Websecurity - Веб безпека

На початку 2009 року я розповідав про Charset Remembering уразливість в Mozilla Firefox через UTF-7 та EUC-JP і SHIFT_JIS кодування. А учора я писав про численні уразливості в Microsoft Internet Explorer, що були виправлені Microsoft у вівторок. І серед них була уразливість CVE-2012-1872.

Ця уразливість мене здивувала. Тому що інформація про XSS через EUC-JP в IE6 була відома ще в 2006 році - про це писав Cheng Peng Su (він перевірив декілька кодувань в браузерах Internet Explorer 6, Firefox 1.5.0.6 та Opera 9.0.1). В тому числі мій експлоіт для XSS через EUC-JP і SHIFT_JIS кодування в Mozilla Firefox також підходив і для IE (лише в ньому потрібно було додати один символ). Тільки атака через EUC-JP працювала в IE 6 і 7, а в IE 8 вона була виправлена. Схоже, що були знайдені нові символи EUC-JP кодування, через які можна проводити атаку.

Зазначу, що в MFSA 2011-47 Mozilla виправила можливість XSS атак через кодування Shift-JIS - проігнорувавши моє повідомлення у березні 2009 року і лише через 2,5 роки виправивши одну з декількох повідомлених мною уразливостей.

Тому я розробив новий експлоіт (щоб він працював в різних браузерах) і дослідив XSS атаку через різні кодування в багатьох браузерах. В результаті я виявив, що чимало браузерів вразливі до атак через EUC-JP, SHIFT_JIS та Chinese Simplified (HZ) кодування. А деякі браузери також вразливі до атак через інші кодування. І додам, що Charset Remembering атака, описана мною три роки тому, окрім Mozilla і Firefox (всіх браузерів на движку Gecko) також працює в Internet Explorer і Opera.

PoC:

XSS_charsets_in_browsers.html

Код виконається при встановленні відповідного кодування в браузері.

Дана атака через EUC-JP, SHIFT_JIS та Chinese Simplified (HZ) кодування спрацьовує в Mozilla Firefox 3, 4 і попередніх версіях (а також повинна в наступних версіях), в Internet Explorer 6, 7, 8 (і повинна в інших версіях), в Opera 10.62 (і повинна в інших версіях).

Також в IE 6, 7 і 8 атака спрацьовує через кодування Chinese Simplified (GB2312 і Big5), а в IE 6 і 7 атака спрацьовує через кодування Korean (в інших браузерах позначається як EUC-KR). В версії IE8 (і явно в IE9) не працює атака через кодування EUC-JP та Korean. А в Opera 10.62 також спрацьовує в Chinese Simplified (GB2312, GB18030 і Big5-HKSCS), але не в Big5 і HZ.

За повідомленням www.xakep.ru, Google попереджає юзерів про стеження з боку уряду.

До попередніх попередженнь Гугла (про віруси на сайтах, про віруси на комп’ютерах користувачів, про підозрілі запити та інших) вони додали нові попередження.

Два місяці тому в одному з інтерв’ю Сергій Брін сказав, що Всесвітня мережа зараз зіштовхнулася з найбільшими загрозами у своїй історії. Одна з головних загроз виходить з боку урядів, що у різних країнах намагаються обмежити доступ своїх громадян до інформації і всіляко ущемити їхні права.

Google вважає своїм обов’язком захистити волю і приватність громадян, відгородивши їх від державної цензури - і з 05.06.2012 компанія почала попереджати користувачів про можливі спроби компрометації акаунта з боку державних служб.

За повідомленням ain.ua, Україна стала другим найбільшим джерелом DDoS-атак у світі.

“Лабораторія Касперського” опублікувала дослідження, відповідно до якого в другому півріччі 2011 року Україна стала одним з головних джерел DDoS-атак у світі. На нашу країну приходиться 12% DDoS-трафіка, зафіксованого системою Kaspersky DDoS Prevention. Дещо більшу загрозу в цей період представляла Росія (16%). На третьому місці Таїланд (7%). У цілому, 90% зареєстрованих атак велися з комп’ютерів, розташованих у 23 країнах світу.

Якщо не в “позитивних”, то зате в “негативних” рейтингах Україна займає верхні місця. Я вже неодноразово наводив рейтинги вірусної активності в світі та інші рейтинги. Зокрема в Sophos Security Threat Report 2011 Україна зайняла 9 місце серед країн, що хостили шкідливий код.

