Архів за Червень, 2012

Новини: взлом МВБ, ВМФ США і НАСА, витік даних клієнтів банків та хакери

22:41 30.06.2012

За повідомленням www.xakep.ru, взлом Міністерства внутрішньої безпеки, ВМФ США і НАСА.

Хакерске угруповання Digital-Corruption нещодавно оголосили про взлом корпоративних мереж DHS.gov (Міністерство внутрішньої безпеки США), Navy.mil (Військово-морський флот США) і НАСА. Результати взлому опубліковані на Pastebin.

Мережа Navy.mil була взломана через піддомен www.smartwebmove.navsup.navy.mil, а Міністерство внутрішньої безпеки - через піддомен twicinformation.tsa.dhs.gov, за допомогою SQL ін’єкцій. В обох мережах встановлена СУБД Oracle.

За повідомленням www.hackzone.ru, хакер викрав дані клієнтів 79 банків по усьому світі.

Reckz0r опублікував у відкритому доступі особисту інформацію 1700 клієнтів банків різних країн. Хакер заявив, що йому вдалося проникнути в комп’ютерні системи 79 банків і викрасти особисту інформацію клієнтів. Частину викраденої інформації він опублікував у відкритому доступі. Зокрема хакер виклав в Інтернет імена, адреси, адреси електронної пошти, а також номера телефонів.

Витоки баз даних з державних сайтів трапляються регулярно - як з американських сайтів (описаних вище), так і українських. А ось і приклад витоку даних з БД банківських сайтів.

За повідомленням www.xakep.ru, хакерів на роботу слід наймати з обережністю.

Авторитетне видання Bloomberg Businessweek розповідає про справжній бум серед європейських і американських компаній, що прагнуть найняти на роботу хакерів. У той час як в усьому світі економічна рецесія і росте рівень безробіття, рекрутери полюють на кращих хакерів, пропонуючи їм фантастичні зарплати. Компанії навперебій влаштовують хакатони. Аналітики говорять про недостачу професіоналів у сфері інформаційної безпеки.

Цікаві записи на тему веб безпеки

20:12 30.06.2012

Продовжуючи традицію, пропоную вашій увазі добірку цікавих записів на тему веб безпеки.

В своєму записі Variable Width Encoding, RSnake розповідає про використання Variable Width Encoding для XSS атак через різні кодування. Він згадав про статтю Cheng Peng Su “Bypassing script filters with variable-width encodings” та продемонстрував власний інструмент для тестування різних кодувань в браузерах на предмет вразливості до XSS.

Інформацію зі статті Ченга я активно використовую з 2006 року в своїх дослідженнях уразливостей на сайтах і в браузерах. Зокрема я писав про Charset Remembering в Firefox та XSS і Charset Remembering через кодування в різних браузерах.

В своєму записі Semi Reflective XSS Worm hits Gaiaonline.com, RSnake розповідає про XSS хробака, що розповсюджувався на сайті gaiaonline.com.

В своєму записі CSS History Hack In Firefox Without JavaScript for Intranet Portscanning, RSnake розповідає про проведення сканування інтранет портів без JavaScript. Зокрема з використанням такої уразливості в браузерах, як History Hack. І він продемонстрував власний інструмент для проведення такого сканування в Firefox.

Добірка експлоітів

17:28 30.06.2012

В даній добірці експлоіти в веб додатках:

XSS, Redirector та FPD уразливості в WordPress

23:51 29.06.2012

У лютому, 23.02.2012, я знайшов Cross-Site Scripting, Redirector та Full path disclosure уразливості в плагіні Akismet для WordPress. Він є core-плагіном (починаючи з версії WP 2.0), тому ці уразливості також стосуються самого WordPress. Це перша порція уразливостей в плагіні Akismet.

Раніше я вже писав про IAA, Redirector та XSS уразливості в WordPress.

XSS:

При GET запиті до скрипта http://site/wp-admin/edit.php ?page=akismet-admin&recheckqueue=1, або http://site/wp-admin/ edit-comments.php?page=akismet-admin&recheckqueue=1 або http://site/wp-admin/admin.php?action=akismet_recheck_queue (в залежності від версії, в WP 3.x використовується остання адреса).

З вказанням заголовка Referer. Це можна зробити через Flash або інші методи.

