Websecurity - Веб безпека

11.06.2011

Про уразливості в Adobe Flash Player я писав багато разів, тому Flash плеєр - це дірявий продукт. В ньому регулярно знаходять уразливості. В своїй статті я вже писав про атаки через відправку серверних заголовків в Flash. А зараз я розповім вам про Denial of Service в останній версії Flash плеєра.

Серед дірок у флеші нерідко трапляються й DoS. Які Adobe намагається виправляти, разом з іншими дірками, в нових версіях свого флеш плеєра (що доступний в тому числі у вигляді плагіна до браузерів). Але іноді вона сама додає DoS дірки в свої продукти.

У Flash Player 10 було знайдено чимало дірок, які були виправлені в нових версіях, зокрема в Flash Player 10.1, 10.2 і 10.3. Так от, сьогодні я встановив 10.3, щоб ознайомитися з останньою версією флеш плеєра (в якій в тому числі виправлений ряд уразливостей).

І як я виявив, Adobe зробила вбудовану DoS у флеш плагіні 10.3. Що пов’язана з кривими руками Адоба. Уразливість спрацьовує лише в старих браузерах, зокрема в Mozilla 1.7.x. В нових браузерах вона не проявляється (як в тих, що використовують плагін, так і в усіх версіях IE, в якому використовується ActiveX компонент).

Браузер вилітає при перегляді будь-якої флешки, навіть найпростішої (з одним рядком AS коду). Тобто користувачів старих версій браузера виб’є при відвіданні будь-якого сайту з флешем, або якщо їм підсунуть флешку. Таким чином можна проводити DoS атаки через Flash плагін 10.3 на користувачів даних браузерів.

31.12.2012

Виклав відео, що демонструє цю DoS уразливість в Flash плагіні. Це memory corruption (access violation).

Adobe Flash DoS

Це відео я зробив у грудні 2011 року. Як я перевірив, уразливість однаково працює в версіях 10.3 r183 і 11.4 r402.

В даній добірці уразливості в веб додатках:

• ManageEngine EventLog Analyzer Multiple Cross-site Scripting (XSS) Vulnerabilities (деталі)
• “titl”,”url” - Non-persistent XSS in Social Share (деталі)
• ManageEngine EventLog Analyzer Syslog Remote Denial of Service Vulnerability (деталі)
• Cross-domain redirect on PGP Universal Web Messenger (деталі)
• LiteSpeed Web Server 4.0.17 w/ PHP Remote Exploit for FreeBSD (деталі)
• “error” Non-persistent XSS in slickMsg (деталі)
• Apple Updates for Multiple Vulnerabilities (including Safari) (деталі)
• Pointter PHP Content Management System Unauthorized Privilege Escalation (деталі)
• About the security content of Security Update for Mac OS X v10.5.8 (including Safari) (деталі)
• Pointter PHP Micro-Blogging Social Network Unauthorized Privilege Escalation (деталі)

Продовжуючи тему уразливостей в ADSL модемі Callisto 821+, розповім вам про нові уразливості в даному модемі. У квітні, 07.04.2011, я виявив Cross-Site Request Forgery та Cross-Site Scripting уразливості в ADSL модемі Callisto 821+ (SI2000 Callisto821+ Router).

Уразлива версія SI2000 Callisto821+ Router: X7821 Annex A v1.0.0.0 / Argon 4×1 CSP v1.0 (ISOS 9.0) [4.3.4-5.1]. Дана модель з іншими прошивками також повинна бути вразливою.

Дані атаки потрібно проводити на власника модему, який залогінений в адмінку. Враховуючи, що малоймовірно застати його в такому стані, то можна використати раніше згадані уразливості для проведення віддаленого логіну (щоб залогінити його в адмінку). Після чого можна спокійно провести CSRF або XSS атаку.

CSRF:

Дана уразливість дозволяє змінити тип логіна при підключенні до Інтернету.

Callisto 821+ CSRF14.html

В розділі Create a new VLAN (http://192.168.1.1/configuration/qbridge_add_vlan.html ?ImBridge.ImQbridgeVlans) є CSRF, що дозволяє додавати нові VLAN.

В розділі VLANs (http://192.168.1.1/configuration/qbridgevlan.html ?ImBridge.ImQbridgeVlans) є CSRF, що дозволяє видаляти VLAN(и).

XSS:

В розділі Create a new VLAN (http://192.168.1.1/configuration/qbridge_add_vlan.html ?ImBridge.ImQbridgeVlans) у всіх текстових полях та деяких прихованих полях мають місце persistent XSS уразливості.

В розділі VLANs (http://192.168.1.1/configuration/qbridgevlan.html ?ImBridge.ImQbridgeVlans) є 2 persistent XSS уразливості.

Після попереднього дослідження похаканих сайтів, приведу нову інформацію про взломані сайти. З числа українських сайтів.

• http://mz-ark.gov.ua (хакерами з AHG) - 19.05.2011 - взломаний державний сайт, зараз сайт вже виправлений адмінами
• http://www.leecooper.com.ua (хакерами netKILLER і MX55) - взломаний форум сайта
• http://www.mariupolsapr.4ertim.com (хакером FormatXFormaT)
• http://www.bayel.com.ua (хакери Shavzy і SteersMan) - 11.05.2011, а до цього сайт був взломаний блексеошніками, зараз сайт не працює (немає контенту)
• http://yunona-tom.com (хакером Dr_Sm0k3r) - 01.06.2011, зараз сайт вже виправлений адмінами

Продовжуючи розпочату традицію, після попереднього відео про експлоіт для Firefox 3.6, пропоную нове відео на веб секюріті тематику. Цього разу відео про інфікований goggle.com. Рекомендую подивитися всім хто цікавиться цією темою.

