Архів за Жовтень, 2012

Content Spoofing атаки: Content Injection та Site Injection

23:55 31.10.2012

Пропоную вам другу статтю на тему Content Spoofing атак, в якій розповім про просунутий Content Spoofing (Advanced Content Spoofing). Якщо в першій статті про Content Spoofing атаки, я навів два простих різновиди CS атак - Link Injection та Text Injection, то зараз я розповім про просунутий CS. Це повна заміна контенту.

Якщо у Link Injection та Text Injection уразливостях відбувалася часткова підміна вмісту, то в у випадку даних уразливостей має місце повна заміна контенту. Просунутий Content Spoofing можна розділити на два різновиди: Content Injection (включення різного медійного контенту) і Site Injection (включення цілого сайта).

Зазначу, що Content Injection атаки можливі як при включенні до html сторінок (якщо веб додаток дозволяє включення зображень чи інших медійних файлів з інших сайтів), так і до флеш файлів. А Site Injection атаки насамперед можливі при включенні до флеш файлів. Всі приклади я наведу стосовно атак на flash додатки.

Content Injection.

Content Injection атаки передбачають включення різного медійного вмісту з зовнішнього сайта. Такого як зображення, відео, аудіо, флеш. Окрім цього можливе включення лінків або тексту. Але якщо у попередніх різновидах CS це був основний напрямок атаки, то у випадку комплексної атаки, включення лінків і тексту - це лише додатковий елемент для більш повного контролю над вмістом. Атака призводить до заміни контенту в рамках окремого елементу сайта (наприклад, флеш відео плеєра).

Хорошим прикладом Content Injection є уразливості у флеш відео плеєрах, про які я писав за останні два роки. Таких плеєрів як FLV Player, flvPlayer, JW Player і JW Player Pro. Зокрема лише одних флешек JW Player, за інформацією Google, в Інтернеті існує близько 7,7 мільйонів.

Підміна вмісту плеєра в FLV Player:

http://site/player_flv.swf?flv=http://attacker/1.flv&startimage=http://attacker/1.jpg

Через всі ці плеєри можна проводити підміну окремих параметрів, так і комплексну атаку для підміни одразу багатьох параметрів. Щоб повністю контролювати вміст флеш відео плеєру. В FLV Player підтримується файл конфігурації в форматах xml і txt, а в flvPlayer, JW Player, JW Player Pro в форматі xml. А також деякі плеєри підтримують файли плейлістів та скіни (FLV Player підтримує jpg-скіни, а обидві версії JW Player підтримують swf-скіни).

Для обох версій JW Player підміна вмісту через файл конфігурації буде виглядати наступним чином:

http://site/jwplayer.swf?config=http://attacker_site/1.xml

Вміст файлу 1.xml:

<config>
  <file>1.flv</file>
  <image>1.jpg</image>
</config>

Site Injection.

Site Injection - це включення цілого сайта в інший сайт. Дана атака призводить до повної заміни контенту сайта (до його повного дефейсу). Вона відбувається через підміну файла конфігурації флешки (в форматі xml), подібно до вищеописаних атак на флеш відео плеєри. В даному випадку відбувається повний контроль не лише над плеєром, а над цілим сайтом (зокрема флеш сайтом).

Можливі два варіанта атаки:

1. Коли можна вказати флешку для включення з зовнішнього сайта (тобто file.swf виступає контейнером, в який завантажується основний вміст флеш-сайта):

http://site/file.swf?content=http://attacker/1.swf

Прикладом такої уразливості є Remote Flash Inclusion на www.banner.kiev.ua знайдена мною 26.04.2009.

2. Коли можна вказати файл конфігурації з зовнішнього сайта:

http://site/file.swf?config=http://attacker/1.xml

Приклад такої уразливості я знайшов 26.01.2011 на сайті ionsky.com.sg. Для атаки потрібно створити xml-файл конфігурації подібний до http://ionsky.com.sg/xml/site.xml.

http://ionsky.com.sg/main.swf?siteXML=http://attacker/1.xml

В файлі конфігурації можна вказати адреси всіх необхідних ресурсів (swf, музика, зображення і текст), що будуть міститися на сайті нападника (деякі ресурси можна взяти навіть з основного сайта). І таким чином повністю підмінити контент сайта.

Дані Content Spoofing уразливості можуть використовуватися для фішинга та інших атак. В деяких випадках можливі XSS атаки.

Уразливість в Apache

22:44 31.10.2012

19.06.2012

У травні, 19.05.2012, я знайшов Information Leakage уразливість в веб сервері Apache. Про що найближчим часом повідомлю розробникам Apache httpd.

