Websecurity - Веб безпека

17.07.2012

У червні, 29.06.2012, я знайшов Denial of Service та Cross-Site Scripting уразливості на сайті http://www.my-comfort.com.ua. Це сайт для клієнтів (”Програма комфорту”) онлайн магазину www.foxtrot.com.ua, про уразливості на якому я вже писав. Про що найближчим часом сповіщу адміністрацію сайта.

Стосовно дірок на сайтах онлайн магазинів в останнє я писав про уразливості на fotos.ua.

Детальна інформація про уразливості з’явиться пізніше.

24.09.2012

DoS:

http://www.my-comfort.com.ua/img.aspx?size=10000&id=64904

XSS:

• alert(document.cookie)
• цікавий

На сайті використовується ASP.NET для захисту від XSS атак, який легко обходиться. XSS атака з використанням MouseOverJacking для обходу захисту від XSS в ASP.NET.

Дані уразливості досі не виправлені.

Існує такий плагін для WP як WordPress File Monitor, що являє собою монітор файлів.

Цей секюріті плагін подібний до плагінів WordPress Exploit Scanner та Belavir, про які я розповідав раніше. Він проводить перевірку цілісності файлів та сповіщає адміна при будь-яких додаваннях, видаленнях та змінах файлів. Повідомлення відправляються на емайл адміністратора, а також створюється алерт в адмінці. При цьому WordPress File Monitor може сканувати й інші файли, окрім файлів движка - в цьому він краще за вищезгадані плагіни.

Користувачі WP можуть користуватися цим плагіном для виявлення шелів та бекдорів на власних сайтах (після взлому, або якщо часто хакають, або для профілактики - про всяк випадок). Також його можна використати для виявлення розміщення шкідливого коду на сайті, але більш краще використати для цього веб антивіруси, які перевірять також і всі записи сайту (з БД). Для цього існують спеціальні плагіни для WP, про які я вже писав, та численні антивірусні системи, такі як Web Virus Detection System.

В своєму звіті про хакерську активність в Уанеті в 1 півріччі 2012, я згадував, що в першому півріччі було інфіковано 98 сайтів (з них 9 державних сайтів).

Всі ці сайти в основному використовують опенсорс веб додатки. На це я весь час звертав увагу в під час досліджень взломаних та інфікований сайтів, та вирішив провести детальне дослідження, щоб підтвердити свої спостереження.

Учора я провів дослідження 98 сайтів, що були інфіковані в першому півріччі 2012 року, і на 41 сайті вдалося виявити движки. Частина з 98 сайтів вже не працювала (у деяких домен не працював, у деяких хостер тимчасово заблокував сайт), декілька використовують html (при цьому частина з них ховає php-додатки за розширенням html), а ще частина використовували власні php-скрипти (що також опенсорс веб додатки, лише custom made).

На перевірених сайтах використовуються наступні движки:

Joomla - 21
WordPress - 7
DataLife Engine - 4
osCommerce - 2
WebAsyst Shop-Script - 2
Danneo CMS - 1
Drupal - 1
Megapolis.Portal Manager - 1
phpWebSite - 1
Serendipity - 1

Тобто майже всі інфіковані сайти, з числа працюючих, використовували (за станом на 23.09.2012) відкриті веб програми.

Продовжуючи тему уразливостей в плагінах для WordPress, пропоную вам інформацію про дірки в інших плагінах для WP.

Цього разу повідомляю про уразливості в плагінах Simple Forum, Cloudsafe365 та HD Webplayer. Для котрих з’явилися експлоіти. Simple Forum - це плагін для створення форуму, Cloudsafe365 - це секюріті плагін (і при цьому дірявий, як й інші плагіни для WP), HD Webplayer - це флеш відео плеєр.

• WordPress Simple Forum Shell Upload (деталі)
• WordPress Cloudsafe365 Local File Inclusion (деталі)
• WordPress HD Webplayer 1.1 SQL Injection (деталі)

Користувачам даних плагінів варто або оновити їх, або власноруч виправити дірки. В якості тимчасового рішення, поки не будуть виправлені чи оновлені плагіни, можна їх виключити в адмінці.

За повідомленням www.xakep.ru, видавець BlueToad визнав, що базу Apple UDID украли в них.

Четвертого вересня з’явилася інформація, що хакери вкрали дані 12 мільйонів користувачів Apple. Тоді члени хакерської групи AntiSec повідомили у своєму Twitter-блозі про викрадення з комп’ютера ФБР більш 12 мільйонів ідентифікаційних номерів UDID пристроїв Apple разом з іншими персональними даними про власників цих пристроїв.

Спочатку Apple і ФБР виступили із запереченнями. Компанія Apple категорично спростувала припущення, що вона передала у ФБР номери UDID своїх користувачів. А прес-служба ФБР опублікувала заяву про відсутність доказів того, що база украдена саме в них, а також того, що ФБР узагалі коли-небудь, мало подібну інформацію. А вже через тиждень виконавчий директор американської компанії BlueToad зізнався в ефірі телеканала NBC, що це його компанія допустила витік бази даних ідентифікаторів Apple UDID, що була частково опублікована в онлайні.

