Websecurity - Веб безпека

01.06.2012

У травні, 04.05.2012, під час пентесту, я виявив багато уразливостей в системі Інтернет-банкінгу IFOBS, зокрема Cross-Site Request Forgery та Cross-Site Scripting. Це третя порція уразливостей в IFOBS, яка використовується багатьма українськими банками. Про що найближчим часом повідомлю розробникам системи.

Раніше я вже писав про уразливості в IFOBS.

Детальна інформація про уразливості з’явиться пізніше. Спочатку повідомлю розробникам.

21.09.2012

Це наступні 35 уразливостей в IFOBS: 1 CSRF та 34 XSS.

Cross-Site Request Forgery (WASC-09):

Відсутність захисту від Brute Force в формі логіна (http://site/ifobsClient/loginlite.jsp), згадану раніше, також призводить до можливості проведення CSRF атаки, про що я писав в статті Атаки на незахищені логін форми. Це дозволяє проводити віддалений логін в акаунт (щоб проводити атаки на уразливості всередині акаунта). Це також може бути використано для автоматизованого входу в акаунт, фішинга та інших автоматизованих атак.

Cross-Site Scripting (WASC-08):

http://site/ifobsClient/regclientalerts.jsp?labelname=%3Cscript%3Ealert(document.cookie)%3C/script%3E

POST запит на сторінці http://site/ifobsClient/regclientform.jsp параметрах: secondName, firstName, thirdName, BirthDay, BirthMonth, BirthYear, address, livePlace, passportSerialpassportNumber, PassportDay, PassportMonth, PassportYear, passportIssueAgency, tempDocSerialtempDocNumber, tempDocSerial, DocMonth, DocYear, idCodeNumber, CodeRegDay, CodeRegMonth, CodeRegYear, idCodeRegPlace, phone, email, pmcountry, pmnumber, keyword, password, bankAddress, bankContacts, typeclient.

Експлоіти для перших п’яти уразливостей (в параметрах secondName, firstName, thirdName, BirthDay, BirthMonth):

IFOBS XSS-11.html

IFOBS XSS-12.html

IFOBS XSS-13.html

IFOBS XSS-14.html

IFOBS XSS-15.html

Розробники системи проігнорували і не виправили дані уразливості.

12.09.2012

Виявленні численні уразливості безпеки в Mozilla Firefox, Thunderbird та Seamonkey.

Уразливі продукти: Mozilla Firefox ESR 10.0, Thunderbird ESR 10.0, Firefox 14, Thunderbird 14, SeaMonkey 2.12.

Підвищення привілеїв, численні пошкодження пам’яті, переповнення буфера, використання після звільнення.

• Mozilla Foundation Security Advisory 2012-57 (деталі)
• Mozilla Foundation Security Advisory 2012-58 (деталі)
• Mozilla Foundation Security Advisory 2012-59 (деталі)
• Mozilla Foundation Security Advisory 2012-60 (деталі)
• Mozilla Foundation Security Advisory 2012-61 (деталі)
• Mozilla Foundation Security Advisory 2012-62 (деталі)
• Mozilla Foundation Security Advisory 2012-63 (деталі)
• Mozilla Foundation Security Advisory 2012-64 (деталі)
• Mozilla Foundation Security Advisory 2012-65 (деталі)
• Mozilla Foundation Security Advisory 2012-66 (деталі)
• Mozilla Foundation Security Advisory 2012-67 (деталі)
• Mozilla Foundation Security Advisory 2012-68 (деталі)
• Mozilla Foundation Security Advisory 2012-69 (деталі)
• Mozilla Foundation Security Advisory 2012-70 (деталі)
• Mozilla Foundation Security Advisory 2012-71 (деталі)
• Mozilla Foundation Security Advisory 2012-72 (деталі)

20.09.2012

Додаткова інформація.

• Mozilla Firefox “nsHTMLEditRules” Remote Use-after-free (CVE-2012-3958 / MFSA 2012-58) (деталі)

Після попереднього дослідження похаканих сайтів, приведу нову інформацію про взломані сайти. З числа українських сайтів.

• http://www.dugbsme.gov.ua (хакером DaiLexX) - 07.07.2012 - похаканий державний сайт, зараз сайт вже виправлений адмінами
• http://pustomyty-rada.gov.ua (хакерами з team sality) - 11.07.2012 - похаканий державний сайт, зараз сайт вже виправлений адмінами
• http://airland.ukrhost.com (хакером Dr-spam) - 11.07.2012, зараз сайт вже виправлений адмінами
• http://blazerterra.u72.ukrhosting.com (хакером Dr-spam) - 11.07.2012, зараз сайт вже виправлений адмінами
• http://mak-media.vn.ua (хакером Dr-spam) - 11.07.2012, зараз сайт вже виправлений адмінами

Продовжуючи розпочату традицію, після попереднього відео про DoS атаки через хеш функції BCrypt і SHA, пропоную нове відео на веб секюріті тематику. Цього разу відео про різні підходи до безпеки. Рекомендую подивитися всім хто цікавиться цією темою.

