Websecurity - Веб безпека

За повідомленням www.xakep.ru, John the Ripper націлився на “повільні” хеші.

Нова версія John the Ripper 1.7.9-jumbo-6 підтримує роботу на графічних прискорювачах (CUDA та OpenCL) для підбора паролів і генерації так званих “повільних” хешів, що вимагають значних обчислювальних ресурсів. Серед інших, це sha256crypt, sha512crypt (використовується Fedora і Ubuntu), bcrypt (використовується в OpenBSD), зашифровані RAR-архіви та WiFi WPA-PSK.

Використання GPU зараз стало поширеним серед взломщиків хешів. Ось і JTR отримав таку підтримку (хоч і не офіційний реліз програми, а jumbo-реліз - в ці неофіційні релізи додається підтримка різних нових і експериментальних функцій).

За повідомленням www.radiorus.ru, затриманий хакер, що організував крадіжку 150 мільйонів рублів.

Співробітники управління “К” МВС Росії затримали хакера, що організував кілька найбільших бот-мереж, за допомогою яких у користувачів було викрадено більше 150 мільйонів рублів.

Мішенню хакера були комп’ютери з установленим на них програмним забезпеченням “Банк-клієнт”. На момент затримки злочинця число заражених комп’ютерів складало близько 6 мільйонів.

За повідомленням www.xakep.ru, Apple намагається захиститися від російського хакера.

Російський хакер Олексій Бородін створив чимало головного болю компанії Apple, коли здійснив реверс-інжиніринг протоколу AppStore і опублікував інструкцію, як можна підробляти чеки In-App покупок усередині додатків, тобто “купувати безкоштовно” контент усередині будь-якого додатка, наприклад, нові рівні, бонуси та інше.

Сам Олексій Бородін порівнює In-App покупки з “читерством” і “продажем повітря”, тому що в реальності гроші беруть за розблокування контента, що вже є присутнім на телефоні. Після публікації інструкцій користувачі AppStore почали активно ними користуватися - на 18 липня зроблено 8,46 мільйонів безкоштовних покупок. Що змусило Apple тимчасово закрити свій магазин.

Після попереднього дослідження похаканих сайтів, приведу нову інформацію про взломані сайти. З числа українських сайтів.

• http://new.zmiivrda.gov.ua (хакерами з BROTHERS TEAM) - 22.05.2012 - похаканий державний сайт, зараз сайт вже виправлений адмінами
• http://www.gorodok-vlada.gov.ua (хакерами з iranhack security team) - 27.05.2012 - похаканий державний сайт, зараз сайт вже виправлений адмінами
• http://tsymbaliuk.com (хакером AL.MaX HaCkEr) - 07.05.2012, зараз сайт вже виправлений адмінами, але дефейс все ще розміщений на окремій сторінці сайта
• http://razom.cv.ua (хакером AL.MaX HaCkEr) - 07.05.2012, зараз сайт вже виправлений адмінами, але дефейс все ще розміщений на окремій сторінці сайта
• http://dlyadoma.kiev.ua (хакером AL.MaX HaCkEr) - 07.05.2012, зараз сайт вже виправлений адмінами, але дефейс все ще розміщений на окремій сторінці сайта

В даній добірці уразливості в веб додатках:

• Arbor Networks Peakflow SP web interface XSS (деталі)
• Squiz CMS Multiple Vulnerabilities (деталі)
• Swoopo Gold Shop CMS v8.4.56 - Multiple Web Vulnerabilities (деталі)
• Webify Product Series - Multiple Web Vulnerabilities (деталі)
• News Script PHP v1.2 - Multiple Web Vulnerabilites (деталі)
• Vulnerability in Mono (деталі)
• Commentics 2.0 <= Multiple Vulnerabilities (деталі)
• Multiple vulnerabilities in web@all (деталі)
• Mybb 1.6.8 ‘announcements.php’ Sql Injection Vulnerabilitiy (деталі)
• traq-2.3.5_CSRF_XSS_SQL_INjeCTION_vulns (деталі)

Ситуація з паролями на веб сайтах я досліджую багато років, зокрема в рамках комерційних робіт (аудитів та пентестів) та під час соціального секюріті аудиту, коли мені на очі потрапляють логіни і паролі користувачів. І серед них чимало трапляється слабких паролів.

Про те, що використання простих паролів є дуже поширеним, я вже писав. Але сучасний стан з паролями на сайтах відзначається не тільки цим явищем, а іще однією особливістю. Користувачі нерідко використовують пароль ідентичний логіну: він може бути простий, або складний, але логін і пароль співпадають. З такими випадками я стикався дуже часто - майже під час кожного комерційного аудиту чи пентесту (де вдалося отримати доступ до паролів) обов’язково знаходився акаунт, де логін і пароль однакові (в тому числі були такі випадки під час мого останнього аудиту).

Від загальної кількості акаунтів таких облікових записів може бути небагато, але тим не менш вони є. Наприклад, в БД користувачів solor.da-kyiv.gov.ua, таких акаунтів було 4 (де логін співпадав з паролем). Це 7,14% від загальної кількості акаунтів, а якщо прибрати акаунти дублікати, то вийде 7,84% від загальної кількості.

