Архів за Грудень, 2011

Нові уразливості в Register Plus Redux для WordPress

17:20 29.12.2011

30.11.2011

Нещодавно, 25.11.2011, я знайшов 36 уразливостей в плагіні Register Plus Redux для WordPress. Перевірялася остання версія плагіна. Це перша з серії публікацій про нові дірки в даному плагіні. В якій я розповім про Cross-Site Scripting, SQL Injection, Code Execution та Full path disclosure уразливості. Про що вже повідомив розробникам.

Раніше я вже писав про уразливості в Register Plus Redux для WordPress.

Детальна інформація про уразливості з’явиться пізніше.

29.12.2011

XSS:

POST запит на сторінці http://site/wp-login.php?action=register
</textarea><script>alert(document.cookie)</script>В полі: About Yourself.

Використовуючи функцію Autocomplete URL можна провести атаку через GET:

http://site/wp-login.php?action=register&description=%3C/textarea%3E%3Cscript%3Ealert(document.cookie)%3C/script%3E

Всі атаки на persistent XSS та persistent SQL Injection уразливості на сторінці конфігурації плагіна можуть проводитися через reflected XSS уразливості з метою обходу захисту від CSRF-атак.

Persistent XSS:

При включенні в налаштуваннях плагіна опції Show Invitation Code Tracking widget on Dashboard та додання коду запрошення (Add a new invitation code), можна вказати JS/VBS код.
<script>alert(document.cookie)</script>
Який спрацює на сторінці Dashboard (http://site/wp-admin/index.php). Це дефолтна сторінка, на яку заходять адмін та користувачі сайта при аутентифікації.

Persistent SQL Injection:

При включенні в налаштуваннях плагіна опції Show Invitation Code Tracking widget on Dashboard та додання коду запрошення (Add a new invitation code), можна вказати код для SQL ін’єкції.
' and benchmark(1000000,md5(now())) and 1='1Який спрацює при відвідуванні сторінки Dashboard (http://site/wp-admin/index.php). Це Persistent Blind SQL Injection.

Code Execution:

Маючи доступ до налаштувань плагіна, можна провести Code Execution через аплоаідінг 1.phtml.jpg. Це залежить від версії движка, про що я писав в записі Виконання коду в WordPress 2.5 - 3.1.1. Дана атака спрацює в версіях движка до WordPress 3.1.3, де розробники виправили функціонал аплоадінга (що використовується плагіном).

Full path disclosure:

http://site/wp-content/plugins/register-plus-redux/register-plus-redux.php

В register-plus-redux.php є FPD як і в попередніх версіях. А файл dash_widget.php (з FPD) перероблений на dashboard_invitation_tracking_widget.php, в якому вже немає FPD.

Так само як і виправлена FPD при POST запиті на сторінці http://site/wp-login.php?action=register. Але спеціальним чином її можна відновити.

При доданні нового поля в Additional Fields і при вказанні 1 (або майже будь-якого значення) в полі Options та включенні опції Show on Registration, з’явиться FPD при POST запиті на сторінці http://site/wp-login.php?action=register.

Також можна додати на сайт ще дві FPD уразливості. Якщо вказати Custom Logo URL адресу не до файла зображення або просто “http://”, то буде виводиться повідомлення про помилку з FPD на сторінках http://site/wp-admin/options-general.php ?page=register-plus-redux і http://site/wp-login.php?action=register.

Уразливі Register Plus Redux v3.7.3.1 та попередні версії. На замовлення мого клієнта я розробив нову версію плагіна з виправленними усіма знайденними мною уразливостями. Тому всі користувачі цього плагіна можуть знайти нову й безпечну версію плагіна в Інтернеті.

Численні уразливості на meta.ua

23:54 28.12.2011

Ще 30.06.2007 я знайшов Redirector уразливості (а 31.07.2009 додатково виявив Cross-Site Scripting уразливості) на сайті http://meta.ua. Як я вже розповідав, після останнього разу, коли вони відповіли мені дуже несерйозним чином, я більше не сповіщаю Мету про дірки на їхніх сайтах.

Останнього разу стосовно проектів компанії Мета я писав про уразливості на img.meta.ua.

XSS (Strictly social XSS):

XSS:

Redirector (URL Redirector Abuse):

http://meta.ua/jmp.asp?http://websecurity.com.ua

http://meta.ua/nav.asp?http://websecurity.com.ua

http://meta.ua/adclick.asp?href=http://websecurity.com.ua

http://meta.ua/c.asp?href=http://websecurity.com.ua

Про ці редиректори я вже писав в 2007 році.

