Websecurity - Веб безпека

Виявлені численні уразливості безпеки в Adobe Flash Player.

Уразливі продукти: Adobe Flash Player 11.3, AIR 3.3.

Пошкодження пам’яті, цілочисленні переповнення, витік інформації.

• VUPEN - Adobe Flash Player “Matrix3D” Integer Overflow Code Execution (APSB12-19) (деталі)
• Security updates available for Adobe Flash Player (деталі)

В даній добірці уразливості в веб додатках:

• McAfee Web Gateway URL Filtering Bypass (деталі)
• tekno.Portal 0.1b - SQLi Vulnerability in “anket.php” (деталі)
• Distimo Monitor 6.0 - Multiple Cross Site Vulnerabilities (деталі)
• ME Application Manager 10 - Multiple Web Vulnerabilities (деталі)
• RealNetworks Helix Server rn5auth Credential Parsing Remote Code Execution Vulnerability (деталі)
• ME Mobile Application Manager v10 - SQL Vulnerabilities (деталі)
• Flogr v2.5.6 & v2.3 - Cross Site Script Vulnerabilities (деталі)
• Joomla com_fireboard - SQL Injection Vulnerability (деталі)
• HP Business Service Management (BSM), Remote Unauthorized Disclosure of Information, Unauthorized Modification, Denial of Service (DoS) (деталі)
• Arasism (IR) CMS - File Upload Vulnerability (деталі)

Продовжуючи тему уразливостей в плагінах для WordPress, пропоную вам інформацію про дірки в інших плагінах для WP.

Цього разу повідомляю про уразливості в плагінах fckeditor, ShopperPress Theme та Monsters Editor. Для котрих з’явилися експлоіти. fckeditor - це rich-редактор для WP, ShopperPress Theme - це тема для WP, Monsters Editor - це новий rich-редактор, що використовує код fckeditor.

• Wordpress fckeditor Arbitrary File Upload Vulnerability (деталі)
• ShopperPress WordPress Theme 2.7 Cross Site Scripting (деталі)
• WordPress Monsters Editor Shell Upload (деталі)

Користувачам даних плагінів варто або оновити їх, або власноруч виправити дірки. В якості тимчасового рішення, поки не будуть виправлені чи оновлені плагіни, можна їх виключити в адмінці.

На початку лютого 2012 року я виявив цікавий метод атаки на веб сайт через mod-itk. Модуль для Apache mod_itk (mpm-itk) застосовується для покращення безпеки веб сервера. Він використовується на віртуальних хостінгах і його призначення - запуск веб сервера для кожного віртуального хоста під вказаним User і Group. І при невірній конфігурації веб сервера, це можна використати для атаки.

Цей модуль використовується на сервері мого хостера і у лютому я виявив значну проблему безпеки пов’язану з mod_itk (я звернув на неї увагу ще в січні, а в лютому детально дослідив цю нестандартну поведінку). І після мого повідомлення, хостер виправив конфігурацію для покращення безпеки.

Суть атаки полягає в тому, що при використанні на сервері mod_itk, можна редагувати файли навіть при правах 644 (чого не можна зробити при звичайних умовах, за виключенням файлів, згенерованих самим веб сервером). Тобто звичайні read-only файли зі стандартними правами 644 (що мають всі файли після завантаження їх по FTP) можна редагувати.

І відповідно у адмінках движків, що мають функції редагування (таких як WordPress), можна відредагувати будь-які файли, в тому числі й php-скрипти. Що призведе до виконання коду, якщо нападник отримає доступ до адмінки такого движка. При тому, що апріорі файли мали права, які повинні були захистити від даної атаки. Таким чином на сервері створюється бекдор. Це потрібно враховувати при використанні mod_itk (mpm-itk) на сервері.

У червні я повідомив про цю особливість mod-itk його автору і розробникам Apache. За словами автора модуля, подібна поведінка пов’язана з конфігурацією веб сервера (мій хостер зробив стандартні налаштування, а потрібно було спеціальним чином налаштувати веб сервер). Тому обов’язково вивчайте документацію при встановленні будь-якого модуля до веб сервера й особливо mod-itk, і робіть безпечні налаштування. Тоді у вас не виникнуть проблеми з безпекою.

За повідомленням www.xakep.ru, витік зашифрованих паролів із серверів Battle.net.

Компанія Blizzard повідомила, що 4 серпня 2012 року виявлений неавторизований і незаконний доступ у внутрішню мережу з боку невідомих зловмисників. Компанія якнайшвидше заблокувала цей канал і веде розслідування інциденту.

На жаль, хакери одержали доступ до персональної інформації користувачів, включаючи список електронної пошти всіх користувачів Battle.net за межами Китаю. А для північноамериканських серверів (звичайно там грають користувачі з Північної Америки, Південної Америки, Австралії, Південно-Східної Азії й інших регіонів) зловмисники одержали доступ до відповідей на секретні питання користувачів, а також до інформації від їхніх Mobile і Dial-In аутентификаторов. По оцінці компанії Blizzard, отриманої зловмисниками інформації недостатньо для авторизації під чужим акаунтом.

У травні сервери Battle.net Blizzard вже піддавалися атаці. Тоді це були взломи акаунтів окремих користувачів, а зараз вирішили взломати внутрішній сервер і викрасти дані по всім акаунтам.

