Websecurity - Веб безпека

22.11.2010

У серпні, 04.08.2010, я знайшов Cross-Site Scripting, Brute Force та Insufficient Anti-automation уразливості на сайті http://kshop.com.ua (онлайн магазин). Про що найближчим часом сповіщу адміністрацію сайта.

Стосовно дірок на сайтах онлайн магазинів в останнє я писав про уразливості на optik.kiev.ua.

Детальна інформація про уразливості з’явиться пізніше.

08.09.2011

XSS:

http://kshop.com.ua/asearch/%22%3E%3Cimg%20src=1%20onerror=alert(1)%3E.html

Brute Force:

http://kshop.com.ua/login.html
http://kshop.com.ua/inc/login.php?login&login=1&passw=1

Insufficient Anti-automation:

http://kshop.com.ua/login.html
http://kshop.com.ua/inc/login.php?restore&remail=1

Даний сайт зараз не працює. Так і не виправивши уразливості, власники сайта вирішили прикрити свій онлайн магазин.

Після попереднього дослідження інфікованих сайтів, приведу нову інформацію про заражені сайти. З числа українських сайтів.

• http://avtostrada.net.ua - інфекція була виявлена 06.09.2011. Зараз сайт входить до переліку підозрілих.
• http://keynod32.at.ua - інфекція була виявлена 27.08.2011. Зараз сайт не входить до переліку підозрілих.
• http://multiki.pp.ua - інфекція була виявлена 20.06.2011. Зараз сайт не входить до переліку підозрілих.
• http://eurolab.ua - інфекція була виявлена 16.06.2011. Зараз сайт не входить до переліку підозрілих.
• http://eurolab.kiev.ua - інфекція була виявлена 15.06.2011. Зараз сайт не входить до переліку підозрілих.

В даній добірці уразливості в веб додатках:

• Cisco Network Access Control Guest Server System Software Authentication Bypass Vulnerability (деталі)
• CGI:IRC XSS issue (деталі)
• HP Operations for UNIX, Remote Cross Site Scripting (XSS), Unauthorized Access (деталі)
• SourceBans Version 1.4.7 XSS (деталі)
• THOMSON Router XSS (деталі)
• XSS vulnerability in RunCMS (деталі)
• Vulnerability in xmlsec1 (деталі)
• Path disclosure in RunCMS (деталі)
• HP Network Node Manager i (NNMi) for HP-UX, Linux, Solaris, and Windows, Remote Unauthorized Access (деталі)
• SQL Injection in RunCMS (деталі)

В 2007 я виявив уразливості на images.google.com (в пошуці по зображенням), про які розповів під час проекту MOSEB, та www.google.com та translate.google.com (в онлайн перекладачі). І тоді Гугл проігнорував дані уразливості, а в 2009 році я виявив, що вони частково (втихаря) виправили дірку в пошуці по зображенням - шляхом обмеження адрес, на які можна зайти через даний функціонал. І я тоді одразу ж розробив метод обходу даного обмеження, про що зараз вам розповім.

Дані уразливості можна використати для проведення фішинг атак та для розповсюдження malware. І Гугл ввів обмеження, що при перегляді зображень можна зайти тільки на ті сторінки, що є в БД системи. Що на думку компанії мало би зупинити подібні атаки, бо їх пошуковець індексує лише нешкідливі сторінки, а якщо вказати URL сторінки, яка не є в базі, то виведеться повідомлення і користувачу необхідно буде клікнути по лінці.

Але це обмеження обходиться наступним чином. Можна взяти вже готову сторінку (з зображенням в даному випадку), яка проіндексована Гуглом - це може бути як сторінка на сайті нападника, яку він підготував для атаки і дав пошуковцю її проіндексувати, або це може бути сторінка взломаного сайта. Після чого, на цю сторінку розміщується malware чи інший контент (наприклад, для фішинга), і використовується робочий URL на images.google.com для проведення атаки.

Що цікаво, якщо розмістити на сторінці html-код для проведення фішинг атаки на користувачів Google, то бот скоріше за все цього не виявить. Тому можна буде не після індексації розміщувати цей код на сайт, а навіть до індексації - бот пошуковця спокійно проіндексує такі сторінки.

Аналогічний метод може використовуватися і на інших сайтах Гугла (так само й на сайтах інших пошукових компаній), де використовується обмеження по URL. Що тільки на заіндексовані сторінки, що є в БД системи, можна зайти при перегляді зображень, або може бути зроблений редирект (в редиректорі пошуковця).

