_concat(table_name) або group_concat(table_name separator 0×3a). Детально про синтаксис ви можете дізнатися в документації MySQL.

Функція group_concat була додана в MySQL 4.1. Тому в більш старих версіях нею не вийде скористатися, але в версіях починаючи з 4.1 вона стане в нагоді.

Про дану функцію я дізнався торік (в 2010 році я виявив кілька нових цікавих методів, про які розповім в своїх статтях). За допомогою даного методу можна виводити в одному полі одного запису будь-яку кількість записів (в одне поле). Щоб не виводити їх по одному, а одразу декілька (або усі). А якщо скомбінувати перший і другий метод, то можна виводити будь-яку кількість полів будь-якої кількості записів в одному полі.

16.06.2011

Виявлені численні уразливості безпеки в Microsoft Internet Explorer.

Уразливі продукти: Microsoft Internet Explorer 6, 7, 8 та 9 під Windows XP, Windows 2003 Server, Windows Vista, Windows 2008 Server, Windows 7.

Скриптінг між додатками в обробнику mhtml, пошкодження пам’яті в VML, численні пошкодження пам’яті в IE, витік інформації.

• Microsoft Security Bulletin MS11-037 - Important Vulnerability in MHTML Could Allow Information Disclosure (2544893) (деталі)
• Microsoft Security Bulletin MS11-050 - Critical Cumulative Security Update for Internet Explorer (2530548) (деталі)
• Microsoft Security Bulletin MS11-052 - Critical Vulnerability in Vector Markup Language Could Allow Remote Code Execution (2544521) (деталі)

21.06.2011

Додаткова інформація.

• Microsoft Internet Explorer Link Property Processing Memory Corruption Vulnerability (деталі)
• Microsoft Internet Explorer vgx.dll imagedata Remote Code Execution Vulnerability (деталі)
• (Pwn2Own) Microsoft Internet Explorer Uninitialized Variable Information Leak Vulnerability (деталі)
• Microsoft Internet Explorer layout-grid-char style Remote Code Execution Vulnerability (деталі)
• Microsoft Internet Explorer selection.empty Remote Code Execution Vulnerability (деталі)
• Microsoft Internet Explorer DOM Modification Race Remote Code Execution Vulnerability (деталі)
• Microsoft Internet Explorer HTTP 302 Redirect Remote Code Execution Vulnerability (деталі)

02.08.2011

Додаткова інформація.

• Microsoft Internet Explorer ‘toStaticHTML’ HTML Sanitizing Information Disclosure (деталі)

В даній добірці уразливості в веб додатках:

• Multiple XSS injection vulnerabilities and a offsite redirection flaw within HP System Management Homepage (Insight Manager) (деталі)
• SQL injection in Hycus CMS (деталі)
• HP Insight Diagnostics Online Edition Running on Linux and Windows, Remote Cross Site Scripting (XSS) (деталі)
• SQL injection in Hycus CMS (деталі)
• XSS in Sybase Afaria (деталі)
• SQL injection in Hycus CMS (деталі)
• Security update for libxml2 (деталі)
• Path disclosure in GetSimple CMS (деталі)
• Citrix Access Gateway Command Injection Vulnerability (деталі)
• XSS vulnerability in Habari (деталі)

Продовжуючи тему уразливостей в ADSL модемі Callisto 821+, розповім вам про нові уразливості в даному модемі. У квітні, 07.04.2011, я виявив Denial of Service, Cross-Site Request Forgery та Cross-Site Scripting уразливості в ADSL модемі Callisto 821+ (SI2000 Callisto821+ Router).

Уразлива версія SI2000 Callisto821+ Router: X7821 Annex A v1.0.0.0 / Argon 4×1 CSP v1.0 (ISOS 9.0) [4.3.4-5.1]. Дана модель з іншими прошивками також повинна бути вразливою.

Дані атаки потрібно проводити на власника модему, який залогінений в адмінку. Враховуючи, що малоймовірно застати його в такому стані, то можна використати раніше згадані уразливості для проведення віддаленого логіну (щоб залогінити його в адмінку). Після чого можна спокійно провести DoS, CSRF або XSS атаку.

DoS:

При відправці GET або POST запитів в розділах Ethernet Port Configuration (http://192.168.1.1/configuration/ports.html?95) і Advanced Ethernet Port Configuration (http://192.168.1.1/configuration/ports_advanced.html?95) вібдувається довготривалий DoS модему. В моїх дослідженнях модем не працював до 16 годин (доки сам не перезавантажився). Єдине, що в даному випадку можна зробити - це вручну перезавантажити модем (шляхом його виключення-включення).

http://192.168.1.1/configuration/ports.html/edit?EmWeb_ns:vim:6=95&EmWeb_ns:vim:2.ImPorts.ethernet:MAC=00:01:38:83:6f:24
http://192.168.1.1/configuration/ports_advanced.html/edit?EmWeb_ns:vim:6=95&EmWeb_ns:vim:2.ImPorts.ethernet:MAC=00:01:38:83:6f:24

Дані атаки спрацюють при дефолтній конфігурації модема (коли він в режимі bridge) і не спрацюють коли конфігурація змінена (коли він в режимі router).

