Websecurity - Веб безпека

В даній добірці уразливості в веб додатках:

• Clear iSpot/Clearspot CSRF Vulnerabilities (деталі)
• MyBB 1.6 <= Cross Site Scripting (XSS) Vulnerability (деталі)
• HP StorageWorks Modular Smart Array P2000 G3, Remote Unauthorized Access (деталі)
• Multiple Vulnerabilities in Calibre 0.7.34 (деталі)
• Authentication Bypass by SQL Injection in Social Share (деталі)
• Re: hidden admin user on every HP MSA2000 G3 (деталі)
• hidden admin user on every HP MSA2000 G3 (деталі)
• “postid” SQL Injection in Social Share (деталі)
• Elcom CommunityManager.NET Auth Bypass Vulnerability (деталі)
• Eucalyptus vulnerability (деталі)

23.03.2011

У січні, 28.01.2011, я знайшов Brute Force та Abuse of Functionality уразливості в Adobe ColdFusion. Які я виявив на одному сайті, що використовує ColdFusion. Про що найближчим часом повідомлю розробникам.

Раніше я вже писав про уразливості в Adobe ColdFusion.

Детальна інформація про уразливості з’явиться пізніше. Спочатку повідомлю розробникам системи.

15.06.2011

Brute Force:

http://site/CFIDE/administrator/

Немає захисту від Brute Force атак.

Abuse of Functionality:

http://site/CFIDE/administrator/

Логін адміна є фіксованим - це логін admin, що вказаний в формі аутентифікації. Що значно полегшує Brute Force атаки (тому що непотрібно підбирати логіни, лише підібрати пароль для одного логіна). В ColdFusion 7 і попередніх версіях взагалі немає поля логін, а лише поле пароль, що так само полегшує Brute Force атаки.

Як я вияснив, в 2008 році Адобу вже повідомили про Brute Force (CVE-2008-1203) і вони офіційно виправили його. Але Abuse of Functionality все ще присутня в останніх версіях ColdFusion. Для перевірки надійності цього виправлення BF я знайшов адмінку з дев’ятою версією. І як я й очікував (прочитавши опис того, як Adobe виправила цю уразливість), виправлення неефективне - бо Адоб лише додала (в патчах для версій MX7 і 8 і зробила в 9) логування невдалих спроб логіну, а захисту від BF як не було, так і немає.

Уразливі ColdFusion 9 та попередні версії.

Продовжуючи тему уразливостей в ADSL модемі Callisto 821+, розповім вам про нові уразливості в даному модемі. У квітні, 07.04.2011, я виявив Cross-Site Request Forgery та Cross-Site Scripting уразливості в ADSL модемі Callisto 821+ (SI2000 Callisto821+ Router).

Уразлива версія SI2000 Callisto821+ Router: X7821 Annex A v1.0.0.0 / Argon 4×1 CSP v1.0 (ISOS 9.0) [4.3.4-5.1]. Дана модель з іншими прошивками також повинна бути вразливою.

Дані атаки потрібно проводити на власника модему, який залогінений в адмінку. Враховуючи, що малоймовірно застати його в такому стані, то можна використати раніше згадані уразливості для проведення віддаленого логіну (щоб залогінити його в адмінку). Після чого можна спокійно провести CSRF або XSS атаку.

CSRF:

Дана уразливість дозволяє провести Clear Statistics для інтерфейса.

http://192.168.1.1/configuration/qbridgestatsclearintfstats.html?ImBridge.ImBridgeInterfaces.ethernet

Дана уразливість дозволяє провести Flush Dynamic Entries для інтерфейса.

http://192.168.1.1/configuration/qbridgestatsflushintf.html?ImBridge.ImBridgeInterfaces.ethernet

В розділі Egress Ports (http://192.168.1.1/configuration/
qbridge_add_hvmfwdegressp.html?ImBridge.ImQbridgeFdbs.DefaultFdb.
ImQbridgeMcastFdbEntries.FWDALLMCAST.ImQbridgeMcastEntryPorts) можливе додовання та видалення портів.

