Websecurity - Веб безпека

Use-after-free уразливість в Mozilla Firefox, Thunderbird, Seamonkey.

Уразливі продукти: Firefox 10.0, Thunderbird 10.0, SeaMonkey 2.7.

Використання пам’яті після звільнення в nsXBLDocumentInfo::ReadPrototypeBindings.

• Mozilla Foundation Security Advisory 2012-10 (деталі)

В даній добірці уразливості в веб додатках:

• IpTools (Tiny TCP/IP server) - WebServer Directory Traversal Vulnerability (деталі)
• Dexanet Remote SQL injection Vulnerability (деталі)
• Sana Net (viewnews.php?id) Remote SQL injection Vulnerability (деталі)
• Sana Net (viewpages.php?id) Remote SQL injection Vulnerability (деталі)
• Fulci (prodotto.php?id) Remote SQL injection Vulnerability (деталі)
• IpTools - Rcmd Remote Overflow Vulnerability (деталі)
• Olonet (prodotto.php?idproduct) Remote SQL injection Vulnerability (деталі)
• Studio Linea (prodotto.php?id) Remote SQL injection Vulnerability (деталі)
• ITTWeb Remote SQL injection Vulnerability (деталі)
• ph5gruppo (prodotto.php?id) Remote SQL injection Vulnerability (деталі)

В жовтні відбувся новий масовий взлом сайтів на сервері HostPro. Він тривав на протязі 2009 - 2011 років: 18.12.2009, 05.03.2010-26.11.2010 та 23.10.2011. П’ятий масовий взлом сайтів на сервері HostPro відбувся раніше.

Був взломаний сервер української компанії HostPro. Взлом складався з одного масового дефейса (46 сайтів в 2011 році) та декількох невеликих дефейсів по одному або декілька сайтів (в попередні роки).

Всього було взломано 57 сайтів на сервері хостера HostPro (IP 193.169.189.62). Це наступні сайти: vipcat.net, vicatto.pp.ua, valeryshcherytsa.com, terapia.kiev.ua, stelki.in.ua, status-studfarm.com, thespacecakes.com, machocondoms.com.ua, mikadocondoms.com, ozon.com.ua, ozonsafety.com, ukr.ozon.com.ua, shkid.com.ua, promo-sumki.com.ua, tehnadzor.zp.ua, nasutki.zp.ua, midas-bud.com.ua, mariupolonline.com, nasutki.org.ua, sinklit.com.ua, samson-rem.com.ua, mishutkinclub.com.ua, naer.gov.ua, masenko.com.ua, macservice.com.ua, asdekor.org.ua, domashnie-sekrety.ru, domophone.in.ua, dolmetscher.in.ua, dreval.ru, alfaserv.com.ua, bioil.ua, baobablife.net, colorsoflife.com.ua, ladyphone.ru, pontaradi.ru, accdent.com.ua, aastra.com.ua, kvorum.com.ua, smartmobile.com.ua, konspekt.pp.ua, ktrube.com.ua, kursach.in.ua, filemaker.com.ua, hansatoy.com.ua, kharchenko.com.ua, in-ua.com, infoplace.com.ua, apkfoto.com, blog.in-ua.com, www.gans-auto.com, www.mshop.com.ua, www.avtohifi.com, www.webison.org, modesa.com.ua, www.ratushniak.te.ua, modnyshka.org. Серед них український державний сайт naer.gov.ua.

З зазначених 57 сайтів 46 сайтів були взломані хакером FEnR, 4 сайти хакерами з goyhackers, 1 сайт хакерами з RBH-Crew, 1 сайт хакером Trojan511, 2 сайти хакером altbta, 1 сайт хакером federal-atack, 1 сайт хакерами з 1923Turk та 1 сайт хакером Fl0riX.

