Websecurity - Веб безпека

Як я вже писав минулого місяця, через перевірку податкової призупинили свою роботу інтернет-магазини Rozetka.ua і Sokol.ua. Окрім сайтів, також на час перевірки були закриті й офлайнові магазини цих компаній. Закриття сайтів цих інтернет-магазинів було тимчасовим, пов’язане з перевірками податкової адміністрації та обшуком УБОЗом офіса Sokol.ua.

Подібна переспектива може стосуватися будь-яких е-комерс сайтів, в першу чергу онлайн магазинів, аптек та аукціонів. Тобто тих, хто заробляє великі суми коштів при торгівлі в Інтернеті.

З даних інцидентів цілком очевидно, що не тільки СБУ і МВС можуть закривати сайти через порушення законодавства (про такі випадки я писав неодноразово), а також і ДПС. Щоб унеможливити подібні закриття сайтів у майбутньому обидва магазини перевели хостінги своїх сайтів закордон.

Головною особливістю цих інцидентів було те, що самі правоохоронці сайти спеціально не закривали (як вони заявляють), а лише проводили перевірки. Зокрема в тих приміщеннях цих компаній, де знаходилися сервери, на яких розміщувалися сайти. І відповідно під час обшуків всі комп’ютери вимикалися, як це завжди у нас буває, в тому числі й сервери. Але це стосується Sokol.ua, а сайт Rozetka.ua знаходився у хостер провайдера Mirohost і незважаючи на заяви податкової, що вони не закривали даний сайт, але саме вони вилучили сервер з сайтом у хостінг провайдера.

Подібна ситуація була торік з сайтом Фокстрота, про що я писав в статті Закриття сайтів по політичним мотивам. Вони також тримали сервер з сайтом в своєму офісі й під час обшуків МВС він перестав працювати. Але тоді сайт не працював довший час, вірогідно тому, що сервер було вилучено. Тому варто тримати сайти на серверах хостінг провайдерів, щоб уникнути подібних ситуацій. А щоб повністю їх унеможливити - у закордонних хостінг провайдерів.

Стосовно різних причин закриття сайтів правоохоронними органами, то можна сказати, що закриття сайтів через обшук податкової можна зініціювати й через взлом сайта. Наприклад, взломати сайт і вказати дані про доходи в декілька разів вищі, а потім скинути інформацію про це у податкову. Коли вони ознайомляться з “офіційними даними” на сайті, які будуть відрізнятися від задекларованих доходів і сплачених податків, ДПС проведе перевірку в офісі, яка можна призвести до переривання роботи сайта. Або просто можуть дати “наводку” податківцям. Наприклад, на Sokol.ua подав жалобу колишній клієнт магазину.

І навіть якщо буде доведено, що це був лише взлом сайта і вказана інформація не відповідає дійсності, але все рівно будуть знайдені факти ухиляння від сплати податків, то власники такого е-комерс сайта можуть потрапити під кримінальний кодекс. Так що всім адмінам і власникам е-комерс сайтів варто слідкувати за безпекою власних сайтів, щоб не потрапити у таку ситуацію - щоб не було ні закриття сайтів, ні інших проблем (як у цих трьох онлайн магазинів).

В даній добірці уразливості в веб додатках:

• Multiple permanent XSS vulnerabilities in EMC Documentum eRoom (деталі)
• Prado TJavaScript::encode() script injection vulnerability (деталі)
• PHP Grade Book Unauthenticated SQL Database Export (деталі)
• phpMoneyBooks Local File Inclusion (деталі)
• Matthew1471s ASP BlogX - XSS Vulnerabilities (деталі)
• EMC Documentum eRoom Multiple Vulnerabilities (деталі)
• Multiple Vulnerabilities in NextBBS 0.6.0 (деталі)
• Cross-site scripting vulnerability in Invision Power Board version 3.2.3 (деталі)
• tryton-server security update (деталі)
• Multiple Vulnerabilities in Coppermine 1.5.18 (деталі)

Відкрив на сайті новий розділ Безпечні веб додатки, де я буду розміщувати веб додатки в яких я сам виправив усі уразливості. Це можуть бути веб додатки, які я сам використовую, тому виправив в них уразливості, або ті веб додатки, виправлення уразливостей в яких було оплачено моїми клієнтами.

Зараз в даному розділі розміщений один безпечний веб додаток. Це плагін Register Plus Redux для WordPress, в якому я виправив усі уразливості (всього 38 дірок). Як я писав в новинах раніше, наприкінці минулого року один мій клієнт замовив повний аудит безпеки даного плагіну та виправлення уразливостей в ньому. І всі бажаючі можуть замовляти в мене виправлення дірок в будь-яких веб програмах - переробку дірявих додатків на безпечні .

Після створення безпечної версії Register Plus Redux минулого року, я надав її моєму клієнту. А цього року я надав мою версію плагіна розробнику Register Plus Redux, щоб він міг використати мої виправлення в своєму коді.

А з початку травня я розмістив архів з плагіном в себе на сайті для всіх бажаючих його отримати і ось нарешті відкрив розділ, де всі бажаючі зможуть його скачати. Так що користуйтесь безпечними веб додатками.