Раніше я вже писав про уразливість в Apache.

Детальна інформація про уразливість з’явиться пізніше. Спочатку повідомлю розробникам додатку.

31.10.2012

Information Leakage:

В функціоналі Apache Server Status відбувається витік інформації - зокрема про запити до сервера (до всіх віртуальних хостів на ньому), при включеному ExtendedStatus. Про цей функціонал мені відомо ще з 2001 року, але лише в цьому році я дослідив його з точки зору безпеки.

http://site/server-status/

Також можуть використовуватися параметри notable, auto і refresh.

Цей функціонал знаходиться в модулі mod_status. По замовчуванню він відключений, але випадково чи навмисно (не розуміючи секюриті ризиків) він може бути включений та ще й без обмежень по IP для доступу до статусу. Папка /server-status/ - це шлях по замовчуванню і він може бути змінений в httpd.conf (але в основному використовується саме цей шлях).

Окрім Information Leakage також можлива DoS атака, якщо включена директива ExtendedStatus (доступна починаючи з Apache 1.3.2). Зазначу, що починаючи з версії 2.3.6 включення mod_status призводить до включення ExtendedStatus по замовчуванню. На можливість навантажити сервер при включеному ExtendedStatus звертають увагу і розробники в документації. Це при тому, що Server Status включений (і публічно доступний) на офіційному сервері Apache та ще й з розширеним статусом. Тобто самі вони не стали на це звертати увагу і проігнорували моє звернення про включений і публічно доступний Server Status у них на сервері та необхідність обмежити доступ до нього паролем (для виправлення IL уразливості в mod_status, а також захисту від DoS атак).

http://apache.org/server-status/

Уразливі Apache 1.1 - 2.4.3, що включають mod_status.

Лише в Гуглі (на запит intitle:”Apache Status”) можна знайти біля 5030 проіндексованих сайтів, частина з яких - це сторінки server-status (реальна кількість таких сайтів в Інтернеті значно більша).

Похакані сайти №207

20:19 31.10.2012

Після попереднього дослідження похаканих сайтів, приведу нову інформацію про взломані сайти. З числа українських сайтів.

  • http://reskomstroy.ark.gov.ua (хакером Dr-TaiGaR) - 26.08.2012 - похаканий державний сайт, зараз сайт вже виправлений адмінами
  • http://reskomtrans.ark.gov.ua (хакером Dr-TaiGaR) - 26.08.2012 - похаканий державний сайт, зараз сайт вже виправлений адмінами
  • http://minenergy.ark.gov.ua (хакером NeT-DeViL) - 26.08.2012 - похаканий державний сайт, зараз сайт вже виправлений адмінами
  • http://doroga-zhizni.com (хакером ynR)
  • http://www.britishcouncil.dn.ua (хакером Ops507) - 02.09.2012, зараз сайт вже виправлений адмінами

Численні уразливості в Oracle Java та OpenJDK

18:27 31.10.2012

Виявлені численні уразливості безпеки в Oracle Java та OpenJDK.

Уразливі продукти: Oracle JRE 6, JDK 6, JRE 7, JDK 7.

Знайдено 30 різних уразливостей.

  • HP-UX Running Java, Remote Indirect Vulnerabilities (деталі)
  • Oracle Java Font Processing Glyph Element Memory Corruption Vulnerability (деталі)
  • Oracle Java Font Processing “maxPointCount” Heap Overflow Vulnerability (деталі)
  • Oracle Java SE Critical Patch Update Advisory - October 2012 (деталі)

URL Spoofing в Opera

23:51 30.10.2012

Продовжуючи розпочату традицію, після попереднього відео про URL Spoofing в Mozilla Firefox, пропоную нове відео на веб секюріті тематику. Цього разу відео про URL Spoofing в Opera. Рекомендую подивитися всім хто цікавиться цією темою.

Opera Address Bar Spoofing

В ролику демонструється Address Bar Spoofing уразливість в браузері Opera. Спочатку в адресному рядку відображується одна адреса, потім у цьому самому вікні відображується інша адреса та сторінка іншого сайта, при цьому залишається іконка від попереднього сайта. Хоча це значно менша підробка ніж у подібних уразливостях в інших браузерах, але це може бути використано для фішинга.

Атака відбувається при відвідуванні в Opera спеціально створеного веб сайта, що містить код експлоіту. Рекомендую подивитися дане відео для розуміння векторів атак на браузери.