XSS:

В розділі Egress Ports (http://192.168.1.1/configuration/
qbridge_add_hvmfwdegressp.html?ImBridge.ImQbridgeFdbs.DefaultFdb.
ImQbridgeMcastFdbEntries.FWDALLMCAST.ImQbridgeMcastEntryPorts) є 3 persistent XSS уразливості.

В статті WordPress Username Enumeration, написаної Adrian Pastor ще в 2007 році, розповідається про Login Enumeration уразливості в WordPress. Яких є декілька в WP (причому окрім підбору логінів, є ще витоки логінів), як є й декілька Brute Force дірок, в парі з якими вони можуть використовуватися.

Раніше я вже розповідав про Brute Force та Login Enumeration уразливості в WP. В тому числі я писав про одну зі згаданих автором уразливостей (через форму логіна).

В даній статті розглянуті наступні уразливості, що дозволяють визначати логіни користувачів:

• Через форму логіна (wp-login.php).
• Через шаблон автора (/author/authorname/).
• Через форму реєстрації (wp-register.php).
• Також можливі витоки логінів (при відповідних умовах) в деяких шаблонах в тілі сторінки, а також в RSS-стрічках.

Автор забув згадати про інші методи виявлення логінів:

• Через форму відновлення паролю (але там важче атакувати порівняно з вищезгаданими методами).
• Також можна через інший метод звертання до шаблону автора (/?author=1).

В даній добірці експлоіти в веб додатках:

• Dlink WBR-2310 Wireless Router DoS exploit (деталі)
• Simple Web Server From header DoS (деталі)
• Exploits P Data Protector Manager v6.11 / NULL Pointer Dereference (деталі)
• LiteSpeed Web Server 4.0.17 w/ PHP Remote Exploit for FreeBSD (деталі)
• vBulletin 4.1.2 0-day Denial Of Service Exploit (деталі)

07.10.2010

У червні, 18.06.2010, я знайшов Cross-Site Scripting, Insufficient Anti-automation та Abuse of Functionality уразливості на сайті http://www.allo.ua (онлайн магазин). Про що найближчим часом сповіщу адміністрацію сайта.

Стосовно дірок на сайтах онлайн магазинів в останнє я писав про уразливості на www.tid.com.ua. Раніше я вже писав про уразливості на www.allo.ua.

Детальна інформація про уразливості з’явиться пізніше. Треба дати час адмінам на реакцію з цього приводу.

14.06.2011

XSS:

http://www.allo.ua/console/forget.php?e_mail=%3Cscript%3Ealert(document.cookie)%3C/script%3E&seenform=y

Insufficient Anti-automation:

http://www.allo.ua/console/forget.php

На даній сторінці не було захисту від автоматизованих запитів (капчі). Зараз розробники вже поставили капчу, але діряву.

Abuse of Functionality:

http://www.allo.ua/console/forget.php

Через даний функціонал можна визначати логіни користувачів.

Якщо XSS уразливість вже виправлена, то IAA та AoF уразливості досі не виправлені.

Після попереднього дослідження інфікованих сайтів, приведу нову інформацію про заражені сайти. З числа українських сайтів.

• http://catalog.rv.ua - інфекція була виявлена 24.04.2011. Зараз сайт не входить до переліку підозрілих.
• http://rivneinfo.com - інфекція була виявлена 24.04.2011. Зараз сайт не входить до переліку підозрілих.
• http://join.com.ua - інфекція була виявлена 13.06.2011. Зараз сайт не входить до переліку підозрілих.
• http://zhurnaly.org.ua - інфекція була виявлена 28.03.2011. Зараз сайт не входить до переліку підозрілих.
• http://sabana.com.ua - інфекція була виявлена 19.04.2011. Зараз сайт не входить до переліку підозрілих.

02.10.2010

У червні, 18.06.2010, я знайшов Cross-Site Scripting уразливість на секюріті проекті http://www.rmd5.com. Про що найближчим часом сповіщу адміністрацію проекту.

