Websecurity - Веб безпека

17.08.2011

У липні, 30.07.2011, я знайшов Information Leakage, Insufficient Anti-automation та Abuse of Functionality уразливості в poMMo. Про що найближчим часом повідомлю розробникам.

Раніше я вже писав про уразливості в poMMo.

Детальна інформація про уразливості з’явиться пізніше. Спочатку повідомлю розробникам веб додатку.

04.11.2011

Information Leakage:

Після введення емайлу на subscribe.php, на сторінці http://site/pommo/user/process.php виводиться pending_code (в якості дебаг інформації), який висилається на емайл і який потрібно вказати на confirm.php, що дозволяє пройти підтвердження реєстрації. Що може бути використано для підписки довільних емайлів.

Insufficient Anti-automation:

http://site/pommo/user/confirm.php?code=32456bdc42bf333c7cf842924aabeba8

Із-за відсутності захисту від автоматизованих запитів (капчі) на даній сторінці, з врахуванням IAA на subscribe.php та IL на process.php, можна автоматизовано підписувати людей на розсилку.

Abuse of Functionality:

За допомогою даних уразливостей можна проводити e-mail (login) enumeration атаку, при цьому для аутентифікації користувачів використовується лише логін (без пароля). А також використовувати емайли для спам-цілей.

http://site/pommo/user/update.php?email=1@1.com

При вказанні емайла (що є логіном), який не є в базі підписчиків, відбувається редирект, а якщо він є в базі, то виводиться повідомлення про невірний код.

http://site/pommo/user/activate.php?email=1@1.com

При вказанні емайла (що є логіном), який не є в базі підписчиків, відбувається редирект, а якщо він є в базі, то виводиться повідомлення, що на даний емайл вже висланий лист.

Уразливі всі версії poMMo (poMMo Aardvark PR16.1 та попередні версії).

Нещодавно відбувся новий масовий взлом сайтів (останній інцидент) на сервері HostPro. Він тривав на протязі 2009 - 2011 років: в періоди 21.08.2009 - 17.12.2009, 16.05.2010 - 07.12.2010 та 11.03.2011 - 08.10.2011. Третій масовий взлом сайтів на сервері HostPro відбувся у липні.

Був взломаний сервер української компанії HostPro. Взлом складався з серії невеликих дефейсів (декількох по одному сайту та одного разу 4 сайтів) та двох масових дефейсів (21 та 22 сайти).

Всього було взломано 53 сайти на сервері хостера HostPro (IP 77.222.131.80). Це наступні сайти: www.idportal.org, www.zooritual.com.ua, www.energosouz.com, www.khpzida.com, www.stelmashow.in.ua, vvplawfirm.com, www.vvplawfirm.net, www.vvplawfirm.org, www.vvplawfirm.com.ua, www.vvplawfirm.kiev.ua, www.vvplawfirm.net.ua, pometki.com.ua, www.pometki.com, www.photocore.com.ua, www.urp.in.ua, www.tradesoft.com.ua, www.avramenko.org, www.avramenko.biz, fishka-plus.com.ua, www.krisha.net.ua, www.deeptown.kiev.ua, www.vesgroup.kiev.ua, www.vesgroup.com.ua, kyigrandtour.com, vipit.org.ua, inapple.org.ua, grem.kiev.ua, lexaudit.com, tl.com.ua, beautyshar.com.ua, www.aviaservis.com.ua, bestphoto.com.ua, dicei.org.ua, arhimas.com, all-rodyna.com.ua, kyudo.org.ua, barraban.com.ua, www.yavir.org.ua, www.dr-petrunin.org.ua, postroyportal.ru, www.upyrka.ru, agileee.org, agileee.com, www.grifin.org.ua, otva.org.ua, betv.com.ua, redline.org.ua, bagua.inf.ua, masha-sokol.ru, csep.org.ua.

