Websecurity - Веб безпека

У грудні, 10.12.2011, я знайшов Certificate Spoofing уразливість в браузері Google Chrome для Android. Яку я виявив на своєму планшеті з Android 2.3.3. Про що вже сповістив розробників.

Можна викрадати сертифікати від інших сайтів через iframe. Тому я назвав атаку Certificate Stealing. Причому це можна робити не тільки для https, але й для http сайтів. Як видно з моїх скріншотів, http сайт (мій) отримав сертифікат від https сайта (Google).

PoC скріншоти:

Google Chrome for Android-1.jpg
Google Chrome for Android-2.jpg
Google Chrome for Android-3.jpg
Google Chrome for Android-4.jpg
Google Chrome for Android-5.jpg

№1 - Відкрити веб сайт з iframe, що вказує на інший сайт.
№2 - Вибрати Page info в контекстному меню.
№3 - В вікні буде кнопка “View certificate”, якої там бути не повинно, тому що це http сайт.
№4, №5 - Поточний сайт має валідний сертифікат іншого сайта.

Уразливі Google Chrome для Android 2.3.3 та попередні версії (та потенційно наступні версії).

Після попереднього дослідження інфікованих сайтів, приведу нову інформацію про заражені сайти. З числа українських сайтів.

• http://mytv.ua - інфекція була виявлена 23.11.2011. Зараз сайт не входить до переліку підозрілих.
• http://bel-trans.com.ua - інфекція була виявлена 23.10.2011. Зараз сайт не входить до переліку підозрілих.
• http://legionfort.com.ua - інфекція була виявлена 09.12.2011. Зараз сайт входить до переліку підозрілих.
• http://yaposhka.kh.ua - інфекція була виявлена 06.11.2011. Зараз сайт не входить до переліку підозрілих.
• http://ukr-lider.com.ua - інфекція була виявлена 27.10.2011. Зараз сайт не входить до переліку підозрілих.

В даній добірці уразливості в веб додатках:

• HP Network Node Manager i (NNMi) for HP-UX, Linux, Solaris, and Windows, Remote Unauthorized Disclosure of Information (деталі)
• Symantec Web Gateway forget.php SQL Injection Vulnerability (деталі)
• phpMyAdmin 3.x Multiple Remote Code Executions (деталі)
• HP Network Node Manager i (NNMi) for HP-UX, Linux, Solaris, and Windows, Remote Unauthorized Access (деталі)
• phpMyAdmin 3.x preg_replace RCE POC (деталі)
• Tugux CMS 1.2 Multiple vulnerability (BLIND sql & xss) (деталі)
• HP Network Node Manager i (NNMi) for HP-UX, Linux, Solaris, and Windows, Remote Cross Site Scripting (XSS) (деталі)
• Chyrp input sanitization errors (деталі)
• mapserver security update (деталі)
• PHP-Barcode 0.3pl1 Remote Code Execution (деталі)

У грудні, 13.12.2011, через півтора місяці після виходу Google Chrome 15, вийшов Google Chrome 16.

В браузері зроблено ряд нововведень. А також виправлено 15 уразливостей, з яких 6 позначені як небезпечні, 7 - помірні і 2 - незначні. Серед уразливостей не відзначено критичних проблем, що дозволили б обійти всі рівні захисту браузера.

• Релиз web-браузера Chrome 16 (деталі)

Продовжуючи тему уразливостей в D-Link DSL-500T, розповім вам про нові уразливості в даному роутері. На цьому тижні я виявив численні Cross-Site Request Forgery, Directory Traversal та Authentication Bypass уразливості в ADSL модемі D-Link DSL-500T ADSL Router. Це п’ятий advisory з серії записів про уразливості в продуктах D-Link. Попередні були про уразливості в DSL-500T ADSL Router та DAP 1150.

Уразлива версія D-Link DSL-500T, Firmware V1.00B02T02.RU.20050223. Дана модель з іншими прошивками також вразлива, а також можуть бути вразливими інші моделі роутерів від D-Link.

CSRF:

Весь функціонал адмінки роутера має CSRF уразливості. Наприклад, наступний CSRF-запит дозволяє змінити логін і пароль адміністратора.

D-Link DSL-500T CSRF.html

Всі інші функції в панелі адміністратора також уразливості до CSRF. А якщо використати XSS і DT, то можна буде віддалено зчитувати довільні файли з роутера.

