Архів за Серпень, 2011

Уразливість в плагінах для RapidWeaver, Habari, DasBlo, eZ Publish та EE

23:53 31.08.2011

Раніше я вже писав про уразливість в Tumulus для Typepad та багатьох інших портах WP-Cumulus для різних движків. Така ж уразливість є і в версіях даного плагіна для RapidWeaver, Habari, DasBlog, eZ та Expression Engine, що використовують tagcloud.swf розроблений автором WP-Cumulus.

Про мільйони флешек tagcloud.swf вразливих до XSS атак я згадував у своїй статті XSS уразливості в 34 мільйонах флеш файлах. Автори цих плагінів, як і тих плагінів, про які я писав раніше, так і не спромоглися виправити дану XSS уразливість з листопада 2009 року, коли я оприлюднив уразливості в WP-Cumulus для WordPress, повідомив про них авторові й він маже повністю їх виправив. Тому доводиться нагадувати кожному з цих розробників окремо.

В травні, 11.05.2011, я знайшов Cross-Site Scripting уразливість в Tag cloud для RapidWeaver, HB-cumulus для Habari, Cumulus для DasBlog, EZcumulus для eZ Publish та Simple Tags для EE. Про що найближчим часом повідомлю їх розробникам.

XSS:

http://site/path/tagcloud.swf?mode=tags&tagcloud=%3Ctags%3E%3Ca+href='javascript:alert(document.cookie)'+style='font-size:+40pt'%3EClick%20me%3C/a%3E%3C/tags%3E

Код виконається при кліку. Це Strictly social XSS. Також можна провести HTML Injection атаку, подібно до WP-Cumulus.

Уразливі всі версії WP-Cumulus для RapidWeaver, HB-Cumulus для Habari версія 1.4 і попередні вразливі до XSS (і всі версії вразливі до HTML Injection), Cumulus для DasBlog (старі версії до XSS і всі версії до HTML Injection), EZcumulus 1.0 для eZ Publish та Simple Tags для Expression Engine версія 1.6.3 і нові версії (де була додана підтримка даного swf-файла).

Також вразливий плагін eZ Flash Tag Cloud - це інший плагін для eZ Publish (який підтримується розробниками, на відміну від EZcumulus). Вразлива версія eZ Flash Tag Cloud 1.0. В версії 1.1 розробники виправили XSS, після мого повідомлення, але вона все ще вразлива до HTML Injection.

Обхід блокування по IP на сайтах

22:44 31.08.2011

В статті Обхід капч та блокування на сайтах я розповідав про один з методів обходу капч та блокування. А зараз я розповім вам про обхід блокування по IP. Це друга стаття з серії статей про методи обходу блокування на сайтах.

Цей метод я розробив у липні, коли проводив аудит сайта одного свого клієнта, і обійшов капчу методом описаним у вищезгаданій статті. Після чого виявив блокування по IP, яке я також обійшов. І цей метод я зараз детально опишу.

При наявності на сайті блокування по IP (на годину, чи 24 годину, чи навіть постійно блокування), зокрема в формах аутентифікації, що спрацьовує після декількох невдалих спроб логіна, є можливість обійти дане блокування. Що стане в нагоді при Brute Force атаках.

Зазначу, що цей метод призначений саме для обходу блокувань в таких функціоналах як форми аутентифікації (для обходу будь-яких блокувань по IP в будь-яких функціоналах потрібно використовувати проксі), при цьому використовується одна IP адреса. І для використання методу потрібно мати робочий акаунт на цільовому сайті, тобто на сайті повинна бути доступна реєстрація, щоб зробити собі робочий акаунт.

Для проведення Brute Force атаки з обходом блокування потрібно зробити наступні кроки:

1. Створити робочий акаунт на цільовому сайті.

2. Виявити межу блокування - після скількох невдалих спроб логіна відбувається блокування (наприклад, 15).

3. Використати метод обходу для проведення Brute Force атаки з метою підбору паролів.