Уразливості в плагінах для WordPress №74

22:45 30.10.2012

Продовжуючи тему уразливостей в плагінах для WordPress, пропоную вам інформацію про дірки в інших плагінах для WP.

Цього разу повідомляю про уразливості в плагінах Better WP Security, Slideshow та Archin. Для котрих з’явилися експлоіти. Better WP Security - це секюріті плагін для движка, Slideshow - це плагін для створення слайдшоу, Archin - це комерційна (преміум) тема движка.

  • Better WP Security v3.4.3 Wordpress - Web Vulnerabilities (деталі)
  • Multiple Vulnerabilities in Wordpress Slideshow Plugin (деталі)
  • WordPress Archin Theme Unauthenticated Configuration Access (деталі)

Користувачам даних плагінів варто або оновити їх, або власноруч виправити дірки. В якості тимчасового рішення, поки не будуть виправлені чи оновлені плагіни, можна їх виключити в адмінці.

Жовтневий вівторок патчів від Microsoft

20:27 30.10.2012

У жовтні місяці Microsoft випустила 7 патчів. Що більше ніж у вересні.

У жовтневому “вівторку патчів” Microsoft випустила черговий пакет оновлень, до якого увійшло 7 бюлетенів по безпеці. Що закривають 20 уразливостей в програмних продуктах компанії. Один патч закриває дві критичні уразливості і шість патчів закривають важливі уразливості.

Дані патчі стосуються всіх поточних операційних систем компанії Microsoft - Windows XP, 2003, Vista, 2008, 7 та 2008 R2. А також Microsoft Word, SQL Server, Works та FAST Search Server.

Добірка уразливостей

18:06 30.10.2012

В даній добірці уразливості в веб додатках:

  • HP StorageWorks File Migration Agent RsaFTP.dll Remote Code Execution Vulnerability (деталі)
  • Cross-Site Scripting (XSS) Vulnerabilities in Flogr (деталі)
  • Multiple Vulnerabilities in TorrentTrader 2.08 (деталі)
  • Atlassian Confluence Wiki XSS Vulnerability (деталі)
  • HP StorageWorks File Migration Agent RsaCIFS.dll Remote Code Execution Vulnerability (деталі)
  • Vbulletin (blog_plugin_useradmin) v4.1.12 Sql Injection Vulnerability (деталі)
  • Axis VoIP Manager v2.1.5.7 - Multiple Web Vulnerabilities (деталі)
  • NeoBill CMS v0.8 Alpha - Multiple Web Vulnerabilities (деталі)
  • Microsoft Windows Unauthorized Digital Certificates (деталі)
  • Switchvox Asterisk v5.1.2 - Multiple Web Vulnerabilities (деталі)

Інфіковані сайти №138

22:49 29.10.2012

Після попереднього дослідження інфікованих сайтів, приведу нову інформацію про заражені сайти. З числа українських сайтів.

  • http://selfremember.net - інфекція була виявлена 01.09.2012. Зараз сайт не входить до переліку підозрілих.
  • http://ofinans.com.ua - інфекція була виявлена 16.08.2012. Зараз сайт не входить до переліку підозрілих.
  • http://kvvaiu.net - інфекція була виявлена 14.10.2012. Зараз сайт входить до переліку підозрілих.
  • http://radioera.com.ua - інфекція була виявлена 26.09.2012. Зараз сайт не входить до переліку підозрілих.
  • http://tuare.org.ua - інфекція була виявлена 25.10.2012. Зараз сайт не входить до переліку підозрілих.

Вийшов Mozilla Firefox 16.0.2

20:05 29.10.2012

У жовтні, 27.10.2012, вийшов Mozilla Firefox 16.0.2. Нова версія браузера вийшла через 18 днів після виходу Firefox 16 і через 15 днів після виходу попереднього коригувального релізу Firefox 16.0.1, і в ній виправлені три уразливості.

Доступні коригувальні випуски Firefox 16.0.2 і Firefox 10.0.10 з виправленням трьох критичних уязвимостей, пов’язаних з можливістю некоректного використання об’єкта Location. Зокрема усунута недоробка, що дозволяє здійснити підстановку фіктивного значення window.location і зробити обхід обмежень cross origin policy.

Це вже вдруге в цьому місяці Мозіла випускає виправлення для останньої версії Firefox 16, яку вони не спромоглися випустити якісно. І тепер поспішно латають перед випуском наступної мажорної версії браузера.

  • Обновление Firefox 16.0.2 и 10.0.10 с устранением уязвимостей (деталі)