За повідомленням portaltele.com.ua, Держоргани будуть зобов’язані підсилити захист своїх web-ресурсів.

Верховна Рада України зареєструвала законопроект, що зобов’яже держоргани підсилити захист власних веб сайтів. Автором документа є народний депутат від Партії Регіонів.

Для того щоб більш ефективно бороти з атаками хакерів, у Верховній Раді зареєстрований законопроект, після прийняття якого державні органи будуть зобов’язані поліпшити захист своїх веб-ресурсів.

За повідомленням bugtraq.ru, витік мільйона акаунтів.

Група Team GhostShell обнародувала інформацію про більш як мільйон акаунтів, зібраних із сотні сайтів - банківських, державних, тощо. Частина опублікованих даних містить кредитну історію користувачів, фрагменти файлів CMS. Судячи з їхнього вмісту, більша частина інформації була отримана за допомогою SQL Injection.

Після попереднього виявлення похаканих сайтів в моїх логах, приведу нову інформацію про взломані українських сайти. Що використовуються для атак (зокрема RFI атак) на інші сайти.

Похакані сайти в Уанеті:

• http://www.ua-personaltrainer.net (невідомим хакером) - 19.08.2012

Файли, що використовуються для RFI атак:

http://www.ua-personaltrainer.net/language/file/id.gif - файл все ще розміщений на сайті.

29.05.2012

У травні, 04.05.2012, під час пентесту, я виявив багато уразливостей в системі Інтернет-банкінгу IFOBS, зокрема Brute Force та Cross-Site Scripting. Це перша порція уразливостей в IFOBS, яка використовується багатьма українськими банками. Про що найближчим часом повідомлю розробникам системи.

Детальна інформація про уразливості з’явиться пізніше. Спочатку повідомлю розробникам.

14.09.2012

Це перші 38 уразливостей в IFOBS: 2 BF та 36 XSS.

Brute Force (WASC-11):

В формі логіна http://site/ifobsClient/loginlite.jsp відсутній захист від підбору пароля (капча).

В формі логіна http://site/ifobsClient/loginsecurity.jsp відсутній захист від підбору пароля (капча).

Cross-Site Scripting (WASC-08):

POST запит на сторінці http://site/ifobsClient/regclientprint.jsp в параметрах: secondName, firstName, thirdName, BirthDay, BirthMonth, BirthYear, address, livePlace, nationality, passportSerial, passportNumber, passportIssueAgency, PassportDay, PassportMonth, PassportYear, tempDocSerial, tempDocNumber, DocDay, DocMonth, DocYear, idCodeNumber, idCodeRegPlace, CodeRegDay, CodeRegMonth, CodeRegYear, phone, email, pmcountry, pmnumber, keyword, bankOblastSelect, bankCitySelect, bankRegionSelect, bankDepSelect, bankAddress, bankContacts.

Експлоіти для перших п’яти уразливостей (в параметрах secondName, firstName, thirdName, BirthDay, BirthMonth):

IFOBS XSS-1.html

IFOBS XSS-2.html

IFOBS XSS-3.html

IFOBS XSS-4.html

IFOBS XSS-5.html

Розробники системи проігнорували і не виправили дані уразливості.

У вересні, 06.09.2012, вийшла нова версія WordPress 3.4.2.

WordPress 3.4.2 це секюріті та багфікс випуск нової 3.4 серії. В якому розробники виправили декілька уразливостей та багів. А також зробили деякі секюріті покращення.

Про дірки сказано мало, згадується лише про потенційну privilege escalation та баг пов’язаний з мультисайтовими інсталяціями. Явно під секюріті покращеннями (security hardening) вони приховали виправлення деяких уразливостей, як це вони вже робили раніше.

Продовжуючи розпочату традицію, після попереднього відео про DoS через колізії хеш функцій в PHP, пропоную нове відео на веб секюріті тематику. Цього разу відео про DoS атаки через хеш функції BCrypt і SHA. Рекомендую подивитися всім хто цікавиться цією темою.

DDoS Hacking On Sites With Poorly Implemented BCrypt And SHA Hashing

В продовження минулого відео стосовно атак на хеш функції, пропоную новий ролик, причому цього разу атака відбувається без використання колізій хешів. В ролику розповідається про DoS атаку на веб сайти, де використовуються хеш функції BCrypt і SHA. При відправленні великого обсягу даних, що буде захешований, можна навантажити процесор сервера.

Атака відбувається під час відправлення спеціальних запитів веб серверу з веб додатками, що використовують такі хеш функції, як BCrypt і SHA. Рекомендую подивитися дане відео для розуміння векторів атак на сайти.

В даній добірці уразливості в веб додатках:

• HP Data Protector Express Opcode 0×320 Parsing Remote Code Execution Vulnerability (деталі)
• Sistem Biwes Multiple Vulnerability (деталі)
• rtfm security update (деталі)
• otrs2 security update (деталі)
• HP Data Protector Express Opcode 0×330 Parsing Remote Code Execution Vulnerability (деталі)
• typo3-src security update (деталі)
• Security advisory for Bugzilla 4.3.3, 4.2.3, 4.0.8 and 3.6.11 (деталі)
• Multiple Vulnerabilities in Scrutinizer NetFlow & sFlow Analyzer (деталі)
• Squid URL Filtering Bypass (деталі)
• CodeIgniter <= 2.1.1 xss_clean() Cross Site Scripting filter bypass (деталі)