І такі акаунти можуть бути легко скомпрометовані. Й навіть якщо це не адмінській акаунт, то з нього можна буде дістатися до адмінського акаунта використовуючи внутрішні уразливості (тобто це полегшує атаку на сайт). Але неодноразово доводилося знаходити і сайти, де адмінські акаунти мали однакові логін і пароль.

Я давно звертаю увагу на уразливості, що дозволяють дізнаватися логіни - Information Leakage та Abuse of Functionality (Login Enumeration). В статті Виявлення логінів через Abuse of Functionality уразливості я писав на цю тему. За останні 5 років я приводив багато таких уразливостей в WordPress, Drupal та багатьох інших CMS і форумних движках, а також на багатьох сайтах. Найбільше такі дірки поширені серед форумних движків і всі розробники таких движків ігнорують їх, лише розробник IPB в 2009 році, після мого повідомлення, виправив всі такі уразливості в новій версії движка IPB 3.0.

І саме по цій причині, що паролі можуть співпадати з логінами, в останні роки я використовую цей приклад як аргумент, щоб веб розробники виправляли дані уразливості в своїх системах. Але вони це роблять дуже рідко, переважно забиваючи на такі уразливості. Тому уразливості, що призводять до витоків логінів, можуть призвести до серйозних наслідків.

Виявлена можливість обходу захисту в Apache mod_security. Це черговий обхід захисту в mod_security. Подібні методи постійно виявляються, сам розробив чимало методів обходу WAF, в тому числі mod_security. Тобто це звичайна ситуація для WAF, що їх захисні фільтри обходяться (не кажучи, що вони апріорі не захищають від всіх атак).

Уразливі версії: Apache mod_security 2.6.

Можливо обійти перевірки при одночасному використанні Content-Disposition: attachment і Content-Type: multipart.

• libapache-mod-security security update (деталі)

В даній добірці експлоіти в веб додатках:

• PoC for multiple vendors ftpd (libc/glob) resource exhaustion (деталі)
• MyBlog <=0.9.8 Multiple Vulnerabilities (Information Leakage, XSS) (деталі)
• Pluck Local File inclusion (деталі)
• Virtual Support Office-XP Multiple Vulnerabilities (Broken Authentication, SQL Injection, XSS, Arbitrary File Upload, FPD) (деталі)
• GL-SH Deaf Forum <=6.5.5 Multiple Vulnerabilities (LFI, File Upload, XSS) (деталі)

Виявлена Cross-Site Scripting уразливість в Microsoft Dynamics AX.

Уразливі версії: Microsoft Dynamics AX 2012.

Міжсайтовий скриптінг при відображенні URL.

• Microsoft Security Bulletin MS12-040 - Important Vulnerability in Microsoft Dynamics AX Enterprise Portal Could Allow Elevation of Privilege (2709100) (деталі)

Після попереднього дослідження інфікованих сайтів, приведу нову інформацію про заражені сайти. З числа українських сайтів.

• http://if.gov.ua - інфікований державний сайт - інфекція була виявлена 27.06.2012. Зараз сайт не входить до переліку підозрілих.
• http://topspeed.ua - інфекція була виявлена 22.04.2012. Зараз сайт не входить до переліку підозрілих.
• http://med-dovidka.com.ua - інфекція була виявлена 31.05.2012. Зараз сайт не входить до переліку підозрілих.
• http://1tv.com.ua - інфекція була виявлена 19.04.2012. Зараз сайт не входить до переліку підозрілих.
• http://viva.ua - інфекція була виявлена 22.06.2012. Зараз сайт не входить до переліку підозрілих.

В даній добірці уразливості в веб додатках:

• HP Business Availability Center (BAC) Running on Windows, Remote Cross Site Scripting (XSS) (деталі)
• Jobs Portal v3.0 NetArtMedia - Multiple Web Vulnerabilities (деталі)
• Simple Forum PHP 2.1 - SQL Injection Vulnerabilities (деталі)
• Cells Blog CMS v1.1 - Multiple Web Vulnerabilities (деталі)
• MYRE Real Estate Mobile 2012|2 - Multiple Vulnerabilities (деталі)
• HP Onboard Administrator (OA), Remote Unauthorized Access, Unauthorized Information Disclosure, Denial of Service (DoS), URL Redirection (деталі)
• Cross-Site Scripting vulnerabilities in Nagios XI < 2011R3.0 (деталі)
• SQL injection in Serendipity (деталі)
• Multiple vulnerabilities in TinyWebGallery (деталі)
• Airlock WAF overlong UTF-8 sequence bypass (деталі)

Продовжуючи розпочату традицію, після попереднього відео про хакінг баз даних і тонких клієнтів, пропоную нове відео на веб секюріті тематику. Цього разу відео про обхід Cross Origin в Google Chrome. Рекомендую подивитися всім хто цікавиться цією темою.

Google Chrome Cross Origin Bypass

В ролику демонструється Cross Origin Bypass уразливість в браузері Google Chrome. Що дозволяє виконати JavaScript код на одному сайті в контексті іншого сайта. В даному ролику JS код виконується на сайті розробника експлоіта в контексті www.google.com, з виведенням вмісту кукіса для сайта Гугла.

Атака відбувається при відвідуванні в Chrome спеціально створеного веб сайта, що містить код експлоіту. Рекомендую подивитися дане відео для розуміння векторів атак на браузери.