Дані уразливості так досі й висять на сайті, як це було до того, як я знайшов їх у червні 2007 року (тобто на протязі всього часу роботи цього сайта). І це є типовим явищем для сайтів Мети, що добре видно з тих багатьох дірок на багатьох сайтах Мети про які я розповідав раніше.

Інфіковані сайти №107

22:40 28.12.2011

Після попереднього дослідження інфікованих сайтів, приведу нову інформацію про заражені сайти. З числа українських сайтів.

  • http://joomla-ua.com - інфекція була виявлена 28.11.2011. Зараз сайт не входить до переліку підозрілих.
  • http://fondigs.lg.ua - інфекція була виявлена 20.10.2011. Зараз сайт не входить до переліку підозрілих.
  • http://searivera.com.ua - інфекція була виявлена 18.10.2011. Зараз сайт не входить до переліку підозрілих.
  • http://users.i.com.ua/~gladkey - інфекція була виявлена 29.10.2011. Зараз сайт не входить до переліку підозрілих.
  • http://vixen.com.ua - інфекція була виявлена 03.11.2011. Зараз сайт не входить до переліку підозрілих.

Численні уразливості в Adobe Flash Player

20:15 28.12.2011

17.11.2011

Виявлені численні уразливості безпеки в Adobe Flash Player.

Уразливі продукти: Adobe Flash Player 11.0, AIR 3.0.

Численні пошкодження пам’яті, переповнення буфера, міжсайтовий доступ до даних.

  • Security update available for Adobe Flash Player (деталі)

28.12.2011

Додаткова інформація.

  • Adobe Flash Player “SAlign” Memory Corruption Vulnerability (CVE-2011-2459) (деталі)

Добірка уразливостей

17:28 28.12.2011

В даній добірці уразливості в веб додатках:

  • Hewlett-Packard Data Protector DtbClsLogin Utf8cpy Remote Code Execution Vulnerability (деталі)
  • phpMyAdmin 3.x Conditional Session Manipulation (деталі)
  • phpBB AJAX Chat/Shoutbox MOD CSRF Vulnerability (деталі)
  • HP Data Protector Express and HP Data Protector Express Single Server Edition (SSE), Local Denial of Service (DoS), Execution of Arbitrary Code (деталі)
  • Joomla! 1.7.0-RC and lower | Multiple Cross Site Scripting (XSS) Vulnerabilities (деталі)
  • Multiple XSS in HESK (деталі)
  • HP Data Protector Express and HP Data Protector Express Single Server Edition (SSE), Local Denial of Service (DoS), Execution of Arbitrary Code (деталі)
  • Eve-NukePortal file include (phpbb_root_path) (деталі)
  • MangoBery CMS 0.5.5 (quotes.php) Remote File Inclusion Vulnerability (деталі)
  • codebb 1.1b3 (phpbb_root_path) Remote File Include Vulnerability (деталі)

Уразливості в плагінах для MODx CMS, XOOPS, uCoz, Magento та DSP CMS

23:56 24.12.2011

Раніше я вже писав про уразливість в плагінах для Serendipity, Social Web CMS, PHP-Fusion, Magento та Sweetcron та багатьох інших портах WP-Cumulus для різних движків. Така ж уразливість є і в версіях даного плагіна для MODx CMS, XOOPS, uCoz, Magento та DSP CMS, що використовують tagcloud.swf розроблений автором WP-Cumulus.

Про мільйони флешек tagcloud.swf вразливих до XSS атак я згадував у своїй статті XSS уразливості в 34 мільйонах флеш файлах. Автори цих плагінів, як і тих плагінів, про які я писав раніше, так і не спромоглися виправити дану XSS уразливість з листопада 2009 року, коли я оприлюднив уразливості в WP-Cumulus для WordPress, повідомив про них авторові й він маже повністю їх виправив. Тому доводиться нагадувати кожному з цих розробників окремо.

Восени, 02.09.2011, 09.11.2011 та 18.11.2011, я знайшов Cross-Site Scripting уразливості в Tagcloud для MODx CMS, Сumulus для XOOPS, uCoz-Cumulus для uCoz, Cumulus Tagcloud для Magento та Cumulus для DSP CMS. Деякі з цих плагінів уразливі до однієї, а деяки до двох XSS - як до першої дірки в WP-Cumulus, що я оприлюднив в 2009 році, так і до другої дірки, що я оприлюднив в 2011 році.