Secure By Design Vs. Security Through Obscurity Vs. Secure In Deployment

В даному ролику розповідається про безпеку різних ОС (яка з них безпечніша) та різні підходи до безпеки. Такі як Secure By Design, Security Through Obscurity та Secure In Deployment.

Автор відео ролика наголошує, що по замовчуванню у кожній ОС є ризики безпеки. І що найбільший рівень безпеки на будь-якій платформі можна досягти лише при її секюрному впровадженню (тобто визначальними є налаштування системи і політики безпеки). Те саме відноситься і до веб серверів. Рекомендую подивитися дане відео для розуміння відмінностей в різних підходах до безпеки.

В даній добірці уразливості в веб додатках:

• EMC Data Protection Advisor Multiple Vulnerabilities (деталі)
• Flynax General Classifieds v4.0 CMS - Multiple Vulnerabilities (деталі)
• NeoInvoice Blind SQL Injection (деталі)
• 7sepehr CMS 2012 - Multiple SQL Injection Vulnerabilities (деталі)
• Firefox security bug (proxy-bypass) in current Tor BBs (деталі)
• Multiple vulnerabilities in GLPI (деталі)
• ManageEngine OpStor v7.4 - Multiple Web Vulnerabilities (деталі)
• Nike+ Panel & Mobile App - Multiple Web Vulnerabilities (деталі)
• SAP Netweaver Dispatcher Multiple Vulnerabilities (деталі)
• Social Engine v4.2.5 - Multiple Web Vulnerabilities (деталі)

Продовжуючи тему уразливостей в плагінах для WordPress, пропоную вам інформацію про дірки в інших плагінах для WP.

Цього разу повідомляю про уразливості в плагінах SEM WYSIWYG, Finder та Count Per Day. Для котрих з’явилися експлоіти. SEM WYSIWYG - це новий rich-редактор, що використовує код fckeditor, Finder - це плагін для пошуку даних, Count Per Day - це плагін для ведення статистики відвідувань.

• WordPress SEM WYSIWYG Arbitrary File Upload (деталі)
• WordPress Finder Cross Site Scripting (деталі)
• WordPress Count Per Day 3.2.3 Cross Site Scripting (деталі)

Користувачам даних плагінів варто або оновити їх, або власноруч виправити дірки. В якості тимчасового рішення, поки не будуть виправлені чи оновлені плагіни, можна їх виключити в адмінці.

За період 07.07.2011, 11.08.2011 та з 05.01.2012 по 13.07.2012 відбувся масовий взлом сайтів на сервері Adamant. Нещодавно я вже розповідав про інші масові взломи.

Був взломаний сервер української компанії Adamant. Взлом складався з серії взломів, частина з яких відбулася в той же час, що і згаданий масовий взлом сайтів на сервері Unlim.

Всього було взломано 299 сайтів на сервері української компанії Adamant (IP 91.205.16.134). Перелік сайтів можете подивитися на www.zone-h.org. Серед них український державний сайт ztums.gov.ua.

З зазначених 299 сайтів 2 сайти були взломані хакером Hasanixo, 1 сайт хакером The-HunTeR, 2 сайти хакером EGY VANDETTA, 1 сайт хакером Tr0janMasr, 286 сайтів хакером ikus4, 1 сайт хакером Hmei7, 1 сайт хакерами з Tetova Hackers Team, 2 сайти хакером Saudi Terrorist, 1 сайт хакером ZoRRoKiN, 1 сайт хакером iskorpitx та 1 сайт був взломаний хакером kaMtiEz.

Враховуючи велику кількість сайтів на одному сервері та короткий проміжок часу для дефейсу всіх 288 сайтів, немає сумнівів, що вони були взломані хакером ikus4 через взлом серверу хостінг провайдера (всі інші дефейси проводилися під час взломів окремих сайтів). Коли через взлом одного сайта, був отриманий root доступ до сервера (через уразливості в програмному забезпеченні самого сервера) та атаковані інші сайти на даному сервері.

В 2009 році я вже писав про те, як Mozilla виправляє дірки в своїх браузерах. Тоді Мозіла приховано виправила Cross-Site Scripting та Charset Remembering уразливості в браузері Firefox через UTF-7 (через протоколи gopher, http, https і ftp) - про ці уразливості я повідомив їм в 2007 (про XSS, а про Charset Remembering в 2009), а вони приховано їх виправили у вересні 2008 року.

Після чого я виявив нові уразливості й розробив PoC для демонстрації аналогічних XSS і Charset Remembering атак через інші кодування. Про це я повідомив Мозілі, але вона проігнорувала. Після чого, в березні 2009 року, я написав про ці атаки, а в червні цього року я оприлюднив XSS і Charset Remembering уразливості через кодування в різних браузерах.

