Websecurity - Веб безпека

Після семи попередніх уразливостей в Akismet, ось нові дірки. У лютому, 23.02.2012, я знайшов Cross-Site Scripting, Redirector та Cross-Site Request Forgery уразливості в плагіні Akismet для WordPress. Він є core-плагіном (починаючи з версії WP 2.0), тому ці уразливості також стосуються самого WordPress. Це друга порція уразливостей в плагіні Akismet.

Раніше я вже писав про XSS, Redirector та FPD уразливості в WordPress.

XSS:

Якщо включена опція “Auto-delete spam submitted on posts more than a month old” і відправці спам коментарю для посту, який старше 30 діб, можлива XSS і Redirector атаки (and they can be conducted as on logged in admins and users, as on any visitors of the site). Вразливі всі версії Akismet з даним функціоналом (до версії 2.5.6).

Потрібно відправити POST запит http://site/wp-comments-post.php (подібно до мого попереднього експлоіту для XSS в коментарях) з вказанням заголовка Referer. Це можна зробити через Flash або інші методи.

Referer: data:text/html;base64,PHNjcmlwdD5hbGVydChkb2N1bWVudC5jb29raWUpPC9zY3JpcHQ+

На веб серверах IIS редирект відбувається через заголовок Refresh, а на інших веб серверах - через заголовок Location.

Redirector (URL Redirector Abuse):

Атака відбувається при вищенаведених умовах. Потрібно відправити POST запит http://site/wp-comments-post.php (подібно до мого попереднього експлоіту для Redirector в коментарях) з вказанням заголовка Referer. Це можна зробити через Flash або інші методи.

Referer: http://attackers_site

При цьому в останній версії Akismet 2.5.6 ці дві уразливості вже виправлені (причому приховано, без жодного згадування в readme.txt). Схоже, що це трапилося після моєї березневої чи квітневої публікації про XSS і Redirector уразливості через редиректори в WP.

CSRF:

В Akismet < 2.0.2 (WordPress < 2.0.11) взагалі не було захисту від CSRF, окрім поля введеня API key. Починаючи з версії Akismet 2.0.2 захист з'явився, але не в усьому фунціоналі.

CSRF уразливість в функції збереження конфігурації. Через POST запит до скрипта http://site/wp-admin/plugins.php ?page=akismet-key-config можна змінювати конфігурацію.

Атака спрацює лише на WP < 2.0.3 (де не було захисту від CSRF в движку) в старих версіях Akismet (таких як 2.0.2 і попередні та деяких наступних).

CSRF уразливість в функції "Check network status". При GET запиті до сторінки http://site/wp-admin/plugins.php ?page=akismet-key-config відбується запит до чотирьох серверів Akismet з кешуванням запиту.

Для відправки запитів до серверів Akismet в обхід кешування, можна відправити POST запит до цієї сторінки. При активних CSRF запитах можна створити навантаження на сервери Akismet (особливо якщо атакувати з багатьох серверів).

WordPress Akismet CSRF.html

Уразливі Akismet 2.5.6 та попередні версії та WordPress 2.0 - 3.4.1.

Після попереднього дослідження похаканих сайтів, приведу нову інформацію про взломані сайти. З числа українських сайтів.

• http://investinartemivsk.gov.ua (хакером AL.MaX HaCkEr) - 07.05.2012 - похаканий державний сайт, зараз сайт вже виправлений адмінами
• http://sts-rrada.gov.ua (хакером shmook) - 12.05.2012 - похаканий державний сайт, зараз сайт вже виправлений адмінами
• http://led-profil.com.ua (хакером AL.MaX HaCkEr) - 07.05.2012, зараз сайт вже виправлений адмінами, але дефейс все ще розміщений на окремій сторінці сайта
• http://serial-peremena.com (хакером AL.MaX HaCkEr) - 07.05.2012, зараз сайт вже виправлений адмінами, але дефейс все ще розміщений на окремій сторінці сайта
• http://beachsoccer.com.ua (хакером AL.MaX HaCkEr) - 07.05.2012, зараз сайт вже виправлений адмінами, але дефейс все ще розміщений на окремій сторінці сайта

Виявлені уразливості безпеки в Microsoft Internet Information Services.

Уразливі версії: Microsoft IIS 1.0, IIS 2.0, IIS 3.0, IIS 4.0, IIS 5.0, IIS 5.1, IIS 6.0, IIS 7.0, IIS 7.5.

Флуд запитами з тільдою в імені файлу чи каталогу приводить до відмови сервера. Дозволений доступ по іменах формату 8.3, що полегшує підбір імені схованих папок чи файлів.