Infected goggle.com

В даному відео розповідається про небезпечні сайти, що розповсюджують шкідливе програмне забезпечення (malware), на прикладі сайта goggle.com. Зловмисники не просто підбирають схожі домени, щоб люди, які помиляться при наборі (або випадково клікнуть по лінці, не вчитавшись в URL), зайшли на сайт, але й при цьому розміщують на ньому malware.

І для захисту власного комп’ютера варто використовувати сервіси, що попереджують про шкідливі сайти. Раніше я вже наводив подібний відео-ролик в записі Захист від небезпечних сайтів.

В відео зокрема показані два з таких сервісів - Web of Trust (як і в вищезгаданому відео) та McAfee SiteAdvisor, про які я вже розповідав. Окрім WoT-плагіна до браузера, автор також використовує NoScript. Рекомендую подивитися дане відео для розуміння векторів атак через інфіковані та шкідливі сайти.

28.09.2010

У червні, 05.06.2010, я знайшов Cross-Site Scripting уразливість на сайті http://www.ex.ua (файлообмінник). Про що найближчим часом сповіщу адміністрацію сайта.

Раніше я вже писав про уразливості на www.ex.ua.

Детальна інформація про уразливість з’явиться пізніше. Треба дати час адмінам на реакцію з цього приводу.

10.06.2011

XSS:

http://www.ex.ua/search?s=%22%3E%3Cscript%3Ealert(document.cookie)%3C/script%3E&per=4

Дана уразливість вже виправлена. Це перша дірка, з повідомленних мною, яку адміни ex.ua виправили. Але при цьому потрібно не забувати дякувати людям, що дбають про безпеку їхнього сайта.

Продовжуючи тему уразливостей в ADSL модемі Callisto 821+, розповім вам про нові уразливості в даному модемі. У квітні, 07.04.2011, я виявив Cross-Site Request Forgery та Cross-Site Scripting уразливості в ADSL модемі Callisto 821+ (SI2000 Callisto821+ Router).

Уразлива версія SI2000 Callisto821+ Router: X7821 Annex A v1.0.0.0 / Argon 4×1 CSP v1.0 (ISOS 9.0) [4.3.4-5.1]. Дана модель з іншими прошивками також повинна бути вразливою.

Дані атаки потрібно проводити на власника модему, який залогінений в адмінку. Враховуючи, що малоймовірно застати його в такому стані, то можна використати раніше згадані уразливості для проведення віддаленого логіну (щоб залогінити його в адмінку). Після чого можна спокійно провести CSRF або XSS атаку.

CSRF:

Дана уразливість дозволяє активувавати ZIPB.

Callisto 821+ CSRF13.html

В розділі ZIPB (http://192.168.1.1/configuration/zipb.html) є ще 3 CSRF - для деактивації ZIPB, для вибора комп’ютера та для налаштування ZIPB advanced configuration.

Є 2 CSRF уразливості в розділі Bridge Main Page (http://192.168.1.1/configuration/bridge.html).

XSS:

В розділі ZIPB (http://192.168.1.1/configuration/zipb.html) у всіх текстових полях та деяких прихованих полях мають місце persistent XSS уразливості.

Є 2 persistent XSS уразливості в розділі Bridge Main Page (http://192.168.1.1/configuration/bridge.html).

Після попереднього дослідження інфікованих сайтів, приведу нову інформацію про заражені сайти. З числа українських сайтів.

• http://fashionpeople.com.ua - інфекція була виявлена 09.06.2011. Зараз сайт входить до переліку підозрілих.
• http://uahotels.info - інфекція була виявлена 12.05.2011. Зараз сайт не входить до переліку підозрілих.
• http://all-biz.info - інфекція була виявлена 02.05.2011. Зараз сайт не входить до переліку підозрілих.
• http://ogo.ua - інфекція була виявлена 24.04.2011. Зараз сайт не входить до переліку підозрілих.
• http://ogo.rv.ua - інфекція була виявлена 24.04.2011. Зараз сайт не входить до переліку підозрілих.

Виявлена можливість проведення DoS атаки проти OpenSSL.

Уразливі версії: OpenSSL 0.9.8, OpenSSL 1.0.0.

Звертання до неініціалізованої пам’яті при розборі ClientHello.

• openssl security update (деталі)

В даній добірці уразливості в веб додатках:

• Hewlett Packard LaserJet MFP devices - Directory Traversal in PJL interface (деталі)
• Babylon Cross-Application Scripting Code Execution (деталі)
• HP LaserJet MFP Printers, HP Color LaserJet MFP Printers, Certain HP LaserJet Printers, Remote Unauthorized Access to Files (деталі)
• “post” - Non-persistent XSS in slickMsg (деталі)
• Multiple Vulnerabilities in Camtron CMNC-200 IP Camera (деталі)
• “post” - Non-persistent XSS in slickMsg (деталі)
• Juniper VPN client rdesktop clickhack (деталі)
• BBCode CSS XSS in slickMsg (деталі)
• ZyXEL P-660R-T1 V2 XSS (деталі)
• “link” and “linkdescription” XSS in Social Share (деталі)