Websecurity - Веб безпека

27.04.2009

У листопаді, 19.11.2008, після попередніх уразливостей Webglimpse, я знайшов Brute Force та Cross-Site Scripting уразливості в Webglimpse. Це локальна пошукова система. Дірки виявив на офіційному сайті системи http://webglimpse.net.

Детальна інформація про уразливості з’явиться пізніше. Спочатку повідомлю розробникам системи.

25.02.2012

Brute Force:

http://site/wgarcmin.cgi

Відсутність захисту від Brute Force атак може використовуватися для отримання доступу до адмінки. Причому можна підібрати логін і пароль до акаунту гостя (якщо вони не оприлюднені публічно), що може бути легше, ніж до акаунту адміна, а потім використати раніше згадані Directory Traversal і Authorization bypass уразливості, щоб отримати доступ до акаунту адміна.

XSS:

http://site/wgarcmin.cgi?URL2FIL=URL+2+File+--%3E&URL=%22%3E%3Cscript%3Ealert(document.cookie)%3C/script%3E&NEXTPAGE=T
http://site/wgarcmin.cgi?FIL2URL=%3C--+File+2+URL&FILE=%22%3E%3Cscript%3Ealert(document.cookie)%3C/script%3E&NEXTPAGE=T
http://site/wgarcmin.cgi?DOMAIN=%22%3E%3Cscript%3Ealert(document.cookie)%3C/script%3E&NEXTPAGE=T

Уразливі Webglimpse 2.18.8 та попередні версії. Перевірялося в Webglimpse 2.18.7 та 2.18.8, остання версія 2.20.0 також повинна бути вразлива.

Виявлені численні уразливості безпеки в Adobe Shockwave Player.

Уразливі версії: Adobe Shockwave Player 11.6.

Переповнення буфера, численні пошкодження пам’яті.

• Adobe Shockwave Player Parsing cupt atom heap overflow (деталі)
• Adobe Shockwave Player Parsing block_cout memory corruption vulnerability (деталі)
• Security update available for Adobe Shockwave Player (деталі)

У лютому місяці Microsoft випустила 9 патчів. Що більше ніж у січні (а окремих уразливостей значно більше ніж у січні).

У лютневому “вівторку патчів” Microsoft випустила черговий пакет оновлень, до якого увійшло 9 бюлетенів по безпеці. Що закривають 21 уразливість в програмних продуктах компанії. З них чотири патчі закривають критичні уразливості, а інші п’ять патчів - важливі уразливості.

Дані патчі стосуються всіх поточних операційних систем компанії Microsoft - Windows XP, 2003, Vista, 2008, 7 та 2008 R2. А також Microsoft Internet Explorer, .NET Framework, SharePoint та Visio Viewer 2010.

Що цікаво, Майкрософт разом з випуском патчів як завжди оновила свій антивірус Microsoft Security Essensials, і при цьому з антивірусом стався казус. Після встановлення пакета оновлень (разом з MSE) багато користувачів зіштовхнулися з тим, що при заході на сайт Google вони одержували повідомлення про зараження вірусом, пов’язаним з Blackhole.

Скріншот: MSE вважає www.google.com інфікованим.

Раніше побідне вже траплялося у Антивіруса Касперського з Google AdSense та Яндекс.Метрика.

В даній добірці уразливості в веб додатках:

• MailEnable webmail cross-site scripting vulnerability (деталі)
• Serendipity freetag plugin ’serendipity[tagview]’ Cross-Site Scripting vulnerability (деталі)
• AdaptCMS 2.0.1 Multiple security vulnerabilities (деталі)
• SQL injection vulnerability in Flynax Classifieds products (деталі)
• Multiple vulnerability in “Omnidocs” (деталі)
• Пошкодження пам’яти в win32k.sys Microsoft Windows (через Safari) (деталі)
• Advanced Electron Forums (AEF) 1.0.9 <= Cross Site Request Forgery (CSRF) Vulnerability (деталі)
• XSS Vulnerabilities in TWiki < 5.1.0 (деталі)
• Multiple vulnerabilities in Help Desk Software (деталі)
• Patch Notification: ImpressPages CMS Remote code execution (деталі)

За повідомленням www.xakep.ru, DDoS-атаки в малому бізнесі.