Виявлена можливість пошкодження пам’яті в Adobe Flash Player.

Уразливі версії: Adobe Flash Player 10.3, Flash Player 11.1, Flash Player 11.2.

Пошкодження пам’яті при роботі з об’єктами. Дана уразливість активно використовувалася в травні для атак в Інтернеті.

• Security update available for Adobe Flash Player (деталі)

В даній добірці уразливості в веб додатках:

• HP Data Protector Express, Remote Denial of Service (DoS), Execution of Arbitrary Code (деталі)
• Minify and related plugins DOM-Based XSS Vulnerability (деталі)
• seditio165_CSRF_and_world_readble_db_dumpissuses (деталі)
• Multiple vulnerabilities in Open Journal Systems (OJS) (деталі)
• struts2 xsltResult Local code execution vulnerability (деталі)
• Apache Wicket XSS vulnerability via pageMapName request parameter (деталі)
• Apache Wicket serving of hidden files vulnerability (деталі)
• XSS in Tiki Wiki CMS Groupware (деталі)
• Vbulletin 4.0.x => 4.1.3 (messagegroupid) SQL injection Vulnerability (деталі)
• CobraScripts (search_result.php?cid) Remote SQL injection Vulnerability (деталі)

В квітні, 20.04.2012, вийшла нова версія WordPress 3.3.2.

WordPress 3.3.2 це секюріті та багфікс випуск нової 3.3 серії. В якому розробники виправили 5 уразливостей і 5 багів та зробили 3 секюріті покращення.

Серед покращень були оновлені бібліотеки Plupload, SWFUpload та SWFObject, в яких покращена безпека. Відповідно в WordPress включені нові та безпечніші версії даних бібліотек.

Серед уразливостей були виправлені обмежена Privilege Escalation та три Cross-Site Scripting уразливостей. А також Redirector уразливість, про яку вони традиційно не згадали в офіційній публікації. Про дві з цих уразливостей, Redirector і Cross-Site Scripting, я писав раніше.

В даній добірці уразливості в веб додатках:

• Yealink VOIP Phone Persistent Cross Site Scripting Vulnerability (деталі)
• Multiple XSS in Fork CMS (деталі)
• Multiple SQL injections in rivettracker <=1.03 (деталі)
• OSClass directory traversal (leads to arbitrary file upload) (деталі)
• Ilient SysAid v8.5.05 - Multiple Web Vulnerabilities (деталі)
• SAP Business Objects XI R2 Infoview Multiple XSS (деталі)
• Iciniti Store SQL Injection (деталі)
• Synology Photo Station 5 - Reflected Cross-Site Scripting (деталі)
• Wikidforum 2.10 Multiple security vulnerabilities (деталі)
• WikyBlog 1.7.3RC2 XSS vulnerability (деталі)

Після попереднього дослідження інфікованих сайтів, приведу нову інформацію про заражені сайти. З числа українських сайтів.

• http://ratadmin.gov.ua - інфікований державний сайт, інфекція була виявлена 23.04.2012. Зараз сайт входить до переліку підозрілих.
• http://ivaadm.gov.ua - інфікований державний сайт, інфекція була виявлена 13.03.2012. Зараз сайт не входить до переліку підозрілих.
• http://stroydetal.crimea.ua - інфекція була виявлена 25.02.2012. Зараз сайт входить до переліку підозрілих.
• http://etna-school.com.ua - інфекція була виявлена 23.02.2012. Зараз сайт не входить до переліку підозрілих.
• http://igsu.org.ua - інфекція була виявлена 15.04.2012. Зараз сайт не входить до переліку підозрілих.

Торік на цьому сервері вже були взломані 12 державних сайтів, включаючи два вищезгадані gov.ua сайти. А цього року ці два сайти інфікували - тобто їх взлом відбувся вже не для дефейсу, а для інфікування шкідливим кодом.

Виявлений витік інформації в Microsoft Forefront Unified Access Gateway.

Уразливі версії: Microsoft Forefront Unified Access Gateway 2010.

Перенаправлення запиту, обхід контролю доступу (що призводить до витоку важливої інформації).

• Microsoft Security Bulletin MS12-026 - Important Vulnerabilities in Forefront Unified Access Gateway (UAG) Could Allow Information Disclosure (2663860) (деталі)

У квітні, 26.04.2012, вийшли PHP 5.3.11 та PHP 5.4.1. В яких виправлено більше 60 помилок, в тому числі й чимало уразливостей. Дані релізи направлені на покращення стабільності та безпеки гілок 5.3.x і 5.4.x.

Cеред секюріті покращень та виправлень в PHP 5.3.11 та PHP 5.4.1:

• Виправлений баг #54374 (Недостатня перевірка імені завантаженого файла призводить до пошкодження індекса $_FILES). (CVE-2012-1172).
• Додані open_basedir перевірки в readline_write_history і readline_read_history.

Cеред секюріті покращень та виправлень лише в PHP 5.3.11:

• Виправлений баг #61043 (регресія в magic_quotes_gpc виправленні до CVE-2012-0831).

По матеріалам http://www.php.net.