З зазначених 53 сайтів 1 був взломаний хакером Opsisrael, 22 сайти хакерами з RKH, 1 сайт хакером iskorpitx, 1 сайт хакером limihack, 1 сайт хакером Metropolis, 1 сайт хакером SNiPeR HB, 1 сайт хакером SauDi ViRuS TeaM, 21 сайт хакерами з Azerbaijan Attacker та 1 сайт хакером Nicky Mc.

Враховуючи велику кількість сайтів на одному сервері та короткий проміжок часу для дефейсу невиликої групи сайтів та багатьох взломів маленьких груп сайтів на протязі трьох років, маловірогідно, що вони були взломані через взлом серверу хостінг провайдера (коли через взлом одного сайта, був отриманий root доступ до сервера). Але атаку на інші сайти на даному сервері через взлом одного сайту не можна виключати (бо до деяких з цих сайтів могли дістатися і без root доступа). Зокрема є декілька груп сайтів, які явно знаходяться в одному акаунті, тому кожна з цих груп сайтів могла бути дефейснута лише через взлом одного сайта в акаунті.

Продовжуючи традицію, пропоную вашій увазі цікаві секюріті статті. Щоб ви поповнювали свої знання з веб безпеки.

Добірка цікавого чтива на тему безпеки, в тому числі web security (статті з Вікіпедії):

• Ransomware (malware)
• Fraudulent dialer
• Pass the hash
• Tapjacking - це Clickjacking для мобільних пристроїв.
• Likejacking - це Clickjacking для “лайків” Facebook.

В даній добірці уразливості в веб додатках:

• KnFTPd v1.0.0 Multiple Command Remote Buffer Overflow (деталі)
• Arbitary File Upload Vulnerability in Elxis CMS component eForum v1.1 (деталі)
• Open Query Interface in Cisco Unified Communications Manager and Cisco Unified Presence Server (деталі)
• ikiwiki security update (деталі)
• Gadu-Gadu 0-Day Remote Code Execution (деталі)
• CSRF (Cross-Site Request Forgery) in Webjaxe (деталі)
• Useless OpenSSH resources exhausion bug via GSSAPI (деталі)
• Multiple XSS in WebCalendar (деталі)
• XSS vulnerability in FortiMail Messaging Security Appliance (деталі)
• XSS vulnerability in Plogger (деталі)

11.10.2011

Виявлені численні уразливості безпеки в Microsoft Internet Explorer.

Уразливі продукти: Microsoft Internet Explorer 6, 7, 8 та 9 під Windows XP, Windows 2003 Server, Windows Vista, Windows 2008 Server, Windows 7.

Численні пошкодження пам’яті з можливістю виконання коду.

• Многочисленные уязвимости безопасности в Microsoft Internet Explorer (деталі)

21.10.2011

Додаткова інформація.

• Microsoft Internet Explorer Object Handling Memory Corruption Vulnerability (деталі)
• Two Remote Code Execution Vulnerabilities in Internet Explorer (деталі)

03.11.2011

Додаткова інформація.

• Microsoft Internet Explorer “X-UA-COMPATIBLE” Use-after-free Vulnerability (деталі)
• Internet Explorer Select Element Cache Remote Code Execution Vulnerability (деталі)
• Microsoft Internet Explorer Select Element Insufficient Type Checking Remote Code Execution Vulnerability (деталі)
• Microsoft Internet Explorer swapNode Handling Remote Code Execution Vulnerability (деталі)
• Microsoft Internet Explorer SetExpandedClipRect Remote Code Execution Vulnerability (деталі)

Продовжуючи розпочату традицію, після попереднього відео про взлом комп’ютера через розшарений принтер, пропоную нове відео на веб секюріті тематику. Цього разу відео про зміну адмінського пароля в Joomla. Рекомендую подивитися всім хто цікавиться цією темою.