Суть методу зводиться до наступного. За звичай при блокуванні по IP рахується кількість невдалих спроб, яка обнуляється при вдалій спробі логіна. Тому потрібно періодично, до того як спрацює блокування, посилати запити з коректним логіном і паролем (до власного акаунту), щоб обнулити цей рахівник. Наприклад, при блокуванні після 15 спроб, варто посилати завідомо коректні аутентифікаційні дані після кожної 5 спроби.

І таким чином блокування по IP обходиться і можна нескінченно брутфорсити з одного IP. Тому розробникам захисних механізмів потрібно коректно їх реалізовувати.

Серпневий вівторок патчів від Microsoft

20:11 31.08.2011

В серпні місяці Microsoft випустила 12 патчів. Що значно більше ніж у липні.

У серпневому “вівторку патчів” Microsoft випустила черговий пакет оновлень, до якого увійшло 12 бюлетенів по безпеці. Що закривають 22 уразливості в програмних продуктах компанії (кількість уразливостей аналогічна липневому “вівторку патчів”). Зокрема дев’ять патчів закривають критичні уразливості, а інші три патчі виправляють важливі уразливості.

Дані патчі стосуються всіх поточних операційних систем компанії Microsoft - Windows XP, 2003, Vista, 2008, 7 та 2008 R2. А також Microsoft Office, Internet Explorer та платформи .NET.

Добірка уразливостей

16:07 31.08.2011

В даній добірці уразливості в веб додатках:

  • Symantec LiveUpdate Administrator CSRF vulnerability (деталі)
  • XSS vulnerability in UMI.CMS (деталі)
  • Novell Netware NWFTPD.NLM DELE Remote Code Execution Vulnerability (деталі)
  • XSS vulnerability in ViArt Shop (деталі)
  • SCADA Trojans: Attacking the Grid + Advantech vulnerabilities (деталі)
  • XSS vulnerability in ViArt Shop (деталі)
  • rogea Movicon TCPUploadServer Remote Exploit (деталі)
  • Stored XSS vulnerability in WebAsyst Shop-Script (деталі)
  • IGSS 8 ODBC Server Multiple Remote Uninitialized Pointer Free DoS (деталі)
  • XSS vulnerability in WebAsyst Shop-Script (деталі)

Уразливості на www.telegroup.ua

23:53 30.08.2011

10.11.2010

У липні, 25.07.2010, я знайшов Cross-Site Scripting та Brute Force уразливості на сайті http://www.telegroup.ua. Про що найближчим часом сповіщу адміністрацію сайта.

Детальна інформація про уразливості з’явиться пізніше. Треба дати час адмінам на реакцію з цього приводу.

30.08.2011

XSS:

POST запит на сторінці http://www.telegroup.ua/ru/cms/search
“><script>alert(document.cookie)</script>
В полі пошуку.

Даний варіант атаки вже виправлено. Але неякісно, тому можна використати цей варіант:
“><body onload=alert(document.cookie)>

Brute Force:

http://www.telegroup.ua/admin/

BF уразливість вже виправлена, але XSS досі не виправлена.

Надійність SSL сертифікатів

22:42 30.08.2011

Тривалий час секюріті спільнота наголошує на безпеці SSL сертифікатів і необхідності їх використовувати для покращення безпеки сайтів. Зокрема їх використання допоможе проти MITM атак.

Для покращення самих SSL сертифікатів та процесу взаємодії браузерів з сайтами по HTTPS створються нові стандарти. Такі як EV SSL та HSTS. По задумці авторів все це повинно підвищити рівень захищенності сайтів з такими сертифікатами. І якщо не мати інших дірок на сайтах, то користь від цього буде, але я вже розповідав про справжню безпеку сайтів із секюріті логотипами, що діряві сайти полюбляють ховатися за секюріті логотипами (в тому числі SSL логотими, і помилково гадають і переконують відвідувачів, що SSL захистить їх від власник дірок).

При цьому все більше з’являється компаній, що видають SSL сертифікати (і заробляють на цьому). І при цьому нерідко ці компанії не слідкують за безпекою, що призводить до витоків сертифікатів відомих сайтів, які потрапляють в руки зловмисникам і можуть використовуватися при фішинг атаках і MITM атаках.