CSRF:

Дані розділи є прихованими (вони не відображаються в адмінці), але до них можна дістатися вказавши відповідний номер в URL.

В розділі IGMPProxy Port Configuration (http://192.168.1.1/configuration/ports.html?8) через CSRF можлива зміна параметрів Upstream If і Forward All.

В розділі Advanced IGMPProxy Port Configuration (http://192.168.1.1/configuration/ports_advanced.html?8) через CSRF можлива зміна параметрів Upstream If і Forward All.

XSS:

Дані розділи є прихованими (вони не відображаються в адмінці), але до них можна дістатися вказавши відповідний номер в URL.

В розділі IGMPProxy Port Configuration (http://192.168.1.1/configuration/ports.html?8) у всіх текстових полях та деяких прихованих полях мають місце persistent XSS уразливості.

В розділі Advanced IGMPProxy Port Configuration (http://192.168.1.1/configuration/ports_advanced.html?8) у всіх текстових полях та деяких прихованих полях мають місце persistent XSS уразливості.

Після попереднього дослідження інфікованих сайтів, приведу нову інформацію про заражені сайти. З числа українських сайтів.

• http://mns.gov.ua - інфікований державний сайт, інфекція була виявлена 10.06.2011. Зараз сайт не входить до переліку підозрілих.
• http://ezoloto.com.ua - інфекція була виявлена 13.05.2011. Зараз сайт не входить до переліку підозрілих.
• http://aprel.blox.ua - інфекція була виявлена 12.06.2011. Зараз сайт входить до переліку підозрілих.
• http://archive.org.ua - інфекція була виявлена 20.06.2011. Зараз сайт не входить до переліку підозрілих.
• http://sova.com.ua - інфекція була виявлена 04.06.2011. Зараз сайт не входить до переліку підозрілих.

Виявлене пошкодження пам’яті в Adobe Flash Player.

Уразливі версії: Adobe Flash Player 10.3.

Дана memory corruption уразливість може призвести до вибивання та до потенційного виконання довільного коду. Про виявлену мною DoS в Flash плагіні я вже писав раніше.

• Security update available for Adobe Flash Player (деталі)

21.07.2010

У липні, 01.07.2010, я знайшов SQL Injection уразливість на проекті http://interavto.kiev.ua. Про що найближчим часом сповіщу адміністрацію проекту.

Детальна інформація про уразливість з’явиться пізніше. Треба дати час адмінам на реакцію з цього приводу.

20.06.2011

SQL Injection:

http://interavto.kiev.ua/index.php?content_id=-1%20or%20version()%3E4

Зараз сайт не працює. Замість виправлення дірок (цієї та багатьох інших, що є в движку сайта), адміни вирішили закрити його.

Продовжуючи тему уразливостей в плагінах для WordPress, пропоную вам інформацію про дірки в інших плагінах для WP.

Цього разу повідомляю про уразливості в плагінах Wysi та Events Manager Extended і в самому WordPress. Для котрих з’явилися експлоіти. Wysi - це плагін для заміні вбудованого WYSIWYG-редактора на новий, Events Manager Extended - це плагін для управління та відображення подій. А також витік логінів в WP, що стосуються версій WP 2.х і 3.х.

• WordPress Wysi 0.0.2 Shell Upload (деталі)
• WordPress Events Manager 3.1.2 SQL Injection (деталі)
• WordPress User IDs and User Names Disclosure (деталі)

Вищезгадана уразливість в движку була виправлена в WordPress 3.1.3 (причому неякісно) і як я вже зазначав, вона відома вже багато років. Ця дірка пов’язана з шаблоном автора, через який можна проводити ще одну атаку для визначення логінів, про що я згадував в статті визначення логінів в WordPress. Таких уразливостей чимало в WP.

Користувачам даних плагінів варто або оновити їх, або власноруч виправити дірки. В якості тимчасового рішення, поки не будуть виправлені чи оновлені плагіни, можна їх виключити в адмінці.

За повідомленням hackzona.com.ua, хакери атакували електронні пошти Microsoft і Yahoo!.

Електронні пошти Microsoft і Yahoo! зазнали хакерської атаки поряд зі спробами взломати поштові скриньки сервісу Gmail, що належить компанії Google. Про це повідомили представники американо-японської компанії з розробки антивірусного програмного забезпечення Trend Micro.

Також 2 червня стало відомо про масовану кібератаку на поштові скриньки Google. Компанія заявила, що їй вдалося запобігти загрозі.

За повідомленням www.xakep.ru, хакер арештований за шахрайство з платіжними картами.

Громадянин Америки зізнався в крадіжці даних більш 676000 платіжних карт із баз даних і в одержанні більш $100000 шляхом продажу цих даних у нелегальних онлайн-магазинах.

За повідомленням www.kommersant.ru, хакери пожартували над ЦРУ.

Група невідомих хакерів, що називає себе Lulz Security, атакувала сайт ЦРУ. Вони провели DDoS атаку на сайт cia.gov, ускладнивши на нетривалий час його роботу. Раніше група робила атаки на ФБР і сенат США, а також на корпорації Sony, Nіntendo і News Corp.

Раніше я вже писав про діяльність хакерів з Lulz Security.