Якщо невеликі дефейси по одному або декілька сайтів явно були зроблені при взломах окремих сайтів, то стосовно одного великого дефейсу можна сказати, що враховуючи дефейс 46 сайтів за один день, немає сумнівів, що вони були взломані через взлом серверу хостінг провайдера. Коли через взлом одного сайта, був отриманий root доступ до сервера (через уразливості в програмному забезпеченні самого сервера) та атаковані інші сайти на даному сервері. Або через використання уразливостей на сервері для доступу до інших сайтів.

В цьому місяці в журналі “PenTest Extra” була опублікована моя стаття (на англійській мові). В лютневому номері журналу PenTest Extra 02/2012, що вийшов 15.02.2012, опублікована стаття “CSRF атаки на мережеві пристрої” (CSRF Attacks on Network Devices).

В ній розповідається про проведення CSRF атак на різні мережеві пристрої, такі як ADSL модеми, роутери, Wi-Fi точки доступа та інші девайси. Наявність CSRF уразливостей в даних пристроях дозволяє віддаленому нападнику взяти їх під повний контроль. І атакувати користувачів, що використовують дані пристрої (зокрема для доступу в Інтернет).

Такі уразливості в різних мережевий пристроях я неодноразово знаходив та писав про них в новинах. Зокрема про Cross-Site Request Forgery уразливості в Iskra Callisto 821+, D-Link DSL-500T ADSL Router та D-Link DAP 1150. І на прикладі уразливостей в Callisto 821+ та DAP 1150 я показав можливість проведення віддалених атак на мережеві пристрої в своїй статті.

Я розглянув два приклади атак на мережеві пристрої: в першій атаці нападник робить віддалений CSRF запит для відкриття доступу до адмінки і входить до адмінки, щоб змінити конфігурацію пристрою, а в другій атаці нападник робить всі дії віддалено через CSRF запити. Всі приклади CSRF експлоітів для статті були зроблені використовуючи мій Генератор CSRF.

В себе на сайті я виклав тізер журналу, в якому наводиться фрагмент моєї статті.

P.S.

Виклав на сайті повну версію статті CSRF attacks on network devices.

В даній добірці уразливості в веб додатках:

• Cisco Secure Access Control System Unauthorized Password Change Vulnerability (деталі)
• Listendifferent (prodotto.php?IDprodotto) Remote SQL injection Vulnerability (деталі)
• Concrete CMS 5.4.1.1 <= Cross Site Scripting (деталі)
• Jcow CMS 4.2 <= | Cross Site Scripting (деталі)
• Jcow CMS 4.x:4.2 <= , 5.x:5.2 <= | Arbitrary Code Execution (деталі)
• CiscoWorks Common Services Arbitrary Command Execution Vulnerability (деталі)
• Full disclosure for SA45649, SQL Injection in LedgerSMB and SQL-Ledger (деталі)
• Pc Web Agency (prodotto.php?id) Remote SQL injection Vulnerability (деталі)
• Mediagrafic (prodotto.asp?id) (records.asp?id_p) Remote SQL injection Vulnerability (деталі)
• CWM (dettaglio-prodotto.asp?id) Remote SQL injection Vulnerability (деталі)

Після попереднього дослідження інфікованих сайтів, приведу нову інформацію про заражені сайти. З числа українських сайтів.

• http://motormusic.kiev.ua - інфекція була виявлена 26.11.2011. Зараз сайт не входить до переліку підозрілих.
• http://pankurchak.ua - інфекція була виявлена 16.02.2012. Зараз сайт не входить до переліку підозрілих.
• http://majorich.com - інфекція була виявлена 29.01.2012. Зараз сайт входить до переліку підозрілих.
• http://kidstaff.com.ua - інфекція була виявлена 09.02.2012. Зараз сайт не входить до переліку підозрілих.
• http://astermius.io.ua - інфекція була виявлена 24.12.2011. Зараз сайт не входить до переліку підозрілих.

Як і у випадку з іншими веб сайтами, інфікований сайт astermius.io.ua також хостить в себе Укртелеком.

Виявлене переповнення індексу масиву в браузері Opera.

Уразливі версії: Opera 11.60.