В березні така ситуація сталася з Comodo, коли вони “помилково” видали зловмисникам сертифікати відомих сайтів, в тому числі сайтів Гугла (www.google.com і mail.google.com). А 27 серпня така ситуація сталася з DigiNotar, виданий якою сертифікат gmail.com витік у вільний доступ.

Підозрюють, що за останнім випадком стоять уряди деяких держав (зокрема Ірану), що хочуть використати даний сертифікат для аналізу SSL-трафіку жителів власних країн. Так що при таких витоках SSL сертифікатів, їх надійність вже не виглядає дуже високою.

Новий масовий взлом сайтів на сервері Freehost

20:14 30.08.2011

В період 24.05-25.05, 30.07-01.08 і 11.08.2011, відбувся новий масовий взлом сайтів на сервері Freehost. Нещодавно я вже розповідав про інші масові взломи. Цього року це вже другий масовий взлом сайтів на сервері даного провайдера.

Був взломаний сервер української компанії Freehost. Взлом, що складався з трьох окремих взломів, відбувся після згаданого масового взлому сайтів на сервері Goodnet.

Всього було взломано 260 сайтів на сервері української компанії Freehost (IP 91.206.31.138). Перелік сайтів можете подивитися на www.zone-h.org. Серед них українські державні сайти cr.niss.gov.ua, dn.niss.gov.ua, dp.niss.gov.ua, eng.niisp.gov.ua, kh.niss.gov.ua, lv.niss.gov.ua, od.niss.gov.ua, uz.niss.gov.ua, www.niss.gov.ua, www.nbu.gov.ua, www.niisp.gov.ua.

36 зазначених сайтів були взломані 24-25 травня 2011 року хакерами з 1923Turk, а 213 сайтів - 30.07-01.08 хакерами з RKH. Іще один сайт був дефейснутий 11 серпня хакером iskorpitx.

Враховуючи велику кількість сайтів на одному сервері та короткий проміжок часу для дефейсу всіх цих сайтів, немає сумнівів, що вони були взломані через взлом серверу хостінг провайдера. Коли через взлом одного сайта, був отриманий root доступ до сервера (через уразливості в програмному забезпеченні самого сервера) та атаковані інші сайти на даному сервері.

Уразливості на mirdomov.ua

23:50 29.08.2011

08.11.2010

У липні, 07.07.2010, я знайшов Cross-Site Scripting та Brute Force уразливості на проекті http://mirdomov.ua. Про що найближчим часом сповіщу адміністрацію проекту.

Детальна інформація про уразливості з’явиться пізніше. Треба дати час адмінам на реакцію з цього приводу.

29.08.2011

XSS:

Brute Force:

http://mirdomov.ua/admin/

Дані уразливості досі не виправлені.

Інфіковані сайти №92

22:46 29.08.2011

Після попереднього дослідження інфікованих сайтів, приведу нову інформацію про заражені сайти. З числа українських сайтів.

  • http://svetolux.mk.ua - інфекція була виявлена 27.08.2011. Зараз сайт входить до переліку підозрілих.
  • http://medtrans.com.ua - інфекція була виявлена 06.08.2011. Зараз сайт не входить до переліку підозрілих.
  • http://igrushkin.com.ua - інфекція була виявлена 29.08.2011. Зараз сайт входить до переліку підозрілих
  • http://chinatel.com.ua - інфекція була виявлена 09.07.2011. Зараз сайт не входить до переліку підозрілих.
  • http://musician.if.ua - інфекція була виявлена 14.06.2011. Зараз сайт не входить до переліку підозрілих.

Як і у випадку з іншими веб сайтами, інфікований сайт chinatel.com.ua також хостить в себе Укртелеком.

Численні уразливості в PHP

20:37 29.08.2011

Виявлені численні уразливості безпеки в PHP.

Уразливі версії: PHP 5.3.

Звертання по нульовому вказівнику, пошкодження пам’яті в ZipArchive.