Архів за Квітень, 2012

IAA, Redirector та XSS уразливості в WordPress

23:56 26.04.2012

Окрім згаданих мною в 2007 році двох редиректорів (які окрім Redirector, також уразливі до XSS), є багато інших редиректорів. І один зі знайдених мною 13.02.2012 редиректорів (хоча захистився від нього я ще на початку 2007 року) я оприлюдню зараз, а з часом й інші редиректори.

Ще з WP 2.0 є Insufficient Anti-automation, Redirector і Cross-Site Scripting уразливості в wp-comments-post.php. З IAA я стикнувся одразу, як почав використовувати WP в 2006 році. Якщо розробники виправили попередні два редиректори (і уразливості в них) в WP 2.3, то ці уразливості не виправлені навіть в WP 3.3.1.

Раніше я вже писав про DoS та SQL Injection уразливості в WordPress.

Insufficient Anti-automation:

Відсутність капчі в формі коментарів дозволяє проводити автоматизовані атаки. Розробники досі не встановили капчу в форму коментарів WP (з першої версії движка), що окрім IAA атак, також дозволяє проводити Redirector і XSS атаки.

По замовчуванню в WordPress включена премодерація, а також існує вбудований анти-спам фільтр. Якщо 10 років тому премодерації вистачило б, то вже давно цей механізм не може вважатися достатнім захистом від спаму, а анти-спам фільтр має ефективність менше 1% - лише деякі зі спам повідомлень він помічає як спам. А також ці механізми не захищають від нижченаведених атак. Також з WP постачається плагін Akismet, що захищає від спаму “без капчі”. Але по замовчуванню він відключений та порівняно з капчею вважається менш надійним і також не захищає від нижченаведених атак.

Redirector (URL Redirector Abuse):

WordPress Redirector.html

XSS:

WordPress XSS.html

XSS атака можлива на різні браузери, але її провести важче ніж у випадку попередніх двох редиректорів (через data URI). На веб серверах IIS редирект відбувається через заголовок Refresh, а на інших веб серверах - через заголовок Location.

В зв’язку з особливостями роботи даного скрипта (фільтрація важливих символів та додавання якорю), для виконання JS коду потрібно використовувати хитрі обхідні методи. При цьому, якщо редирект відбувається через заголовок Location, код спрацьовує в Opera 10.62 і він повинен працювати в Firefox, IE6 і Chrome, але різні версії Firefox (та IE6 і Chrome) упорно ігнорують даний заголовок (виводячи лише пусту сторінку) - при тому, що окремо заголовок Location з даним кодом спрацьовує в Firefox і в інших браузерах, але не в рамках WordPress. З комбінованим варіантом javascript URI + data URI та сама ситуація.

Для цих атак непотрібно мати акаунт на сайті й немає значення чи увімкнена премодерація або плагін Akismet. Єдине що може захистити від цих атак - це капча в формі коментарів, причому надійна (або повне виключення коментарів, але з капчею можна продовжити використовувати цей функціонал). Таким чином капча захищає як від IAA, так і від Redirector та XSS уразливостей.

Уразливі WordPress 2.0 - 3.3.1.

Квітневий вівторок патчів від Microsoft

22:48 26.04.2012

У квітні місяці Microsoft випустила 17 патчів. Що значно більше ніж у березні.

У квітневому “вівторку патчів” Microsoft випустила черговий пакет оновлень, до якого увійшло 17 бюлетенів по безпеці. Що закривають 63 уразливості в програмних продуктах компанії, що є рекордом в цьому році. З них 12 патчів закривають критичні уразливості, а 51 патч закриває важливі уразливості.

Біля половини з цих уразливостей - це уразливості виду Elevation of Privilege в ядрі Windows.

Дані патчі стосуються всіх поточних операційних систем компанії Microsoft - Windows XP, 2003, Vista, 2008, 7 та 2008 R2. А також Microsoft Office, Internet Explorer та Forefront Unified Access Gateway.

Похакані сайти №187

19:32 26.04.2012

Після попереднього дослідження похаканих сайтів, приведу нову інформацію про взломані сайти. З числа українських сайтів.

  • http://berdichev-rda.gov.ua (хакерами з TeaM MosTa) - 11.02.2012 - похаканий державний сайт, зараз сайт вже виправлений адмінами
  • http://www.ztrada.gov.ua (хакерами з TeaM MosTa) - 11.02.2012 - похаканий державний сайт, зараз сайт вже виправлений адмінами
  • http://www.roscha.com.ua (хакерами з QHR) - 04.2012, зараз сайт вже виправлений адмінами
  • http://vse-v.bomond-club.com.ua (хакером s4udi-h4ck) - 04.06.2011, зараз сайт вже виправлений адмінами
  • http://dostavkapizza.kiev.ua (хакером s4udi-h4ck) - 04.06.2011, зараз сайт вже виправлений адмінами

Добірка експлоітів

16:02 26.04.2012

В даній добірці експлоіти в веб додатках:

  • IGSS 8 ODBC Server Multiple Remote Uninitialized Pointer Free DoS (деталі)
  • XOOPS Module Tutoriais (viewcat.php) Remote BLIND SQL Injection Exploit (деталі)
  • Xoops Module MyAds Bug Fix <= v2.04jp (index.php cid) BLIND SQL Injection Exploit (деталі)
  • SphereCMS Blind SQL Injection Vulnerability (деталі)
  • Tinypug Multiple Vulnerabilities (CSRF, Stored XSS) (деталі)

Безпека Web Service для SOA веб додатків

23:59 25.04.2012

В презентації Web Service Security Method To SOA Development, Nafise Fareghzadeh розповідає про безпеку веб сервісів (Web Service). Для усунення ризиків безпеки при розробці веб додатків, що відносяться до категорії Service-Oriented Architecture (SOA).