За повідомленням ura-inform.com, імена 400 клієнтів Sony потрапили до хакерів.

Компанія Sony заявила, що хакери одержали доступ до імен і адрес електронної пошти клієнтів її мобільного підрозділу.

3 вересня хакери з групи NullCrew оголосили у своєму микроблозі про злом Sony. Вони опублікували адреси електронної пошти і логіни десятків користувачів, а також кілька паролів, що нібито належать адміністраторам взломаного сервера. У коментарі до документа хакери заявили, що це тільки один з восьми серверів Sony, що знаходяться під їх контролем.

Це черговий взлом Sony. Схоже, що після трьох минулорічних взломів компанія нічого не навчилася і все ще недостатньо слідкує за безпекою.

За повідомленням www.xakep.ru, два роки дірі в протоколі аутентифікації Oracle Database с 10.1 до 11.2.

Нещодавно на конференції по безпеці Ekoparty була представлена proof-of-concept утиліта підбора паролів для Oracle Database. Розробник Естебан Файо знайшов уразливість у протоколі аутентифікації Oracle і повідомив компанію про неї в травні 2010 року. Oracle закрила уразливість у середині 2011 року, але не включила патч у критичний апдейт, а випустила нову несумісну версію протоколу аутентифікації для Oracle Database 12, у той час як у старих версіях Oracle Database від 10.1 до 11.2 уразливість залишилася незакритою й досі.

Після попереднього дослідження похаканих сайтів, приведу нову інформацію про взломані сайти. З числа українських сайтів.

• http://tcso.gov.ua (хакером VirusDuba) - 20.07.2012 - похаканий державний сайт, зараз сайт вже виправлений адмінами
• http://khkr.gov.ua (хакером MeGo) - 07.08.2012 - похаканий державний сайт, зараз сайт вже виправлений адмінами
• http://kava.vn.ua (хакером Dr-spam) - 11.07.2012, зараз сайт вже виправлений адмінами
• http://www.ekstramed.com.ua (хакером Hmei7) - 11.07.2012, зараз сайт вже виправлений адмінами
• http://privat-agent.if.ua (хакером aLLiGaToR) - 01.09.2012, зараз сайт вже виправлений адмінами. До речі, це сайт агента ПриватБанк (і за безпекою він слідкує так само як і ПБ)

У вересні, 13.09.2012, вийшли PHP 5.3.17 та PHP 5.4.7. В яких виправлено більше 20 багів. Дані релізи направлені на покращення стабільності гілок 5.3.x і 5.4.x.

Жодних уразливостей в цих версіях PHP виправлено не було.

По матеріалам http://www.php.net.

У жовтні, 20.10.2011, я знайшов нові уразливості на http://iss.incom.ua та http://it-consulting.incom.ua. Це Insufficient Anti-automation та Denial of Service уразливості на сайтах секюріті компанії Інком. Я вже писав про аналогічні уразливості на incom.ua (вони є також на інших сайтах Інкома). Про що найближчим часом детально сповіщу адміністрацію сайта.

Раніше я вже писав про уразливості на iss.incom.ua.

Детальна інформація про уразливості з’явиться пізніше.

Після попереднього дослідження інфікованих сайтів, приведу нову інформацію про заражені сайти. З числа українських сайтів.

• http://dobrostroy.com.ua - інфекція була виявлена 04.07.2012. Зараз сайт не входить до переліку підозрілих.
• http://kishta.com.ua - інфекція була виявлена 01.07.2012. Зараз сайт не входить до переліку підозрілих.
• http://megasuperomatic.com - інфекція була виявлена 21.09.2012. Зараз сайт входить до переліку підозрілих.
• http://insel.kiev.ua - інфекція була виявлена 12.09.2012. Зараз сайт не входить до переліку підозрілих.
• http://muzfan.in.ua - інфекція була виявлена 25.07.2012. Зараз сайт не входить до переліку підозрілих.

У липні, 31.07.2012, більше ніж через місяць після виходу Google Chrome 20, вийшов Google Chrome 21.

В браузері зроблено декілька нововведень та виправлені помилки. А також виправлено 15 уразливостей, з яких 1 позначена як критична, 6 - небезпечні, 5 - помірні і 3 - незначні.

Уразливості, знайденій в коді обробки вкладок, привласнений статус критичної проблеми, що дозволяє обійти всі рівні захисту браузера. Зазначена критична уразливість виявлена співробітником Google і проявляється тільки на платформі Linux. З уразливостей, що мають статус небезпечних, можна відзначити цілочисленне переповнення, вихід за границі буфера і звертання до вже звільненої пам’яті у вбудованому переглядачі PDF, переповнення буфера в декодувальнику WebP, звертання до звільненого блоку пам’яті в коді CSS DOM.

Чимало з виправлених уразливостей виявлені за допомогою інструментарію address-sanitizer, призначеного для автоматизованого визначення фактів звертання до звільнених областей пам’яті, виходу за межі границь виділеного буфера і деяких інших типів помилок при роботі з пам’яттю.

• Релиз web-браузера Chrome 21 (деталі)