В підсумках хакерської активності в Уанеті в 2010 я зазначав, що всьго за 2010 рік я виявив 264 інфікованих сайтів в Уанеті. Дані сайти хостилися на серверах різних хостінг провайдерів, як українських, так і закордонних.

Пропоную вам звіт про результати мого дослідження хостінгів, які розміщували інфіковані сайти в 2010 році. Щоб і хостери і Інтернет користувачі знали найбільших розповсюджувачів шкідливого програмного забезпечення (через інфіковані сайти).

Торік наступні хостінг провайдери розміщували на своїх серверах інфіковані сайти: 1GB LLC, Adamant, Allied Standart, Avguro Technologies, Besthosting, CaroNet, CityDomain, Colobridge, Colocall, Compubyte Limited, Datagroup, Delta-X, Dream Line, Freehost, Golden Telecom, Hetzner, Host Europe, HostPro, Hosting.ua, Hostpark, Hvosting, IP-Com, ISPsystem, Infocom, Institute of Solid State Chemistry, Internet Communications, Keyweb Online, LeaseWeb, Lucky Net, MHost, MI-6, MNS, Master-Service, MegaStyle, MiroHost, Network Operations Center, New Generation Networks, OC3 Networks & Web Solutions, OVH, Operator of Virtual Data Computing, Oversee, Poundhost, Private-Online, Prohosting, Realon Service, SVAI.NET, Scana, Server.UA, Simply Transit, StarNet, Strato Rechenzentrum, T-Com, TC TEL, TOP NET, TV-Service, Tangram Ukraine, Teleport SV, The Planet, UARNet, UKRHOSTING, Uknoc, Ukrainehosting, Volia, Webalta, Webazilla, Wnet, Візор, Крелком, Мета, Укртелеком, Яндекс.

Найбільші інфіковані хостери (TOP-10):

1. MiroHost - 25 сайтів
2. Укртелеком - 21 сайтів
3. Besthosting - 12 сайтів
4. Colocall - 12 сайтів
5. Compubyte Limited - 9 сайтів
6. MHost - 8 сайтів
7. Volia - 8 сайтів
8. Hetzner - 7 сайтів
9. HostPro - 7 сайтів
10. Datagroup - 7 сайтів

Всього було виявлено хостінги 237 сайтів з 264. У випадку інших 27 сайтів визначити хостінги не вдалося, тому що в цьому році ці сайти вже не працювали (вони явно були закриті через розміщення malware на цих ресурсах).

15.11.2010

У липні, 25.07.2010, я знайшов Full path disclosure та SQL Injection уразливості на сайті http://www.eliteafh.com.ua. Про що найближчим часом сповіщу адміністрацію сайта.

Детальна інформація про уразливості з’явиться пізніше. Треба дати час адмінам на реакцію з цього приводу.

03.09.2011

Full path disclosure:

http://www.eliteafh.com.ua/article.php?root=a

SQL Injection (blind SQLi):

http://www.eliteafh.com.ua/article.php?root=-1%20and%20version()=4.1

Дані уразливості вже не працюють, бо сайт більше не працює. Таким чином власник сайта вирішив проблему з цими (та всіма іншими) дірками на своєму ресурсі. Про інші подібні випадки я вже писав раніше.

Продовжуючи розпочату традицію, після попереднього відео про експлоіт для Firefox, пропоную нове відео на веб секюріті тематику. Цього разу відео про eксплоіт для Apache mod_isapi. Рекомендую подивитися всім хто цікавиться цією темою.

Apache 2.2.14 mod_isapi Dangling Pointer

В даному відео ролику демонструється процес використання експлоіта для веб сервера Apache, зокрема для уразливості Apache 2.2.14 mod_isapi Dangling Pointer. Дана уразливість в Апачі дозволяє виконати довільний код на сервері з правами системи (SYSTEM на ОС Windows).

Атака відбувається при локальному запуску експлоіта, який створює шел на 4444 порту сервера. Рекомендую подивитися дане відео для розуміння векторів атак на веб сервери.

За повідомленням hackzona.com.ua, хакери вкрали дані клієнтів японського Citigroup.

Особисті дані більше 90 тисяч клієнтів японського відділення Citigroup були вкрадені хакерами і, можливо, продані третім особам. Інформація, яка потрапила в руки кіберзлочинців, включає в себе номери рахунків, імена, адреси та дати народження клієнтів Citigroup.

Раніше я вже писав про взлом Citibank - дочернього підприємства Citigroup. Так що після взлому американського сайта даної фінансової установи настала черга й японскього сайта. Банкам та іншим e-commerce сайтам варто більше слідкувати за безпекою ніж вони це роблять зараз.