Масовий взлом сайтів на сервері CityNet

20:17 25.04.2012

В цьому році, 14.02.2012, відбувся масовий взлом сайтів на сервері CityNet. Нещодавно я вже розповідав про інші масові взломи.

Був взломаний сервер української компанії CityNet. Взлом, що складався з серії взломів, відбувся після згаданого масового взлому сайтів на сервері Besthosting.

Всього було взломано 16 сайтів на сервері української компанії CityNet (IP 109.237.81.60). Це наступні сайти: www.yuruslugi.com.ua, www.adu.org.ua, www.cis.in.ua, fpo.detut.edu.ua, www.dkl1.kiev.ua, www.golfstream.kiev.ua, www.dkl2.kiev.ua, ekuzt.detut.edu.ua, fem.detut.edu.ua, ekuzt2009.detut.edu.ua, konferencia.detut.edu.ua, library.detut.edu.ua, 2011.ekuzt.gov.ua, ekuzt.gov.ua, www.kortny.com.ua, hp-canon.com.ua. Серед них українські державні сайти 2011.ekuzt.gov.ua та ekuzt.gov.ua.

З зазначених 16 сайтів 3 сайти були взломані хакером 4cHrf, 11 сайтів хакером 3viL666, 1 сайт хакером DR-MTMRD та 1 сайт хакером Hmei7.

Враховуючи велику кількість сайтів на одному сервері та короткий проміжок часу для дефейсу всіх цих сайтів, немає сумнівів, що вони були взломані через взлом серверу хостінг провайдера (це стосується лише дефейсів 3viL666, інші дефейси проводилися під час взломів окремих сайтів). Коли через взлом одного сайта, був отриманий root доступ до сервера (через уразливості в програмному забезпеченні самого сервера) та атаковані інші сайти на даному сервері.

Добірка уразливостей

17:25 25.04.2012

В даній добірці уразливості в веб додатках:

XSS, CSRF та AFU уразливості в Organizer для WordPress

23:51 24.04.2012

16.04.2012

Ще 18.04.2008 я знайшов Cross-Site Scripting, Cross-Site Request Forgery та Arbitrary File Upload (Code Execution) уразливості в плагіні Organizer для WordPress. Але довго відкладав публікацію інформації про дані уразливості. Це друга порція уразливостей в плагіні Organizer. Про що найближчим часом повідомлю розробникам плагіна.

Раніше я писав про уразливості в Organizer для WordPress.

Детальна інформація про уразливості з’явиться пізніше. Спочатку повідомлю розробникам.

24.04.2012

XSS:

http://site/wp-admin/admin.php?page=organizer/page/users.php&edit_id=%3Cscript%3Ealert(document.cookie)%3C/script%3E

XSS (Persistent):

Organizer XSS-2.html

Код виконається на сторінці users.php плагіна.

CSRF:

Через атаку на функцію Add/Edit User Setting можна додавати і редагувати налаштування. Додавання і редагування поєднані в один і той же POST запит.

POST запит на сторінці http://site/wp-admin/admin.php ?page=organizer/page/users.php (аналогічно експлоіту для XSS).

Через атаку на функцію Delete User Setting можна вадалити налаштування.

http://site/wp-admin/admin.php?page=organizer/page/users.php&delete_id=admin

Arbitrary File Upload (Code Execution):

Можливе необмежене завантаження файлів з виконанням коду (php файлів). Тому що в полі File extensions allowed можна вказати розширення скриптів, такі як “php”.

Так що окрім використання обхідних методів, таких як подвійні розширення (при нашаштуваннях плагіна по замовчуванню), можна змінити налаштування і задати “php” в дозволені розширення. Що дозволить завантажувати на сервер та виконувати довільні скрипти. Окрім проведення атаки на адміна через вищезгадану CSRF уразливість для зміни налаштувань (або отримання доступу до адмінського акаунту для цього), також для цього можна використати Insufficient Authorization уразливість (при наявності акаунта навіть з найменшими правами Subscriber).

Уразливі Organizer 1.2.1 та попередні версії.

Top 50 шкідливих хостів та мереж в Q4 2011

22:45 24.04.2012

В своєму звіти Top 50 Bad Hosts & Networks 2011 Q4, організація HostExploit в співпраці з Group-IB розповідають про ситуацію з шкідливим програмним забезпеченням в четвертому кварталі 2011 року. І наводять перелік 50 найбільших шкідливих хостів та мереж в Інтернеті.

Аналогічно StopBadware, організація HostExploit випускає власний звіт про інфікованість сайтів. Але окрім загальної статистики та опису поточного стану речей, вони також проводять дослідження найбільших поширювачів шкідливого ПЗ серед хостів та мереж.

Даний звіт складається за наступних розділів:

  • Introduction
  • News Roundup
  • Frequently Asked Questions
  • The Top 50 - Q4 2011
  • Q4 2011 to Q3 2011 Comparision
  • Top 10 Visual Breakdown
  • What’s New
  • Country Analysis
  • The Good Hosts
  • Bad Hosts by Topic
  • Conclusions

Численні уразливості в Microsoft Internet Explorer

20:12 24.04.2012

12.04.2012

Виявлені численні уразливості безпеки в Microsoft Internet Explorer.

Уразливі продукти: Microsoft Internet Explorer 6, 7, 8 та 9 під Windows XP, Windows 2003 Server, Windows Vista, Windows 2008 Server, Windows 7.

Численні уразливості дають можливість виконання коду.

  • Microsoft Security Bulletin MS12-023 - Critical Cumulative Security Update for Internet Explorer (2675157) (деталі)

24.04.2012

Додактова інформація.

  • Microsoft Internet Explorer VML Remote Code Execution (MS12-023 / CVE-2012-0172) (деталі)