Websecurity - Веб безпека

У грудні, 10.12.2011, я знайшов Cross-Site Scripting та Brute Force уразливості на http://iss.incom.ua - сайті секюріті компанії Інком. Я вже писав про аналогічні уразливості на incom.ua та it-consulting.incom.ua, і такі ж уразливості є на iss.incom.ua та на інших доменах (на різних версіях Джумли). Тому виправляти дані уразливості їм потрібно на всіх своїх сайтах.

Після мого повідомлення адміністраціі сайта стосовно дірок на основному сайті, вони також повинні були зрозуміти, що вони відносяться до всіх їхніх сайтів на Joomla (XSS до версій 1.0.х, а BF до всіх версій).

XSS (для Mozilla та Firefox):

• alert(document.cookie)
• цікавий

Brute Force:

http://iss.incom.ua/administrator/

Дані уразливості досі не виправлені.

Після попереднього дослідження похаканих сайтів, приведу нову інформацію про взломані сайти. З числа українських сайтів.

• http://ndei.me.gov.ua (хакером Ma3sTr0-Dz) - 21.12.2011 - взломаний державний сайт, зараз сайт вже виправлений адмінами
• http://www.police.gov.ua (хакерами з KHS) - 24.12.2011 - взломаний державний сайт, зараз сайт вже виправлений адмінами
• http://nucleardroid.com (хакерами з 1923Turk) - 20.01.2012, зараз сайт вже виправлений адмінами
• http://zas.org.ua (хакером Crazy_r00t) - 07.01.2011, зараз сайт вже виправлений адмінами
• http://woodendoor.com.ua (хакером KaoS) - 17.03.2012, зараз сайт вже виправлений адмінами

Нещодавно, 14.03.2012, вийшов Mozilla Firefox 11. Нова версія браузера вийшла через півтора місяця після виходу Firefox 10.

Mozilla офіційно представила реліз веб-браузера Firefox 11. Реліз Firefox 12 очікується через 6 тижнів, на початку травня, а Firefox 13 вийде в середині червня. Крім того, також були випущені Firefox 10.0.3 і Firefox 3.6.28, а згодом і Thunderbird 11.0 та Seamonkey 2.8. А також мав вийти Firefox 11 for Android, але ця версія була пропущена через неготовність реліза.

Окремо варто відзначити, що крім нововведень і виправлення помилок у Firefox 11.0 усунуто 11 уразливостей три з яких мають високий ступінь небезпеки, а вісім позначені як критичні, тобто можуть привести до виконання коду зловмисника при відкритті спеціально оформлених сторінок.

• Релиз web-браузера Firefox 11 (деталі)

14.12.2011

У жовтні, 26.10.2011, я знайшов Cross-Site Scripting та Redirector уразливості на проекті http://prom.ua. Про що найближчим часом сповіщу адміністрацію проекту. Prom.ua - це бізнес-каталог компаній України, але врахуючи те, що товари та послуги компаній з каталогу можна замовити на сайті, то цей сайт в тому числі представляє собою онлайн магазин.

Раніше я вже писав про уразливості на платформі prom.ua, знайдених Dementor-ом.

Детальна інформація про уразливості з’явиться пізніше. Треба дати час адмінам на реакцію з цього приводу.

21.03.2012

XSS:

• alert(document.cookie)

Redirector (URL Redirector Abuse):

http://prom.ua/redirect?url=websecurity.com.ua

Дані уразливості досі не виправлені.

21.03.2012

Торік відбувся масовий взлом сайтів на сервері Besthosting (це був другий масовий взлом сайтів на сервері Besthosting). І в цьому році, в період 10.02.2012-06.03.2012, відбувся повторний масовий взлом цього ж сервера. Я періодично виявляю повторні взломи серверів, але за звичай це дефейси невеликої кількості сайтів, а в даному випадку було дефейснуто майже в два рази більше сайтів ніж під час першого взлому.

Був взломаний сервер української компанії Besthosting. Взлом, що складався з декількох взломів, відбувся після згаданого масового взлому сайтів на сервері Pavlabor.

Якщо першого разу було взломано 38 сайтів, то цього разу було взломано 68 сайтів на сервері української компанії Besthosting (IP 195.248.234.34). Це наступні сайти: apartments4you.com.ua, www.sbta.com.ua, pronina.com, www.artliskin.com, podervyanska.com, www.abc-safe.com.ua, www.medregi.com, adspravka.vn.ua, gelaskins.org.ua, iphone-community.org.ua, iphoner.org.ua, css.artskins.com.ua, css.artskins.org.ua, images.artskins.com.ua, images.artskins.org.ua, js.artskins.com.ua, js.artskins.org.ua, skins.artskins.com.ua, skins.artskins.org.ua, carbidus.com, hosting.vn.ua, jboxsoftware.com, track.jboxsoftware.com, kovka.vn.ua, pizzaoftheworld.com, power-styling.com, drift.vn.ua, drifting.vn.ua, racing.vn.ua, autokeys.vn.ua, hummerclub.org.ua, powercover.vn.ua, taxi.vn.ua, www.tehnomriya.com, tehnomriya.com.ua, tehnomriya.cv.ua, tehnomriya.vn.ua, uamakler.com, forum.uamakler.com, mitsubishi-altraauto.com.ua, vpuzike.com, se-catalogue.info, byfama.com.ua, samir.com.ua, thalgo.net.ua, www.populyarnost.com.ua, 100km.org.ua, wayhome.org.ua, kovcheg.org.ua, vasilkovenergo.com, wdsdesigngroup.com, adat-group.com, artskins.org.ua, clubz.vn.ua, cragster.com, city.vn.ua, baby.vn.ua, digrido.com, wedding.vn.ua, yurist.vn.ua, remont.vn.ua, nazapchasti.com, medintegr.vn.ua, links.org.ua, landpages.vn.ua, kindle.vn.ua, kindle.org.ua, heatmap.vn.ua.