Детальна інформація про уразливість з’явиться пізніше.

13.06.2011

XSS:

• alert(/XSS/)

Пейлоад обмежений в 32 символи (тому що рядок пошуку повинний бути рівний 32 символам).

Дана уразливість досі не виправлена.

Продовжуючи тему уразливостей в ADSL модемі Callisto 821+, розповім вам про нові уразливості в даному модемі. У квітні, 07.04.2011, я виявив Cross-Site Request Forgery та Cross-Site Scripting уразливості в ADSL модемі Callisto 821+ (SI2000 Callisto821+ Router).

Уразлива версія SI2000 Callisto821+ Router: X7821 Annex A v1.0.0.0 / Argon 4×1 CSP v1.0 (ISOS 9.0) [4.3.4-5.1]. Дана модель з іншими прошивками також повинна бути вразливою.

Дані атаки потрібно проводити на власника модему, який залогінений в адмінку. Враховуючи, що малоймовірно застати його в такому стані, то можна використати раніше згадані уразливості для проведення віддаленого логіну (щоб залогінити його в адмінку). Після чого можна спокійно провести CSRF або XSS атаку.

CSRF:

В розділі Bridge Interfaces (http://192.168.1.1/configuration/qbridgeinterface.html) через CSRF можливе редагування та видалення інтерфейсів.

В розділі Priority Map for the bridge interface (http://192.168.1.1/configuration/qbridgeinterfacepri.html?
ImBridge.ImBridgeInterfaces.ethernet) є 3 CSRF уразливості.

Як я виявив деякий час тому, майже весь функціонал адмінки працює як з POST, так і з GET запитами (лише в деяких випадках є перевірка на метод відправки даних). Тому майже всі раніше згадані та нові СSRF і XSS атаки можуть проводитися окрім POST також і через GET.

http://192.168.1.1/configuration/qbridgeinterfacepri.html/edit1?EmWeb_ns%3Avim%3A3=/configuration/qbridgeinterfacepri.html&EmWeb_ns%3Avim%3A6=ImBridge.ImBridgeInterfaces.ethernet&EmWeb_ns%3Avim%3A2.ImBridge.ImBridgeInterfaces.ethernet%3AnumTrafficClasses=8

XSS:

В розділі Bridge Interfaces (http://192.168.1.1/configuration/qbridgeinterface.html) у всіх текстових полях та деяких прихованих полях мають місце persistent XSS уразливості.

В розділі Priority Map for the bridge interface (http://192.168.1.1/configuration/qbridgeinterfacepri.html?
ImBridge.ImBridgeInterfaces.ethernet) у всіх текстових полях та деяких прихованих полях мають місце persistent XSS уразливості.

За повідомленням hackzona.com.ua, Adobe випустила екстрений патч для Flash Player.

Компанія Adobe випустила позачергове оновлення для Flash Player, залатавши чергову вразливість у захисті, що вже активно експлуатується itw. Даний патч виправляє XSS уразливість.

Окрім виправланення XSS, Адобу слід виправляти й баги, що призводять до DoS.

За повідомленням www.xakep.ru, адміністратори баз даних мало піклуються про безпеку.

Незалежна асоціація ISUG виявила, що адміністраторам баз даних не вистачає досвіду в контролюванні змін і керуванні патчами. За результатами дослідження адміністратори баз даних усе ще далекі від досконалості.

Дослідження виявило, що багато адміністраторів БД та IT-спеціалісти, що приймають рішення, визнають, що не дуже компетентні в таких питаннях безпеки, як контроль за змінами і патч-менеджмент, а також аудит системи.

За повідомленням www.3dnews.ru, хакери взломали сайт організації, що співробітничає з ФБР.

Група хакерів Lulz Security (LulzSec), що встигла за короткий час успішно подолати захист серверів Sony і Nintendo, знову виявилася в центрі уваги громадськості. Цього разу хакери атакували сайт організації InfraGard, що співробітничає з Федеральним бюро розслідувань (ФБР).