Websecurity - Веб безпека

Продовжуючи тему уразливостей в ADSL модемі Callisto 821+, розповім вам про нові уразливості в даному модемі. У квітні, 07.04.2011, я виявив численні Cross-Site Request Forgery та Cross-Site Scripting уразливості в ADSL модемі Callisto 821+ (SI2000 Callisto821+ Router).

Уразлива версія SI2000 Callisto821+ Router: X7821 Annex A v1.0.0.0 / Argon 4×1 CSP v1.0 (ISOS 9.0) [4.3.4-5.1]. Дана модель з іншими прошивками також повинна бути вразливою.

Дані атаки потрібно проводити на власника модему, який залогінений в адмінку. Враховуючи, що малоймовірно застати його в такому стані, то можна використати раніше згадані уразливості для проведення віддаленого логіну (щоб залогінити його в адмінку). Після чого можна спокійно провести CSRF або XSS атаку.

CSRF:

Дана уразливість дозволяє очистити логи подій.

Callisto 821+ CSRF15.html

XSS:

http://192.168.1.1/system/events.html?%22%3E%3Cscript%3Ealert(document.cookie)%3C/script%3E

XSS (persistent):

POST запит на сторінці http://192.168.1.1/system/events.html. XSS код потрібно задати в імені параметра (після крапки). Уразливі наступні параметри: EmWeb_ns:vim:2., EmWeb_ns:vim:7., EmWeb_ns:vim:11., EmWeb_ns:vim:12., EmWeb_ns:vim:13., EmWeb_ns:vim:14., EmWeb_ns:vim:15.

В даному випадку код виконається одразу, а також при відвіданні сторінок http://192.168.1.1/system/events.html і http://192.168.1.1/shared/event_log_selection.html.

До такої persistent XSS уразливості через ім’я параметра вразливий майже весь функціонал адмінки (той, що працює через POST). Про деякі подібні дірки через довільні параметри в інших розділах адмінки я вже писав раніше.

В червні, 08.06.2011, через півтора місяці після виходу Google Chrome 11, вийшов Google Chrome 12.

В браузері зроблено ряд нововведень. А також виправлено 14 помилок у безпеці, з яких 5 уразливостей позначені як небезпечні, 6 - помірні і 3 - незначні.

• Релиз web-браузера Chrome 12 (деталі)

Нещодавно, 09-11.07.2011, відбувся новий масовий взлом сайтів на сервері HostPro (а один сайт ще 04.03.2011). Перший масовий взлом сайтів на сервері HostPro відбувся в січні.

Був взломаний сервер української компанії HostPro. Взлом відбувся після згаданого масового взлому сайтів на сервері Virtes.

Всього був взломаний 21 сайт на сервері хостера HostPro (IP 80.91.191.125). Це наступні сайти: www.get-viza.com.ua, www.3atoka.com, amberlife.com.ua, www.spani.biz, www.nicolekids.com.ua, www.ozdorovis.com, rpb.org.ua, allodessa.com, progon.od.ua, ukrsepro.in.ua, krcc.com.ua, kosmetik-express.biz, 00008.info, fitopiramida.com, touchgadget.ru, allodessa.com.ua, www.salsa.mk.ua, psovajaohota.com, www.romashka.net.ua, www.apple2.ru, finpravda.com.ua.

З зазначених сайтів 20 було взломано на протязі 9-11 липня 2011 року хакерами з RKH, а 1 сайт був взломаний 04.03.2011 хакером iskorpitx.

Враховуючи велику кількість сайтів на одному сервері та короткий проміжок часу для дефейсу всіх цих сайтів, немає сумнівів, що вони були взломані через взлом серверу хостінг провайдера. Коли через взлом одного сайта, був отриманий root доступ до сервера (через уразливості в програмному забезпеченні самого сервера) та атаковані інші сайти на даному сервері.

14.10.2010

У липні, 02.07.2010, я знайшов SQL Injection уразливість на сайті http://pmk6.com.ua. Про що найближчим часом сповіщу адміністрацію сайта.

Детальна інформація про уразливість з’явиться пізніше. Треба дати час адмінам на реакцію з цього приводу.

15.07.2011

SQL Injection:

http://pmk6.com.ua/index.php?content_id=-1%20or%20version()%3E4

Дана уразливість досі не виправлена.

11.02.2011

Сьогодні я знайшов можливість виконання коду в TinyBrowser - файл менеджері для редактора TinyMCE. Що можливе через обхід захисних фільтрів веб додатку. Про що найближчим часом повідомлю розробникам.

Раніше я вже писав про Arbitrary File Upload уразливість в TinyBrowser.

Детальна інформація про уразливості з’явиться пізніше. Спочатку повідомлю розробникам веб додатку.