За повідомленням www.xakep.ru, Metasploitable 2: віртуальна машина Linux для тренування.

HD Moore повідомив про вихід другої версії Metasploitable - віртуальної машини, спеціально спроектованої на максимальну уразливість для тренування, тестів експлоїтів і навчання новачків. На відміну від інших уразливих віртуальних машин, Metasploitable фокусируется на уразливостях в операційній системі Linux і мережевих сервісах, а не на окремих додатках.

В даній добірці експлоіти в веб додатках:

• Web Content System <<< v2.7.1 Remote File Include Exploit (деталі)
• Picture-Engine <= V1.2.0 Remote SQL Injection Exploit (деталі)
• chillyCMS Multiple Vulnerabilities (SQL Injection, XSS) (деталі)
• ACollab Multiple Vulnerabilities (SQL Injection, Authentication Bypass) (деталі)
• AneCMS Multiple Vulnerabilities (LFI, Remote Code Execution) (деталі)

В продовження попередніх публікацій про дірки в плагіні Organizer, наведу ще 5 уразливостей в цьому дуже дірявому плагіні для WordPress.

Ще 15.04.2012 я знайшов Directory Traversal, Cross-Site Scripting та Full path disclosure уразливості в плагіні Organizer для WordPress. Це четверта порція уразливостей в плагіні Organizer. Як заявив мені розробник плагіна, він більше не підтримує його.

Раніше я писав про уразливості в Organizer для WordPress.

Directory Traversal:

http://site/wp-admin/wp-admin/admin.php?page=organizer/page/view.php

В полях Rename File to та Copy File As можна вказувати відносні шляхи (для переносу чи копіювання файлів в довільні каталоги, в тому числі перезапису існуючих файлів).

XSS:

POST запит на сторінці http://site/wp-admin/admin.php?page= organizer/page/dir.php
"><script>alert(document.cookie)</script>В полях dirname і newdirname.

Як я вже зазначав раніше, скрипт dir.php уразливий до CSRF, що спрощує проведення даних XSS атак.

FPD:

http://site/wp-admin/admin.php?page=organizer/page/users.php

Якщо для всіх ролей (в полі User) зроблені налаштування (в списку User Setting), то в тілі сторінки виводиться повідомлення про помилку з повним шляхом на сервері.

Уразливі Organizer 1.2.1 та попередні версії.

Після найгучніших випадків витоку даних у 2010 році, розглянемо найгучніші випадки витоку даних у 2011 році.

Наведу сім найбільш гучних витоків інформації в минулому році. Вони розташовані по зростанню.

1. Зникнення даних у University of South Carolina.

Була викрадена 31 тисяча записів. Вони включають наступні дані: імена, адреси, медичні картки хворих, фінансові дані, ідентифікаційні номери карток соціального страхування.

2. Взлом НВ GaryFederal.

Були викрадені 60 тисяч листів і документації (що включають звіти, корпоративну електронну пошту та іншу персональну інформацію). Хакери взломали поштовий сервер компанії НВ Gary Federal і виставили викрадені документи на загальний огляд за допомогою Bit Torrent.

3. Викрадення даних в Ankle & Foot Center.

Були викрадені 156 тисяч записів і листів. Вони включають наступні дані: прізвища й імена, особисті дані користувачів, адреси e-mail, персональні номери кредитних карт, лікарські висновки медичних працівників, перелік наданих послуг.

4. Взлом сервера Seacoast Radiology.

Був отриманий доступ до сервера, на якому знаходилося 231,4 тисяч записів. Вони включають наступні дані: особисті дані пацієнтів, індивідуальні номери карток соціального страхування, домашні адреси, номери мобільних телефонів.

5. Взлом WordPress.com.

Торік сервіс WordPress.com піддався масштабним DDoS-атакам, а потім був взломаний сайт. Розмір витоку даних прихований фірмою, але за оцінками фахівців він склав більше 18 мільйонів записів. Були викрадені вихідні коди, API-ключі доступу, логіни і паролі.

6. Витік інформації в Alliance Data Systems.

Розмір витоку даних прихований фірмою, але за оцінками фахівців він склав приблизно 60 мільйонів записів. Вони включають наступні дані: адреси електронних скриньок, логіни і паролі до облікових записів.