“Лабораторія Касперського” опублікувала звіт зі статистикою DDoS-атак у другій половині 2011 року. Підводячи підсумки минулого року, головними подіями називаються DDoS-атаки на фондові біржі, використання DDoS у політичних протестах (Anonymous) і для вирішення конфліктів у малому бізнесі.

За повідомленням ain.ua, сайт “Дорожнього контролю”, на якому збиралися скарги на співробітників ДАІ, заблокований за рішенням суду.

Відповідно до Рішення суду Деснянського району м. Києва сьогодні було зупинене надання послуг хостінга сайту Roadcontrol, автори якого займалися захистом прав водіїв, а також розміщали фото і відео фактів порушення закону. Це сталося 14 лютого. А вже 16 лютого суд скасував рішення про блокування сайта “Дорожній контроль”. Після чого сайт відновив свою роботу.

Цей приклад з закриттям сайта демонструє, що отримати рішення суду для блокування хостінгу не є складною задачою (зокрема для міліції). Для цього потрібно лише направити позов до суду і він видасть рішення про закриття сайта, навіть якщо ніякої вини ще не доведено, тобто на час проведення слідчих дій.

Таким чином можна без жодних підстав, лише по бажанню співробітника державного органу (наприклад, МВС), який напише позов, закрити будь-який сайт (хоча б тимчасово). В даному випадку був заблокований хостінг (аналогічним чином можна заблокувати і домен, але у випадку з ex.ua це сталося навіть без рішення суду). І хоча через два дні суд відмінив блокування, розглянувши заяву власників сайта про неадекватність ужитих заходів, але після даного інцеденту власники “Дорожнього контролю” заявили, що перенесуть хостінг в Германію.

За повідомленням www.xakep.ru, модуль JavaSсriрt-кейлогера для Metasplot.

Нещодавно був розроблений JavaSсriрt-кейлогер для Metasplot. Американський дослідник в області безпеки Маркус Кейри говорить, що бачив багато JS-кейлогерів у реальному використанні, але все це були деякі саморобні рішення, без професійного підходу до маштабування й установки скриптів на безлічі сайтів. Тому він витратив кілька днів і написав якісний модуль JavaSсriрt-кейлогера для Metasplot.

JS-кейлогер для викрадення даних з форм аутентифікації - це більш просунутий варіант атаки, коли через XSS або Content Spoofing уразливість викрадаються дані з форми. Якщо в старих атаках викрадалися дані користувача при їх відправленні з форми, то в даному випадку викрадаються усі натискання клавіш в браузері.

Після попереднього дослідження похаканих сайтів, приведу нову інформацію про взломані сайти. З числа українських сайтів.

• http://starasinyava-rda.gov.ua (хакерами з Ashiyane Digital Security Team) - 01.12.2011 - взломаний державний сайт, зараз сайт вже виправлений адмінами
• http://mriya.pz.gov.ua (хакерами з Turkish Energy Team) - 28.11.2011 - взломаний державний сайт, зараз сайт вже виправлений адмінами
• http://borispol-rada.gov.ua (хакерами з Ashiyane Digital Security Team) - 25.11.2011 - взломаний державний сайт, зараз сайт вже виправлений адмінами
• http://natorg.com.ua (хакером SonTurk) - 16.11.2011, зараз сайт вже виправлений адмінами
• http://metro-media.com.ua (хакерами Margu і BlueHackerTR) - 30.01.2012, зараз сайт не працює (відключений провайдером через його взлом)

В презентації Understanding the web browser threat, Stefan Frei, Thomas Duebendorfer, Gunter Ollmann і Martin May розповідають про небезпеку веб браузерів. Вони наводять результати свого дослідження загроз атак на Інтернет користувачів через уразливості в браузерах та плагінах до них.