XSS:

Tagcloud для MODx CMS:

http://site/assets/files/tagcloud.swf?mode=tags&tagcloud=%3Ctags%3E%3Ca+href='javascript:alert(document.cookie)'+style='font-size:+40pt'%3EClick%20me%3C/a%3E%3C/tags%3E

Сumulus для XOOPS:

http://site/modules/cumulus/include/cumulus.swf?mode=tags&tagcloud=%3Ctags%3E%3Ca+href='javascript:alert(document.cookie)'+style='font-size:+40pt'%3EClick%20me%3C/a%3E%3C/tags%3E

uCoz-Cumulus для uCoz:

http://site/tagcloud.swf?mode=tags&tagcloud=%3Ctags%3E%3Ca+href='javascript:alert(document.cookie)'+style='font-size:+40pt'%3EClick%20me%3C/a%3E%3C/tags%3E

Про дірку в якому, на прикладі сайта www.umvspz.gov.ua, я вже згадував торік в себе в новинах та оприлюднив на vs-db.info.

Cumulus Tagcloud для Magento:

http://site/frontend/tag/tagcloud.swf?mode=tags&tagcloud=%3Ctags%3E%3Ca+href=%27javascript:alert(document.cookie)%27+style=%27font-size:+40pt%27%3EClick%20me%3C/a%3E%3C/tags%3E
http://site/frontend/tag/tagcloud.swf?xmlpath=xss.xml
http://site/frontend/tag/tagcloud.swf?xmlpath=http://site/xss.xml

Через параметри mode та xmlpath.

Сumulus для DSP CMS:

http://site/engine/tags/cumulus.swf?mode=tags&tagcloud=%3Ctags%3E%3Ca+href=%27javascript:alert(document.cookie)%27+style=%27font-size:+40pt%27%3EClick%20me%3C/a%3E%3C/tags%3E

Код виконається при кліку. Це Strictly social XSS. Також можна провести HTML Injection атаку, подібно до WP-Cumulus.

Уразливі всі версії Tagcloud для MODx CMS, Сumulus для XOOPS 1.0, який також входить в ExtendedPackRU для XOOPS. Уразливі всі версії uCoz-Cumulus для uCoz, всі версії Cumulus Tagcloud для Magento та всі версії Сumulus для DSP CMS.

Атака через подвійні розширення в Apache

22:40 24.12.2011

Як я вже неодноразово розповідав, окрім виконання коду на сервері при завантаженні скриптів з відповідними розширеннями (як то php-скрипта у вигляді файла з розширенням php), існують альтеранативні методи. Відомі три методи виконання коду, коли розширення файла відмінне від того, яке повинно виконуватися на сервері відповідно до його налаштувань. Які дозволяють обходити захисні механізми веб додатків і проводити Code Execution атаки.

Обхідні методи виконання коду:

1. Через “1.asp;.txt” в імені файла. Працює в IIS.

Дана атака була названа semicolon attack. Ця уразливість була знайдена в 2009 році.

2. Через “1.asp” в імені папці. Працює в IIS.

Дана можливість виконання коду в Microsoft IIS була знайдена в 2011 році.

3. Через подвійне розширення (1.php.txt). Працює в Apache (з спеціальною конфігурацією). Цей метод відомий вже багато років, але все ще є дуже багато веб додатків вразливих до нього.

Про два перших методи (для IIS) я вже розповідав у вищезгаданих записах, а зараз я розповім детально про третій метод (для Apache). Ще в травні 2010 я запланував написати цю статтю і ось нарешті знайшов час.

Code Execution в Apache:

Атака відбувається при завантаженні через аплоадер файла, наприклад, з PHP кодом (або іншого скрипта), з подвійним розширенням. Це може знадобитися, коли завантаження php-файлів заборонене.

http://site/1.php.txt

Цей метод я виявив ще 04.11.2007 в себе на http://websecurity.com.ua коли зробив екслоіт для reCaptcha. Спочатку я зробив файл reCaptcha.pl.txt, але файл виконувався на сервері (як Perl скрипт, хоча і мав останнє розширення txt), тому я його перейменував на reCaptcha.txt і з тих пір в себе на сайті розміщую експлоіти як txt-файли (без подвійних розширень).

Спочатку я вирішив, що це некоректе налаштування на моєму сервері. Але потім я почав знаходити випадки такої misconfiguration на інших сайтах. З тих пір я ще неодноразово зустрічав подібні випадки на багатьох сайтах, тобто це поширене явище. Яке використовується для атаки на веб сайти.

Дана атака можлива через специфічні налаштування Apache. Вона пов’язана з модулем mod_mime. Тому атака можлива тільки на серверах Apache з модулем mod_mime.

Новини: Google Wallet, прогнози Gartner на 2012 рік та SSL сертифікати

20:23 24.12.2011

За повідомленням www.xakep.ru, Google Wallet зберігає деяку інформацію про платіжні карти у відкритому вигляді.