І через 2,5 роки, після мого повідомлення Мозілі, в листопаді 2011 в MFSA 2011-47 вони виправили частину цих дірок (лише атаку через Shift-JIS), після того, як їм вже вкотре про це нагадали. А в квітні 2012 в MFSA 2012-24 вони виправили іншу частину дірок (через EUC-JP та інші кодування), після того, як їм вкотре нагадали про проблему атак через багатобайтні кодування.

При цьому, увесь цей час дані уразливості були в браузерах від Mozilla. Аналогічні дірки в тих чи інших кодуваннях були в IE та Opera. Так що проігнорувавши і не подякувавши мені, вони через 2,5-3 роки виправили ці дірки. Без жодних посилань на мене, але хоча б в своїх advisory про ці виправлення вони згадали.

А ось наступні дві уразливості були приховано виправлені Mozilla. Cross-Site Scripting уразливості в Mozilla та Firefox, яку я оприлюднив у липні 2009 року, і Cross-Site Scripting уразливість в Mozilla, Firefox та інших браузерах, яку я оприлюднив у серпні 2010 року, були проігноровані і не виправлені Мозілою. І ось на минулому тижні я вияснив, що в браузерах Firefox 10.0.7 і Firefox 15.0.1 дані уразливості були приховано виправлені Mozilla, без жодних офіційних повідомлень і посилань на мене. Після того, як десь на протязі 1998-2011 років вони тримали ці дірки в своїх браузерах. Як я детально перевірив у всіх гілках браузера з 3.0.19 до 15.0.1, в Mozilla Firefox 8.0.1 дані XSS працюють, а в 9.0.1 вже ні, тобто вони були приховано виправлені в версії 9.0.

Тобто компанія багаторазово продемонструвала несерйозний підхід до виправлення уразливостей в своєму браузері. І подібна ламерська поведінка Mozilla Foundation є дуже несерйозною, як й інших виробників браузерів, що займаються прихованим виправленням уразливостей (про такі випадки я вже писав раніше).

31.05.2012

У травні, 04.05.2012, під час пентесту, я виявив багато уразливостей в системі Інтернет-банкінгу IFOBS, зокрема Brute Force та Cross-Site Scripting. Це друга порція уразливостей в IFOBS, яка використовується багатьма українськими банками. Про що найближчим часом повідомлю розробникам системи.

Раніше я вже писав про уразливості в IFOBS.

Детальна інформація про уразливості з’явиться пізніше. Спочатку повідомлю розробникам.

18.09.2012

Це наступні 36 уразливостей в IFOBS: 2 BF та 34 XSS.

Brute Force (WASC-11):

В формі логіна консолі сертифікатів (http://site/ifobsClient/certmasterlogin.jsp) відсутній захист від підбору пароля (капча).

В формах перевірки статусу реєстрації та редагування реєстраційного профіля відсутній захист від підбору пароля (капча). Обидві форми розміщені на сторінці http://site/ifobsClient/regclientmain.jsp (їх ще можна викликати за адресами http://site/ifobsClient/regclientmain.jsp?myaction=getloginformForStatus і http://site/ifobsClient/regclientmain.jsp?myaction=getloginformForEdit) і вони використовують один і той же скрипт.

Cross-Site Scripting (WASC-08):

POST запит на сторінці http://site/ifobsClient/regclientmain.jsp параметрах: furtherAction, secondName, firstName, thirdName, BirthDay, BirthMonth, BirthYear, address, livePlace, passportSerial, passportNumber, PassportDay, PassportMonth, PassportYear, passportIssueAgency, tempDocSerial, tempDocNumber, DocDay, DocMonth, DocYear, idCodeNumber, CodeRegDay, CodeRegMonth, CodeRegYear, idCodeRegPlace, phone, email, pmcountry, pmnumber, keyword, password, bankAddress, bankContacts, typeclient.

Експлоіти для перших п’яти уразливостей (в параметрах furtherAction, secondName, firstName, thirdName, BirthDay):

IFOBS XSS-6.html

IFOBS XSS-7.html

IFOBS XSS-8.html

IFOBS XSS-9.html

IFOBS XSS-10.html

Розробники системи проігнорували і не виправили дані уразливості.

Після попереднього дослідження інфікованих сайтів, приведу нову інформацію про заражені сайти. З числа українських сайтів.

• http://locadm.gov.ua - інфікований державний сайт - інфекція була виявлена 12.08.2012. Зараз сайт не входить до переліку підозрілих.
• http://portovik.com.ua - інфекція була виявлена 30.08.2012. Зараз сайт не входить до переліку підозрілих.
• http://vesilja.at.ua - інфекція була виявлена 01.09.2012. Зараз сайт входить до переліку підозрілих.
• http://myhobby.vn.ua - інфекція була виявлена 21.07.2012. Зараз сайт не входить до переліку підозрілих.
• http://algol.in.ua - інфекція була виявлена 17.07.2012. Зараз сайт не входить до переліку підозрілих.