За повідомленням www.xakep.ru, від взлому DigiNotar так само постраждали доповнення Mozilla, Yahoo, Tor і WordPress.

Сторінка доповнень до Mozilla Firefox постраждала від тієї ж атаки, у ході якої були підроблені сертифікати для сайтів Google, заявляє розробник браузерів. “DigiNotar проінформували нас про те, що вони випустили підроблені сертифікати для addons.mozilla.org у липні, але вони були заблоковані незабаром після виявлення”, - повідомляє Найтінгейл, директор по розвитку компанії Mozilla.

Спачатку виявилося, що DigiNotar видав підроблений сертифікат gmail.com, про що я писав нещодавно, а потім виявилося, що вони і багато інших підроблених сертифікатів видали. В цьому році у видавці сертифікатів з’явилася мода на видачу підроблених сертифікатів - мабудь вони так собі підробляють . А потім кажуть, що це сталося випадково і вони стали жертвою атаки.

За повідомленням www.xakep.ru, виявлений масовий взлом сайтів в Рунеті.

Фахівці компанії “Доктор Веб” зафіксували масовану хакерську атаку, що торкнулася тисячі сайтів у російському сегменті Мережі.

Попереднє розслідування показало, що взломані сайти використовувалися зловмисниками для поширення шкідливого ПЗ Trojan.Mayachok.1 під виглядом драйверів для різних пристроїв. За станом на 31 серпня 2011 року було виявлено більше 21 тисячі адрес веб сайтів, що поширюють згадане шкідливе ПЗ.

13.11.2010

У липні, 25.07.2010, я знайшов Full path disclosure та SQL Injection уразливості на сайті http://optik.kiev.ua. Про що найближчим часом сповіщу адміністрацію сайта.

Стосовно дірок на сайтах онлайн магазинів в останнє я писав про уразливості на www.allo.ua.

Детальна інформація про уразливості з’явиться пізніше.

02.09.2011

Full path disclosure:

http://optik.kiev.ua/article.php?root=a

SQL Injection (blind SQLi):

http://optik.kiev.ua/article.php?root=-1%20and%20version()=4.1

Дані уразливості досі не виправлені.

В своїх статтях Обхід систем для пошуку вірусів на веб сайтах (де я розповідав про використання клоакінгу) та Обхід поведінкового аналізу, або шкідливе ПЗ наносить удар у відповідь (де я розповідав про обхід систем, що базуються на поведінковому аналізі) я описав різні методи, які дозволяють обходити веб антивіруси. І для протидії шкідливому ПЗ на сайтах веб антивіруси повинні їх враховувати.

І нещодавно я виявив, що Гугл почав використовувати підробку (spoofing) User-Agent для своїх ботів. Що може бути пов’язано як раз з бажанням покращити ефективність роботи своєї системи виявлення вірусів на сайтах - щоб за допомогою клоакінга (а підробка UA є різновидом клоакінга) деклоакнути віруси на веб сайтах. З однієї сторони пошукові системи забороняють використовувати клоакінг проти них (відносять це до “чорних методів”), а ось тут виявляється, що і вони самі іноді полюбляють його використовувати .

Але він використовує спуфінг неефективно і при продуманому використанні клоакінгу, шкідливе ПЗ може ефективно приховуватися від ботів Гугла та від ботів будь-яких пошукових систем, в тому числі тих, що мають вбудовані антивіруси.

Якщо раніше бот Гугла називав себе в заголовку User-Agent як “Googlebot” (наприклад, “Googlebot/2.1″), то з недавніх пір він іноді іменує себе як “MOZILLA 5.0″. З однієї сторони це може допомогти деклоакнути приховане malware на сайтах, але з іншої сторони цього недостатньо. Тому що просунуті віруси можуть перевіряти не тільки User-Agent, але й IP, а також робити зворотній пошук в DNS.

Зокрема для даного бота IP рівний 66.249.66.102, а домен - crawl-66-249-66-102.googlebot.com. Що дозволяє через резолвінг IP визначати, що це саме Googlebot. І навіть, якщо зробити інше доменне ім’я, але в записах WHOIS буде вказано, що цей IP належить Гуглу, то вірус може використати цю інформацію для створення списку IP (або робити запити до WHOIS в реальному часі) по яким буде приховувати себе від даних ботів.

Тобто ефективний клоакінг відбувається одразу по декільком параметрам: User-Agent, IP і DNS. І це давно відомі речі в світі клоакінгу (і коли я розробляв свою систему Web VDS я враховував не тільки User-Agent, але й інші параметри). І тому розробникам веб антивірусів, в тому числі пошукових систем з вбудованими антивірусами, потрібно це враховувати.