Всі 68 сайтів були взломані хакером antuwebhunt3r.

Враховуючи велику кількість сайтів на одному сервері та короткий проміжок часу для дефейсу всіх цих сайтів, немає сумнівів, що вони були взломані через взлом серверу хостінг провайдера. Коли через взлом одного сайта, був отриманий root доступ до сервера (через уразливості в програмному забезпеченні самого сервера) та атаковані інші сайти на даному сервері.

30.08.2013

Пізніше було взломано ще 20 сайтів на цьому сервері (1 у 2012 та 19 у 2013 році). Це наступні сайти: ukrcopter.com, www.villagavan.com, kruem.com, sim-arenda.com, glavuks.gov.ua, komok.org.ua, options-trader.ru, pettyclub.com, svadbacar.com, liveinvest.ru, annluc.com, ihorus.com, pomogi.biz, karta-krima.com, www.kiev-orthodox.org, ukrdance.com.ua, mlove.com.ua, fermer.net.ua, www.uacopter.com, ocium.net.ua. Серед них український державний сайт glavuks.gov.ua.

17 зазначених сайтів були взломані хакером BADI, 1 сайт хакером Sejeal, 1 сайт хакером Hmei7 і 1 сайт хакером Rejected.

Виявлена можливість обходу обмежень через модуль Perl XML::Atom.

Уразливі продукти: XML::Atom.

Можна одержати доступ на читання до обмежених ресурсів.

• libxml-atom-perl security update (деталі)

В даній добірці уразливості в веб додатках:

• IBM WebSphere Application Server ‘help’ Servlet Plug-in Bundle Directory Traversal (деталі)
• CmyDocument Content Management Application - XSS Vulnerabilities (деталі)
• Serendipity Plugin ‘Karma Ranking’ Multiple Cross-Site Scripting (деталі)
• Serendipity ’serendipity[filter][bp.ALT]’ Cross-Site Scripting vulnerability (деталі)
• XSS and SQL Injection Vulnerabilities on Symphony CMS 2.2.3 (деталі)
• Cisco Digital Media Manager Privilege Escalation Vulnerability (деталі)
• XSS Vulnerabilities in eFront (деталі)
• IBSng all version Cross-Site Scripting Vulnerability (деталі)
• eFront <= 3.6.10 (build 11944) Multiple Security Vulnerabilities (деталі)
• SQL injection vulnerability in OneOrZero AIMS (деталі)

В WordPress є чимало уразливостей, які існують з версії 2.0, а то і з 1.х версій, і які не виправлені до сих пір. Ще одна уразливість, про яку мені відомо вже давно (і багато років я планував про неї написати) - це Brute Force через XML-RPC функціонал в WP.

Раніше я вже писав про уразливості в WordPress - це Full path disclosure, Content Spoofing та Cross-Site Scripting уразливості через TinyMCE та flvPlayer.

Brute Force:

http://site/xmlrpc.php

В даному функціоналі немає захисту від Brute Force атак. При відправці відповідних POST-запитів можна виявити пароль.

Уразливі WordPress 3.3.1 і попередні версії.

Зазначу, что починаючи з WordPress 2.6 XML-RPC функціонал відключений за замовчуванням. Розробники WP зробили це в зв’язку з уразливостями (такими як SQL Injection та іншими), що були виявлені в цьому функціоналі, тобто не мотивуючи це як протидію Brute Force, але це в тому числі спрацювало як захист від Brute Force атак.

І відповідно ця проблема не стосується тих, хто використовує WordPress починаючи з версії 2.6 з налаштуванням за замовчуванням. А ось для тих, кому потрібно використовувати XML-RPC, ті будуть мати Brute Force уразливість, тому що розробники не зробили дієвого захисту від неї.

Раніше в 2008 та 2010 роках я вже писав про Brute Force уразливості в WordPress і це ще одна подібна уразливість. Окрім них також відомою є BF атака не через форму логіна, а з використанням авторизаційного кукіса (коли підсовуючи різні кукіси можна підібрати пароль).

Існують плагіни для WordPress, що захищають від BF атак через форму логіна (а деякі також і від BF атак через кукіси). Але жоден плагін не захистить від даної атаки через XML-RPC та від раніше згаданої атаки на запаролені записи і сторінки.

На початку місяця, 01.03.2012, вийшов PHP 5.4.0. Вихід нової гілки PHP є значним покращенням 5.x серії, який включає багато нових функцій та виправлень багів.

Серед головних нововведень наступні: риси (traits), скорочений синтаксис масивів, вбудований веб сервер для тестування та інші. PHP 5.4.0 значно покращує швидкодію, споживання пам’яті та виправляє більше 100 багів.

По матеріалам http://www.php.net.

Після попереднього дослідження інфікованих сайтів, приведу нову інформацію про заражені сайти. З числа українських сайтів.

• http://aromantica.com.ua - інфекція була виявлена 15.01.2012. Зараз сайт не входить до переліку підозрілих.
• http://6222.com.ua - інфекція була виявлена 23.01.2012. Зараз сайт не входить до переліку підозрілих.
• http://mednesko.com - інфекція була виявлена 20.03.2012. Зараз сайт входить до переліку підозрілих.
• http://buynaksk.com - інфекція була виявлена 15.03.2012. Зараз сайт не входить до переліку підозрілих.
• http://lds-led.com.ua - інфекція була виявлена 26.01.2012. Зараз сайт не входить до переліку підозрілих.

Як і у випадку з іншими веб сайтами, інфікований сайт 6222.com.ua також хостить в себе Укртелеком.