• IIS Short File/Folder Name Disclosure by using tilde ~ character (деталі)
• .Net Framework Tilde Character DoS (деталі)

В даній добірці уразливості в веб додатках:

• McAfee Email and Web Security Appliance v5.6 - Reflective XSS allowing an attacker to gain session tokens (деталі)
• Interspire Shopping Cart v6 - Multiple Web Vulnerabilities (деталі)
• iScripts EasyCreate CMS v2.0 - Multiple Web Vulnerabilites (деталі)
• ADICO CMS v1.1 - Blind SQL Injection Vulnerability (деталі)
• QuickBlog v0.8 CMS - Multiple Web Vulnerabilities (деталі)
• HP-UX WBEM, Remote Unauthorized Access to Diagnostic Data (деталі)
• Boonex Dolphin v7.0.9 CMS & Mobile App - Multiple Web Vulnerabilities (деталі)
• eSyndiCat Pro v2.4.1 - Multiple Web Vulnerabilities (деталі)
• Squirrelcart Cart Shop v3.3.4 - Multiple Web Vulnerabilities (деталі)
• Swoopo Gold Shop CMS v8.4.56 - Multiple Web Vulnerabilities (деталі)

В червні, 27.06.2012, вийшла нова версія WordPress 3.4.1.

WordPress 3.4.1 це секюріті та багфікс випуск нової 3.4 серії. В якому розробники виправили декілька уразливостей і 6 багів (причому до одного з багів віднесли FPD, що виникала на PHP 5.2.4 і 5.4). А також зробили деякі секюріті покращення.

Про дірки сказано мало, згадується лише про Іnformation disclosure та баг пов’язаний з мультисайтовими інсталяціями. З наявної інформації схоже, що виправили FPD.

Також були виправлені XSS і Redirector уразливості, про які вони не згадали в офіційній публікації, лише назвавши ці виправлення, як секюріті покращення (security hardening). Зокрема з WP 3.4 і 3.4.1 постачається оновлена версія плагіна Akismet з виправленими Cross-Site Scripting і Redirector уразливостями.

Виявлена можливість підміни URL в Opera (URL Spoofing).

Уразливі версії: Opera 11.61.

Можливо перехопити подію переходу на інший сайт і підмінити вміст сторінки.

• opera website spoof (деталі)

В даній добірці експлоіти в веб додатках:

• CMME Multiple Information disclosure vulnerabilities (деталі)
• ParsaWeb CMS SQL Injection (деталі)
• Masir Camp E-Shop Module <= 3.0 SQL Injection (деталі)
• TransLucid 1.75 (fckeditor) Remote Arbitrary File Upload (деталі)
• IGES CMS <=2.0 Multiple Vulnerabilities (SQL Injection, XSS) (деталі)

Після попереднього дослідження інфікованих сайтів, приведу нову інформацію про заражені сайти. З числа українських сайтів.

• http://putivlrada.gov.ua - інфікований державний сайт. Інфекція була виявлена 29.05.2012. Зараз сайт входить до переліку підозрілих.
• http://connecteurope.com.ua - інфекція була виявлена 30.05.2012. Зараз сайт не входить до переліку підозрілих.
• http://highway.ua - інфекція була виявлена 29.05.2012. Зараз сайт входить до переліку підозрілих.
• http://siloam.org.ua - інфекція була виявлена 02.06.2012. Зараз сайт не входить до переліку підозрілих.
• http://eurica.com.ua - інфекція була виявлена 29.05.2012. Зараз сайт не входить до переліку підозрілих.

16.06.2012

Виявлені численні уразливості безпеки в Microsoft Internet Explorer.

Уразливі продукти: Microsoft Internet Explorer 6, 7, 8 та 9 під Windows XP, Windows 2003 Server, Windows Vista, Windows 2008 Server, Windows 7.

Численні пошкодження пам’яті, витік інформації, виконання коду.

• Microsoft Security Bulletin MS12-037 - Critical Cumulative Security Update for Internet Explorer (2699988) (деталі)

11.07.2012

Додаткова інформація.

• Microsoft Internet Explorer “CollectionCache” Remote Use-after-free (MS12-037) (деталі)
• Microsoft Internet Explorer “GetAtomTable” Remote Use-after-free (MS12-037 / CVE-2012-1875) (деталі)
• Microsoft Internet Explorer “Col” Element Remote Heap Overflow (MS12-037 / CVE-2012-1876) (деталі)
• Microsoft IE Developer Toolbar Remote Code Execution Vulnerability (деталі)
• Microsoft IE Same ID Property Remote Code Execution Vulnerability (деталі)
• (Pwn2Own) Microsoft Internet Explorer Fixed Table Colspan Remote Code Execution Vulnerability (деталі)

В даній добірці уразливості в веб додатках:

• McAfee Email and Web Security Appliance v5.6 - Any logged-in user can bypass controls to reset passwords of other administrators (деталі)
• Ganesha Digital Library 4.0 Multiple Vulnerabilities (деталі)
• Social Engine Multiples Vulnerabilities (XSS and CSRF) (деталі)
• Multiple XSS in pragmaMx (деталі)
• Multiple vulnerabilities in Pligg CMS (деталі)
• McAfee Email and Web Security Appliance v5.6 - Session hijacking and bypassing client-side session timeouts (деталі)
• SQL injection in Bigware shop software (деталі)
• Arbitrary File Upload/Execution in Collabtive (деталі)
• imp4 security update (деталі)
• Nuked Klan SP CMS v4.5 - SQL injection Vulnerability (деталі)