Reset Admin Password for Joomla

В даному відео ролику демонструється стандартний метод зміни адмінського пароля в Joomla через редагування таблиці користувачів в БД. Цей метод може використовуватися як адміністратором (наприклад, коли він забув свій пароль, або коли його сайт взломали і змінили пароль) для створення нового пароля, так і хакерами - для захоплення сайта. Причому окрім зміни пароля, цей метод так само можна використати для створення нового адміна (що при взломі сайта дозволить провести атаку більш приховано). Це стосується як Joomla, так й інших веб додатків.

При наявності доступа до БД сайта (при наявності доступа до менеджерів СУБД на сайті, таких як phpMyAdmin та MySQL Perl/CGI Client, або розміщені на сайті шела з таким функціоналом, або навіть менеджера СУБД), можна змінити пароль адміна. Рекомендую подивитися дане відео для розуміння векторів атак через доступ до БД.

В даній добірці уразливості в веб додатках:

• RSA, The Security Division of EMC, announces security fixes for RSA enVision (деталі)
• Directory Traversal Vulnerability in 1024cms Admin Control Panel v1.1.0 Beta (Complete-Modules Package) (деталі)
• NetSaro Enterprise Messenger Server Administration Console Source Code Disclosure (деталі)
• XSS Vulnerability in 1024cms Admin Control Panel v1.1.0 Beta (Master-cPanel Package) (деталі)
• Pidgin IM Insecure URL Handling Remote Code Execution (деталі)
• LFI Vulnerability in 1024cms Admin Control Panel v1.1.0 Beta (Master-cPanel Package) (деталі)
• RealNetworks Realplayer QCP Parsing Remote Code Execution Vulnerability (деталі)
• joomlacontenteditor (com_jce) BLIND sql injection vulnerability (деталі)
• RealNetworks, Inc. Releases Update to Address Security Vulnerabilities (деталі)
• XSRF (CSRF) in phpCollab (деталі)

13.06.2011

У квітні, 10.04.2011, я знайшов Cross-Site Scripting уразливості на http://www.barracudacentral.org - сайті секюріті компанії Barracuda Networks. Про що найближчим часом сповіщу адміністрацію сайта.

Раніше я вже писав про уразливості на www.barracudacentral.org. Що цікаво, дана компанія випускає Barracuda WAF, але він не допоміг їй ні проти цих, ні проти попередніх дірок .

Детальна інформація про уразливості з’явиться пізніше. Треба дати час адмінам на реакцію з цього приводу.

02.11.2011

XSS:

• alert(document.cookie)
• alert(document.cookie)
• alert(document.cookie)
• alert(document.cookie)
• alert(document.cookie)
• цікавий
• html включення

Дані уразливості досі не виправлені.

Після попереднього дослідження похаканих сайтів, приведу нову інформацію про взломані сайти. З числа українських сайтів.

• http://corsars.mk.ua (хакерами з RKH) - 17.08.2011, зараз сайт вже виправлений адмінами
• http://repin.mk.ua (хакерами з RKH) - 17.08.2011, зараз сайт вже виправлений адмінами
• http://www.unionavto.mk.ua (хакером iskorpitx) - 17.08.2011, зараз сайт вже виправлений адмінами
• http://www.uyuta.net (bembenk spelenk)
• http://www.nescafe.ua (хакерами з Jordanian Cyber Army) - 27.10.2011, зараз сайт вже виправлений адмінами.

14.10.2011

Виявлені численні уразливості безпеки в Microsoft Forefront Unified Access Gateway.

Уразливі версії: Microsoft Forefront Unified Access Gateway 2010.

Виконання коду, міжсайтовий скриптінг, DoS.

• Microsoft Security Bulletin MS11-079 - Important Vulnerabilities in Microsoft Forefront Unified Access Gateway Could Cause Remote Code Execution (деталі)

02.11.2011

Додактова інформація.

• Client-side remote file upload & command execution in Microsoft Forefront UAG Remote Access Agent (деталі)