7. Взлом різних сайтів Sony.

Спочатку на ресурси корпорації Sony були проведені DDoS-атаки, а потім були взломані наступні сайти корпорації: Sony PlayStation Network, Qriocity і Sony Online Entertainment.

Всього було викрадено 101 мільйон профайлів користувачів. Вони включають наступні дані: імена, адреси, як домашні так і електронні, логіни і паролі облікових записів.

• Самые большие утечки информации 2011 года (деталі)

Після попереднього дослідження похаканих сайтів, приведу нову інформацію про взломані сайти. З числа українських сайтів.

• http://mon-ark.gov.ua (хакером SnIpEr_39) - 05.04.2012 - похаканий державний сайт, зараз сайт вже виправлений адмінами
• http://stakherson.gov.ua (хакерами з LatinHackTeam) - 07.04.2012 - похаканий державний сайт, зараз сайт вже виправлений адмінами
• http://tutorials.com.ua (хакером RcP) - 08.06.2012, зараз сайт вже виправлений адмінами
• http://scuba-d.com.ua (хакером RcP) - 08.06.2012, зараз сайт вже виправлений адмінами
• http://whatisit.com.ua (хакером RcP) - 08.06.2012, зараз сайт вже виправлений адмінами

В даній добірці уразливості в веб додатках:

• RSA enVision Multiple Vulnerabilities (деталі)
• ChurchCMS 0.0.1 ‘admin.php’ Multiple SQLi (деталі)
• Multiple vulnerabilities in Piwigo (деталі)
• mysqldumper 1.24.4 LFI XSS CSRF PHPEXEC TRAVERSAL INFO DISCLOS (деталі)
• spip security update (деталі)
• ManageEngine DeviceExpert 5.6 Java Server ScheduleResultViewer servlet Unauthenticated Remote Directory Traversal Vulnerability (деталі)
• DirectAdmin v1.403 - Multiple Cross Site Vulnerabilities (деталі)
• Car Portal CMS v3.0 - Multiple Web Vulnerabilities (деталі)
• C4B XPhone UC Web 4.1.890S R1 - Cross Site Vulnerability (деталі)
• DIY CMS v1.0 Poll - Multiple Web Vulnerabilities (деталі)

Продовжуючи розпочату традицію, після попереднього відео про обхід sandbox в Google Chrome, пропоную нове відео на веб секюріті тематику. Цього разу відео про топ 10 хакерів. Рекомендую подивитися всім хто цікавиться цією темою.

Хакеры. Топ 10

В даному телевізійному ролику демонструється 10 найбільших хакерів, на думку телевізійників. Стосовно кожного учасника рейтинга розповідається про його найбільші атаки (згадуються як випадки багаторічної давнини, так і останніх років).

В рейтингу присутні як окремі хакери, так і угруповування, в тому числі така відома хакерська група, як Anonymous (порядок в рейтингу дещо суб’єктивний). Рекомендую подивитися дане відео для покращення власних знянь з історії хакерства.

23.02.2012

Виявлені численні уразливості безпеки в Adobe Flash Player.

Уразливі версії: Adobe Flash Player 11.1.

Пошкодження пам’яті, обхід обмежень, міжсайтовий скриптінг.

• Security update available for Adobe Flash Player (деталі)

14.06.2012

Додаткова інформація.

• Adobe Flash Player MP4 Stream Decoding Remote Code Execution Vulnerability (деталі)

В даній добірці уразливості в веб додатках:

• Aruba Networks multiple advisories: OS command injection in RAP web interface and 802.1X EAP-TLS user authentication bypass (деталі)
• Multiple XSS vulnerabilities in XOOPS (деталі)
• Security advisory for Bugzilla 4.2.1, 4.0.6 and 3.6.9 (деталі)
• Specially crafted Json service request allows full control over a Liferay portal instance (деталі)
• Liferay 6.1 can be compromised in its default configuration (деталі)
• VMware vCenter Server, Orchestrator, Update Manager, vShield, vSphere Client, ESXi and ESX address several security issues (деталі)
• Specially crafted webdav request allows reading of local files on liferay 6.0.x (деталі)
• XSS in Kaseya version 6.2.0.0 web interface (деталі)
• PHP Ticket System Beta 1 ‘p’ SQL Injection (деталі)
• WebCalendar <= 1.2.4 Two Security Vulnerabilities (деталі)