Directory Traversal:

В 2006 році в інших моделях роутерів D-Link була знайдена DT уразливість (CVE-2006-2337). Яка також є в цій моделі, як я перевірив (але на відміну від опису DT в інших моделях, в моїй моделі необхідна аутентифікація).

http://192.168.1.1/cgi-bin/webcm?getpage=/etc/passwd
http://192.168.1.1/cgi-bin/webcm?getpage=/etc/shadow

Можна зчитувати довільні файли роутера. Але працює дана уразливість тільки після аутентифікації.

Authentication Bypass:

В 2005 році в інших моделях роутерів D-Link була знайдена AB уразливість (CVE-2005-1680). Яка також є в цій моделі, як я перевірив.

Можна без аутентифікації посилати команди додатку firmwarecfg. Що дозволить, наприклад, отримати файл конфігурації з логіном і паролем адміністратора. Для отримання доступу до адмінки.

За повідомленням www.xakep.ru, CSS шейдери сприяють крадіжці даних.

Розробники ПЗ з Google, Apple, Adobe та інших компаній боряться з ризиками безпеки, що виникли завдяки графічній технології, що зароджується, що у своєму нинішньому вигляді здатна наразити на небезпеку мільйони користувачів.

Технологія, відома як CSS шейдери, розроблена для того, щоб відображати різні ефекти викривлення як то коливань, брижів і складок. Вона працює за рахунок надання програмних інтерфейсів, якими розробники можуть користатися, щоб застосовувати потужні функції графічних карт кінцевих користувачів. Але також вона може бути використана зловмисними операторами сайтів щоб красти історію переглядів в Інтернеті, дані з Facebook та іншу чутливу інформацію у користувачів.

За повідомленням www.xakep.ru, ще один Центр сертифікації призупинив роботу після витоку даних.

Сайт, що належить голландському центру сертифікації був недоступний через те що, як повідомляється, хакери прорвали його захист і одержали доступ до бази даних. Після інцидентів з Comodo, DigiNotar та Digicert Sdn. Bhd, це вже четвертий випадок взломів видавців сертифікатів за цей рік.

Голландський телекомунікаційний гігант KPN виступив із заявою, у якій повідомлялося, що робота сайта його дочірньої компанії Gemnet тимчасово припинена, поки розслідуються обставини взлому. Інший сайт, що належить дочірній компанії KPN, що випускає цифрові сертифікати для голландського уряду, теж не працює.

За повідомленням www.xakep.ru, внаслідок взлому опубліковані особисті дані співробітників правоохоронних органів США.

Офіційний сайт організації Coalition of Law Enforcement and Retail був взломаний хакером, що користається псевдонімом Exphіn1ty і який, як він сам стверджує, належить до групи Anonymous.

Результатом атаки стала тимчасова зупинка роботи сайта і публікація імен, адрес, електронних адрес і телефонів більш ніж 2400 чинів правоохоронних органів і професіоналів по запобіганню втрат у роздрібній торгівлі, а також їхніх посад, назв агентств і компаній, у яких вони працюють і паролів (у хешованій формі) для їхній аккаунтів на сайті.

03.11.2011

У вересні, 12.09.2011, під час аудиту сайта свого клієнта, я знайшов Content Spoofing та Cross-Site Scripting уразливості в Zeema CMS (це українська комерційна CMS). Про що найближчим часом повідомлю розробникам.

Раніше я вже писав про уразливості в Zeema CMS. Це третя частина з великої кількості уразливостей знайдених в даній CMS. Всім користувачам даної системи вельми рекомендується провести аудит безпеки власних сайтів.

Детальна інформація про уразливості з’явиться пізніше. Спочатку повідомлю розробникам веб системи.

17.12.2011

Content Spoofing:

У зв’язку з можливістю прямого звертання до скрипта http://site/counter/counter.php з підробкою параметра ref і заголовка Referer, можна маніпулювати статистикою (з метою підробки реферерів, SEO спама, malware спама і засмічення і перекручування статистики).

Причому, якщо модуль статистики був відключений, то для проведення CS та XSS атак це можна обійти через пряме звернення до скрипта counter.php.

XSS (persistent):

При запитах до зовнішніх сторінок сайта в полі Referer недостатньо перевіряються вхідні дані, що дозволяє провести Persistent XSS атаку. Код виконається на різних сторінках статистики.