Referer: data:text/html;base64,PHNjcmlwdD5hbGVydChkb2N1bWVudC5jb29raWUpPC9zY3JpcHQ+

На веб серверах IIS редирект відбувається через заголовок Refresh, а на інших веб серверах - через заголовок Location.

Redirector (URL Redirector Abuse):

При GET запиті до скрипта http://site/wp-admin/edit.php ?page=akismet-admin&recheckqueue=1, або http://site/wp-admin/ edit-comments.php?page=akismet-admin&recheckqueue=1 або http://site/wp-admin/admin.php?action=akismet_recheck_queue (в залежності від версії, в WP 3.x використовується остання адреса).

З вказанням заголовка Referer. Це можна зробити через Flash або інші методи.

Referer: http://attackers_site

В WP <= 2.0.11 (Akismet <= 2.0.2) через помилку в плагіні не працюють XSS і Redirector атаки, але вони працють з більш новими версіями плагіна в різних версіях WordPress (до 3.4).

При цьому в останній версії Akismet 2.5.6 (що постачається з WP 3.4 та 3.4.1) ці дві уразливості вже виправлені (причому приховано, без жодного згадування в readme.txt плагіна чи в анонсах WP). Схоже, що це трапилося після моєї березневої чи квітневої публікації про XSS і Redirector уразливості через редиректори в WP.

Full path disclosure:

Через вищезгадану помилку в плагіні не працюють XSS і Redirector атаки, зате має місце FPD при запиті до скрипта (в старих версіях Akismet, таких як 2.0.2).

http://site/wp-admin/edit.php?page=akismet-admin&recheckqueue=1 або http://site/wp-admin/edit-comments.php?page=akismet-admin &recheckqueue=1 (в залежності від версії WP).

Full path disclosure:

Якщо попередня FPD має місце в акаунті, то дані FPD доступні без авторизації.

http://site/wp-content/plugins/akismet/admin.php

http://site/wp-content/plugins/akismet/akismet.php

http://site/wp-content/plugins/akismet/legacy.php

http://site/wp-content/plugins/akismet/widget.php

Це одні з багатьох FPD, що існують в останніх версіях WordPress. З часом я напишу про інші FPD в WP (що я знайшов у березні, коли дослідив усі FPD в зовнішньому функціоналі движка).

Уразливі Akismet 2.5.6 та попередні версії та WordPress 2.0 - 3.4.1.

Похакані сайти №194

22:46 29.06.2012

Після попереднього дослідження похаканих сайтів, приведу нову інформацію про взломані сайти. З числа українських сайтів.

  • http://programinform.nas.gov.ua (хакерами з Ashiyane Digital Security Team) - 09.05.2012 - похаканий державний сайт, зараз сайт вже виправлений адмінами
  • http://zmiivmisto.gov.ua (хакерами з BROTHERS TEAM) - 22.05.2012 - похаканий державний сайт, зараз сайт вже виправлений адмінами
  • http://ddq.com.ua (хакером RcP) - 08.06.2012, зараз сайт вже виправлений адмінами
  • http://amorphia.com.ua (хакером RcP) - 08.06.2012, зараз сайт вже виправлений адмінами
  • http://fgs.kiev.ua (українським хакером Dementor)

Хакінг баз даних і тонких клієнтів

20:05 29.06.2012

Продовжуючи розпочату традицію, після попереднього відео про Топ 10 хакерів, пропоную нове відео на веб секюріті тематику. Цього разу відео про хакінг баз даних і тонких клієнтів. Рекомендую подивитися всім хто цікавиться цією темою.

Database Hacking: Insider Database Privilege Abuse

В даному відео ролику демонструється приклад хакінга баз даних - через атаку на тонкого клієнта (на Java). Коли декомпілюється Java аплет і обходяться обмеження, що були зроблені в додатку, і таким чином отримується доступ до більших даних.

Аналогічні підходи можуть бути використанні й для додатків на інших клієнтських технологіях, на яких можуть бути зроблені тонкі клієнти. Окрім Java, це можуть бути Flash, Silverlight, тощо. Рекомендую подивитися дане відео для розуміння векторів атак на бази даних і тонких клієнтів.