14.07.2011

Code Execution:

Можливе виконання коду в TinyBrowser (на веб серверах IIS і Apache).

Код виконається через завантаженні файла. Програма вразлива до трьох методів виконання коду: через використання символа “;” (1.asp;.txt) в імені файла (IIS), або через “1.asp” в імені папки (IIS), або через подвійне розширення (1.php.txt) (Apache).

Уразливі TinyBrowser v1.42 та попередні версії (та всі веб додатки, що його використовують, такі як TinyMCE). Як повідомив мені автор веб додатку, в версії 1.43 (яка офіційно ще не вийшла) він виправив дані уразливості.

Нещодавно, 04.07.2011, вишла нова версія WordPress 3.2.

WordPress 3.2 це перший випуск нової 3.2 серії. В ній додано чимало покращень порівняно з попередніми версіями движка, в тому числі закрито більше 400 тікетів з виправленими багами і зробленими покращеннями.

Основними знінами є відміна пітримки старих версій PHP та MySQL. Мінімальні вимоги до хостінга - PHP 5.2.4 та MySQL 5.0. А також відсутня підтримка старих браузерів, таких як IE6.

Серед головних покращень зокрема була оновлена Дошка оголошень, зроблена нова тема по замовчуванню Twenty Eleven з пітримкою HTML5, на сторінці написання записів додана кнопка для переходу в повноекранний режим, покращена панель адміна, на сторінці модерації коментарів додана функція схвалити та відповісти. Також пришвидшений процес оновлення движка та доданий новий функціонал в тему Twenty Eleven, зокрема можливість мати багато зображень для ротації в заголовку.

Виявлена можливість виконання коду в Barracuda NG Firewall і phion netfence. Враховуючи дірявість сайта даної компанії, зовсім не дивує наявність уразливостей в їхніх секюріті додатках.

Уразливі продукти: Barracuda NG Firewall 5.0, phion netfence 4.2.

Впровадження шел-символів у процесі аутентифікації.

• phion netfence / Barracuda NG Firewall: Remote Command Execution with root Privileges (деталі)

В даній добірці уразливості в веб додатках:

• Multiple Snap Appliance (SnapServer) Bypass Vulnerabilities (деталі)
• [ACM, Ariadne Content Manager] unauth. SQL injection + user enumeration (деталі)
• SQL Injection in WikLink (деталі)
• FlexVision Listener Vulnerability (деталі)
• “id” SQL Injection in WikLink (деталі)
• BlogEngine.NET 1.6 Multiple Vulnerabilities (деталі)
• HP Power Manager (HPPM) Running on Linux and Windows, Cross Site Request Forgery (CSRF) (деталі)
• Joomla! 1.0.x ~ 1.0.15 | Cross Site Scripting (XSS) Vulnerability (деталі)
• Authentication bypass in phpMySport (деталі)
• CA ETrust Secure Content Manager Common Services Transport Remote Code Execution Vulnerability (деталі)

Після попереднього дослідження похаканих сайтів, приведу нову інформацію про взломані сайти. З числа українських сайтів.

• http://www.stelya.zt.ua (хакерами з RKH) - 09.07.2011, зараз сайт вже виправлений адмінами
• http://sev-tiande.com.ua (хакерами з RKH) - 09.07.2011, зараз сайт вже виправлений адмінами
• http://whitehorse.net.ua (хакерами з RKH) - 09.07.2011, зараз сайт вже виправлений адмінами
• http://bonavi.ck.ua (хакерами з OPOJA-TECHNOLOGY-HACKERS) - 04.07.2011, зараз сайт вже виправлений адмінами
• http://bogolife.at.ua (хакером TH3_H4TTAB)

Продовжуючи розпочату традицію, після попереднього відео про DLL Hijacking eксплоіт для Windows Live Email, пропоную нове відео на веб секюріті тематику. Цього разу відео про експлуатацію DLL Hijacking уразливостей. Рекомендую подивитися всім хто цікавиться цією темою.

DLL Hijacking Client Side Exploit

В даному відео ролику демонструється процес пошуку DLL Hijacking уразливостей в Windows додатках та процес використання експлоіта (зробленого в Metasploit Framework) для такої уразливості. Атака відбувається як через Windows Explorer, так і через IE. Експлоіт дозволяє проводити віддалене виконання коду в уразливій програмі.

Атака відбувається при відвідуванні спеціально створеного шару в локальній мережі або веб сторінки в Інтернеті. Коли в Провіднику або в Internet Explorer відвідується спеціальний ресурс через який відбувається атака на уразлий додаток. Рекомендую подивитися дане відео для розуміння векторів DLL Hijacking атак на клієнтські додатки.