В своїх дослідженнях інфікованих сайтів в Уанеті, в своїй торішній доповіді на конференції та статті “Веб-антивіруси. Системи виявлення інфікованих сайтів” я також піднімав це питання з позиції веб сайтів.

В даній добірці уразливості в веб додатках:

• HP Database Archiving Software, Remote Execution of Arbitrary Code (деталі)
• Nortel Contact Recording Centralized Archive 6.5.1 EyrAPIConfiguration getSubKeys() Remote SQL Injection Exploit (деталі)
• SAP WebAS Malicious SAP Shortcut Generation (деталі)
• SAP WebAS webrfc Cross-Site Scripting (деталі)
• SAP WebAS Remote Denial of Service (деталі)
• Google Chrome HTTPS Address Bar Spoofing (деталі)
• SAP Crystal Report Server pubDBLogon - Linked ХSS vulnerability (деталі)
• SAP NetWeaver ipcpricing - information disclose (деталі)
• Multiple Vulnerabilities in IceWarp Mail Server (деталі)
• PunBB 1.3.6 bug (деталі)

Продовжуючи тему уразливостей в плагінах для WordPress, пропоную вам інформацію про дірки в інших плагінах для WP.

Цього разу повідомляю про уразливості в плагінах The Welcomizer, Kish Guest Posting та AllWebMenus. Для котрих з’явилися експлоіти. The Welcomizer - це плагін для додавання анимації на сайт, Kish Guest Posting - це плагін для надання можливості гостям публікувати записи, AllWebMenus - це плагін для створення веб меню на сайті.

• Wordpress the-welcomizer plugin Cross-Site Scripting Vulnerabilities (деталі)
• Wordpress Kish Guest Posting Plugin 1.0 (uploadify.php) Unrestricted File Upload Vulnerability (деталі)
• AllWebMenus < 1.1.9 WordPress Menu Plugin Arbitrary file upload (деталі)

Користувачам даних плагінів варто або оновити їх, або власноруч виправити дірки. В якості тимчасового рішення, поки не будуть виправлені чи оновлені плагіни, можна їх виключити в адмінці.

В період 20.07.2011-24.07.2011, 01.11.2011-07.11.2011, 16.11.2011-20.11.2011 і 25.12.2011, відбувся новий масовий взлом сайтів на сервері Freehost. Другий масовий взлом сайтів на сервері Freehost відбувся раніше.

Був взломаний сервер української компанії Freehost. Взлом, що складався з двох великих взломів та п’яти окремих взломів по одному сайту, відбувся після згаданого масового взлому сайтів на сервері HostPro.

Всього було взломано 261 сайт на сервері української компанії Freehost (IP 178.20.153.6). Перелік сайтів можете подивитися на www.zone-h.org. Серед них українські державні сайти www.arhioda.gov.ua, www.mykcustoms.gov.ua, www.city-izyum.gov.ua.

З зазначеного 261 сайту 105 сайтів були взломані хакерами DAVACI та SLYHACKER, 152 сайтів хакером J0K3R R3TURN, 1 сайт хакерами з 1923Turk, 1 сайт хакером sLizer, 1 сайт хакером iskorpitx та 1 сайт хакером FEnR.

Враховуючи велику кількість сайтів на одному сервері та короткий проміжок часу для дефейсу всіх цих сайтів, немає сумнівів, що вони були взломані через взлом серверу хостінг провайдера (за виключенням окремих одиночних взломів сайтів). Коли через взлом одного сайта, був отриманий root доступ до сервера (через уразливості в програмному забезпеченні самого сервера) та атаковані інші сайти на даному сервері.