Переповнення цілого типу у функціях роботи з масивом.

• opera array integer overflow (деталі)

В даній добірці уразливості в веб додатках:

• lighttpd security update (деталі)
• BUZLAB (prodotti.php?idCategoria) Remote SQL injection Vulnerability (деталі)
• Foresta Creativa (prodotti.php?idCategoria) Remote SQL injection Vulnerability (деталі)
• Web Progetto (prodotti.php?idcategoria) Remote SQL injection Vulnerability (деталі)
• Spherica Remote SQL injection Vulnerability (деталі)
• Lighttpd Proof of Concept code for CVE-2011-4362 vulnerability (деталі)
• Marinet Remote SQL injection Vulnerability (деталі)
• TconZERO (prodotto.php?idprodotto) Remote SQL injection Vulnerability (деталі)
• Web Art Studio (prodotto.php?lang) Remote SQL injection Vulnerability (деталі)
• OMNITEC (prodotto.php?id_prodotto) Remote SQL injection Vulnerability (деталі)

Вчора вийшов мій новий комерційний реліз - мій альбом “It’s My House”. В даному випадку це EP і це третій комерційний реліз після мого сінглу “Sense Of Beat”.

Альбом складається з трьох house, tech-house і techno-house композицій. Він вже розміщений на Juno Download та багатьох інших онлайн магазинах, де його можна прослухати та придбати (в високій якості). Всі композиції можна прослухати в нормальній якості в моєму акаунті на SoundCloud.

До альбому увійшли 3 композиції, що були створені мною в 2010-2011 роках. Це наступні композиції:

1. My House
2. My Tech-house
3. In The House Of Techno

В жовтні відбувся новий масовий взлом сайтів на сервері Besthosting. Він тривав на протязі 15.10.2011-28.10.2011, а потім ще 28.01.2012. Третій масовий взлом сайтів на сервері Besthosting відбувся раніше.

Був взломаний сервер української компанії Besthosting. Взлом, що складався з декількох більших дефейсів та декількох невеликих дефейсів, відбувся під час завершення процесу масового взлому сайтів на сервері Service Online.

Всього було взломано 42 сайти на сервері хостера Besthosting (IP 194.28.172.69). Це наступні сайти: realgentlemenclub.com, lutskmap.com, mobilutsk.com, vyshyvanka.net, євро2012.net, sunduchek.com.ua, fortaleza.org.ua, autozona.te.ua, f5soft.com, bazaleto.com.ua, history.odessa.ua, izmail.net, katranka.com.ua, love-story.com.ua, masterklimat.com.ua, sokolov.odessa.ua, rentbike.odessa.ua, province.com.ua, premierhotel.com.ua, oweamuseum.odessa.ua, mozaika.ua, alyoshyn.com, dolonin.com, izmail.info, autosoundshop.ru, documentaryfilm.ru, gonkionline.ru, immigrationlaw.ru, komp.kharkov.ua, mathgames.ru, risuem.com.ua, slavikgerasimov.ru, sumka.co.ua, televisionline.ru, promix.lviv.ua, serebrova.com, altavent.com.ua, leontal.com.ua, rdc.org.ua, aerotec.com.ua, oblrada.sumy.ua, kalynivka-rda.gov.ua. Серед них українські державні сайти oblrada.sumy.ua і kalynivka-rda.gov.ua.

З зазначених 42 сайтів 40 сайтів були взломані хакерами з Cyber Warrior Invasion та 2 сайти хакером Dr-Angel.

Враховуючи те, що дефейс даних сайтів відбувся за п’ять заходів, в основному взламувалися невеликі групи сайтів (хоча в цілому Cyber Warrior Invasion взломала чимало сайтів), маловірогідно, що вони були взломані через взлом серверу хостінг провайдера (коли через взлом одного сайта, був отриманий root доступ до сервера). Але атаку на інші сайти на даному сервері через взлом одного сайту не можна виключати (бо до деяких з цих сайтів могли дістатися і без root доступа).