Добірка уразливостей

16:12 29.06.2012

В даній добірці уразливості в веб додатках:

  • McAfee Email and Web Security Appliance v5.6 - Password hashes can be recovered from a system backup and easily cracked (деталі)
  • sympa security update (деталі)
  • SCLIntra Enterprise SQL Injection and Authentication Bypass (деталі)
  • Multiple vulnerabilities in LogAnalyzer (деталі)
  • request-tracker3.8 security update (деталі)
  • McAfee Email and Web Security Appliance v5.6 - Active sesssion tokens of other users are disclosed within the UI (деталі)
  • request-tracker3.8 regression update (деталі)
  • Mapserver for Windows (MS4W) Remote Code Execution (деталі)
  • Acuity CMS 2.6.x <= Arbitrary File Upload (деталі)
  • Acuity CMS 2.6.x <= Path Traversal Arbitrary File Access (деталі)

Витік бази даних сайта solor.da-kyiv.gov.ua

22:49 28.06.2012

Не тільки в інших країнах трапляються витоки даних, але й в Україні. Як раз стався витік БД користувачів українського сайта, причому державного сайта.

Сьогодні на популярному російському хакерському проекті hackzone.ru була розміщена база даних сайта solor.da-kyiv.gov.ua - сайта Солом’янської районної в місті Києві державної адміністрації. На форумі був анонсований витік бази, що стався внаслідок взлому цього державного сайту, а сама БД розміщена на ресурсі http://anonfiles.com.

В базі даних користувачів розміщена персональна інформація користувачів сайта solor.da-kyiv.gov.ua. Всього 56 записів в БД, але враховуючи 5 дублікатів (деякі користувачі по два рази зареєструвалися), то всього 51 різний користувач, включаючи тестові акаунти.

І через уразливості на сайті, адміністрація якого не слідкувала за безпекою, персональна інформація цих користувачів витекла в публічний доступ. І подібні витоки з цього сайта можуть трапитися в майбутньому, тому всі хто зареєструється на цьому сайті (доки всі уразливості на ньому не будуть виправлені) наражаються на витік власних персональних даних.

При такому несерйозному відношенні до персональних даних власних користувачів, наша влада активно збирає інформацію про людей на різних gov.ua-сайтах та пропонує ідеї (як на рівні Києва, так і всієї України) різних електронних баз даних користувачів з доступом через Інтернет. Як то БД платників податків, медичні карти та інші бази даних українців. Кожна з яких може бути скомпрометована і навіть може витекти в публічний доступ при поточній дірявості українських державних сайтів. При таких умовах я раджу, доки не будуть вкладені достатні кошти (мільйони і мільярди гривень, якщо знадобиться), не довіряти державним сайтам власні персональні дані й протестувати проти впровадження онлайнових медичних карток та інших подібних проектів.

Численні уразливості в Mozilla Firefox, Thunderbird, Seamonkey

19:29 28.06.2012

Виявлені численні уразливості безпеки в Mozilla Firefox, Thunderbird, Seamonkey.

Уразливі продукти: Mozilla Firefox 12.0, Thunderbird 12.0, SeaMonkey 2.9.

Переповнення буфера, пошкодження пам’яті, use-after-free, виконання коду, підвищення привілеїв.

  • Mozilla Foundation Security Advisory 2012-34 (деталі)
  • Mozilla Foundation Security Advisory 2012-35 (деталі)
  • Mozilla Foundation Security Advisory 2012-36 (деталі)
  • Mozilla Foundation Security Advisory 2012-37 (деталі)
  • Mozilla Foundation Security Advisory 2012-38 (деталі)
  • Mozilla Foundation Security Advisory 2012-39 (деталі)
  • Mozilla Foundation Security Advisory 2012-40 (деталі)

Уразливості в LIOOSYS CMS

16:06 28.06.2012

09.06.2012

Сьогодні я виявив SQL Injection та Information Leakage уразливості в LIOOSYS CMS (це польська комерційна CMS). Про що найближчим часом повідомлю розробникам системи.

Детальна інформація про уразливості з’явиться пізніше. Спочатку повідомлю розробникам.

28.06.2012

SQL Injection:

http://site/index.php?id=-1%20union%20select%201,version(),3,4,5/*

Information Leakage:

http://site/_files_/db.log

Витік логу помилок запитів до БД. Це може використовуватися як для отримання даних про структу БД, так і при проведенні SQL Injection атак (тому що повідомлення про помилки не виводяться на сторінки сайта).

Як повідомили мені розробники, вони вже виправили дані уразливості в своїй CMS. Але в ній ще багато інших уразливостей.