При відвідуванні будь-якої зовнішньої сторінки сайта відправити наступне значення заголовка Referer:

Referer: http://site.com/?<script>alert(document.cookie)</script>

При запитах до counter.php недостатньо перевіряються вхідні дані (у параметрі ref), що дозволяє провести Persistent XSS атаку. Код виконається на різних сторінках статистики.

http://site/counter/counter.php?site=counter&screen=1024x768&color=32&ref=http://site.com/?%22%3E%3Cscript%3Ealert(document.cookie)%3C/script%3E

З вказанням заголовка Referer (будь-який URL):

Referer: http://site.com

При запитах до counter.php недостатньо перевіряються вхідні дані (у полі Referer), що дозволяє провести Persistent XSS атаку. Код виконається на різних сторінках статистики.

http://site.com/counter/counter.php?site=counter&screen=1024x768&color=32&ref=http://site.com

З вказанням заголовка Referer:

Referer: http://site.com/?<script>alert(document.cookie)</script>

Уразливі всі версії Zeema CMS. В даній системі є багато інших уразливостей, про які розробники були сповіщені ще у вересні, після завершення аудиту.

Продовжуючи тему уразливостей в плагінах для WordPress, пропоную вам інформацію про дірки в інших плагінах для WP.

Цього разу повідомляю про уразливості в плагінах Alert-before-your-post, Adminimize та ClickDesk Live Support - Live Chat. Для котрих з’явилися експлоіти. Alert-before-your-post - це плагін для підтвердження перед публікацією, Adminimize - це плагін для налаштування інтерфейсу адмінки, ClickDesk Live Support - Live Chat - це плагін для створення створення чату “живої технічної підтримки”.

• Wordpress alert-before-your-post Plugin Cross-Site Scripting Vulnerabilities (деталі)
• Wordpress adminimize Plugin Vulnerabilities (деталі)
• Wordpress clickdesk-live-support-chat plugin Cross-Site Scripting Vulnerabilities (деталі)

Користувачам даних плагінів варто або оновити їх, або власноруч виправити дірки. В якості тимчасового рішення, поки не будуть виправлені чи оновлені плагіни, можна їх виключити в адмінці.

В цьому році відбувся масовий взлом сайтів на сервері Service Online. Він тривав на протязі квітня-листопада 2011 року. Нещодавно я вже розповідав про інші масові взломи.

Був взломаний сервер української компанії Service Online. Взлом складався з багатьох окремих дефейсів груп сайтів, більша частина з яких відбулася після згаданого масового взлому сайтів на сервері Besthosting.

Всього було взломано 26 сайтів на сервері хостера Service Online (IP 91.209.206.57). Це наступні сайти: ukrloza.org.ua, properevozki.org.ua, megamebli.org.ua, amini.com.ua, www.designort.com.ua, vinddetta.com, eurenssa2011.org.ua, www.agroprominvestplus.com.ua, www.agricourse.com.ua, www.adjutor.in.ua, www.adostavka.com, www.antory.com.ua, www.battle-helper.net, www.batuty.com.ua, www.biolactina.dp.ua, www.biser.dp.ua, che.gov.ua, jvc.od.ua, www.varva-rada.gov.ua, ssd-koda.gov.ua, www.goida-mebel.com.ua, www.zhayvir.com, kinoblesk.com, bee.in.ua, yatsura.lviv.ua, www.studyapples.com. Серед них українські державні сайти che.gov.ua, www.varva-rada.gov.ua та ssd-koda.gov.ua.

З зазначених 26 сайтів 7 сайтів були взломані хакером Ev!LsCr!pT_Dz, 9 сайтів хакером Mr.L4iVe, 1 сайт хакерами з Cocain TeaM, 1 сайт хакером SkilleR, 1 сайт хакером BLaCk_SPeCTRe та 6 сайтів хакером iskorpitx.

Враховуючи велику кількість сайтів на одному сервері та короткий проміжок часу для дефейсу невиликої групи сайтів, маловірогідно, що вони були взломані через взлом серверу хостінг провайдера (коли через взлом одного сайта, був отриманий root доступ до сервера). Але атаку на інші сайти на даному сервері через взлом одного сайту не можна виключати (бо до деяких з цих сайтів могли дістатися і без root доступа).

Сьогодні вийшов мій новий комерційний реліз - мій сінгл “Sense Of Beat”. Це другий комерційний реліз після мого альбому “Originality”.

Сінгл складається з п’яти breakbeat композицій. Сінгл вже розміщений на Juno Download та багатьох інших онлайн магазинах, де його можна прослухати та придбати (в високій якості). Всі композиції можна прослухати в нормальній якості в моєму акаунті на SoundCloud.

До cінглу увійшли 5 композицій, що були створені мною в 2010-2011 роках. Це наступні композиції:

1. Sense Of Beat
2. Sense Of Beat (Energy Mix)
3. Sense Of Beat (Instrumental)
4. Sense Of Beat (Instrumental Mix)
5. Energy