Значна кількість незашифрованих даних ставить телефони з Android у ризиковане становище, говорять дослідники. Самий довгоочікуваний мобільний платіжний додаток від Google для розрахунків у місцевих магазинах зберігає деяку секретну інформацію про користувачів у нешифрованому вигляді, наприклад, імена користувачів, дати транзакцій, адреси електронної пошти, а також залишок на рахунку покупців, говориться в дослідженні viaForensics.

За повідомленням www.xakep.ru, Gartner: основні тенденції інформаційної безпеки і безпечного здійснення покупок на 2012 рік.

Стандарт безпеки даних індустрії платіжних карт (PCI DSS) - животрепетна тема, але недавнє дослідження, проведене компанією Gartner показало, що 18% респондентів зізналися в тому, що вони не PCI DSS-сумісні, хоча в дослідженні малося на увазі, що вони повинні були відповідати цим стандартам.

Gartner провів ряд досліджень у період з червня по вересень цього року на щорічному IT-самміті Gartner по інформаційній безпеці, заходах Catalyst у Північній Америці і на їхньому власному самміті по безпеці і ризикам у EMEA. Опитування 383 IT-менеджерів виявило тренди в поводженні при здійсненні покупок і дозволило спрогнозувати майбутні витрати на забезпечення безпеки.

Це ще малий відсоток несумісних з PCI DSS компаній у Gartner, тому що досліджували вони лише західні компанії. Моє дослідження компаній (як українських, так і деяких інших), що мають сайти які повинні відповідати PCI DSS, показало, що мало хто з них відповідає цьому стандарту (і про такі діряві сайти я вже писав неодноразово). А також доводилося знаходити уразливості на сайтах, які пройшли PCI DSS аудит і мають відповідний сертифікат.

За повідомленням www.xakep.ru, вимоги безпеки націлені на зміцнення розбитої системи SSL: занадто мало, занадто пізно.

Консорціум компаній опублікував набір практик здійснення безпеки, який, вони сподіваються, будуть застосовувати всі центри аутентифікації, щоб браузери й інше ПЗ довіряло їх сертифікатам SSL. Базові вимоги, опубліковані Certification Authority/Browser Forum, розроблені для того, щоб запобігти порушенню безпеки в заплутаній мережі довіри, що формує підтримку системи SSL сертифікатів.

Випуск цих правил відбувся після багатьох років поганого керування з боку індивідуальних центрів сертифікації, яким дозволено випускати сертифікати, яким довіряють браузери. Це вимушений крок, після багатьох випадків компрометації видавців сертифікатів - лише в цьому році, як я писав, були взломані чотири видавця SSL сертифікатів: Comodo, DigiNotar, Digicert Sdn. Bhd та Gemnet.

Добірка уразливостей

17:11 24.12.2011

В даній добірці уразливості в веб додатках:

  • HP Data Protector Notebook Extension, Remote Execution of Arbitrary Code (деталі)
  • Precision (products.php?cat_id) Remote SQL injection Vulnerability (деталі)
  • Lava (news_item.php?id) (album.php?id) (basket.php?baction) Remote SQL injection Vulnerability (деталі)
  • HP Directories Support for ProLiant Management Processors for Integrated Lights-Out iLO2 and iLO3, Unauthorized Access (деталі)
  • SQL injection vulnerabilities in Support Incident Tracker (деталі)
  • Cross-Site Scripting in Koha Library Software (деталі)
  • Vulnerabilities in 3S CoDeSys 3.4 SP4 Patch 2 (деталі)
  • Kaqoo Auction (install_root) Multiple Remote File Include Vulnerabilities (деталі)
  • JC URLshrink 1.3.1 Remote Code Execution Vulnerability (деталі)
  • phpBB Module Forum picture and META tags 1.7 File Include Vulnerability (деталі)

Уразливості на it-consulting.incom.ua

23:50 23.12.2011

У грудні, 10.12.2011, я знайшов Cross-Site Scripting та Brute Force уразливості на http://it-consulting.incom.ua - сайті секюріті компанії Інком. Тоді я звернув увагу, що у Інкома окрім головного сайта на Джумлі-дирумлі є ще багато інших сайтів (на піддоменах) на різних версіях Джумли (1.0.x та 1.5.x), які мають ті самі дірки. Тому виправляти дані уразливості їм потрібно на всіх своїх сайтах.

Після мого повідомлення адміністраціі сайта стосовно дірок на основному сайті, вони також повинні були зрозуміти, що вони відносяться до всіх їхніх сайтів на Joomla (XSS до версій 1.0.х, а BF до всіх версій).

XSS (для Mozilla та Firefox):

Brute Force:

http://it-consulting.incom.ua/administrator/

Дані уразливості досі не виправлені.