Websecurity - Веб безпека

В липні відбувся новий масовий взлом сайтів на сервері HostPro. Він тривав на протязі 2008 - 2012 років: від 28.01.2008 до 02.08.2012. Шостий масовий взлом сайтів на сервері HostPro відбувся раніше.

Був взломаний сервер української компанії HostPro. Взлом складався з багатьох невеликих дефейсів по одному або декілька сайтів.

Всього було взломано 50 сайтів на сервері хостера HostPro (IP 193.169.189.62). Це наступні сайти: reception.od.ua, www.lis.gov.ua, yunykphoto.com, your-amber.com, webka.kiev.ua, yogavajra.com, skp-studio.com, kolgotki-trusiki.org.ua, djzorro.org.ua, remont-pod-kluch.kiev.ua, bez-sigaret.com, ilark.com.ua, champion.kiev.ua, offset.kiev.ua, vitaline.kiev.ua, kievkids.net, arocars.org, drukarnya.in.ua, elitbud.kiev.ua, evgenia.com.ua, gvindor.com, kradenkov.info, techltdua.com, sb66.com.ua, ua-pr.com, bugaz.od.ua, grow-in-web.net, weddingphoto.com.ua, y-style.com.ua, wakeschool.com.ua, advokat.lviv.ua, www.topmebel.com.ua, webkiev.com, karnizy.com, www.domix.biz, www.fada.com.ua, www.isygen.com, www.domix.biz, www.vip-people.org, www.saaber.in.ua, www.compromat.in.ua, kendo.kiev.ua, a-music.com.ua, www.expertsoft.com.ua, polyforum.info, kdnbc.co.ua, kharkovdnb.co.ua, group.kharkovdnb.co.ua, www.modzzone.com. Серед них український державний сайт www.lis.gov.ua, що був взломаний двічі - в минулому і поточному році.

З зазначених 50 сайтів 1 сайт був взломаний хакером ExE.Ps, 1 сайт хакером Z4X, по 2 сайти хакерами prince_dz, ashiyane digital security team, HiTLEr 737, 7 сайтів хакером Dr.Tmnetk, 6 сайтів хакером fahad, 2 сайти хакером alwahsh, 3 сайти хакерами з TeaM AlQraSna Al3rab, 6 сайтів хакером CoOL BoY, по 1 сайту хакерами Original Dz, ahmdosa hacker, iskorpitx, Fatal Error, Injector, Abu-Slman, Red Eye, IndonesiaCoder Team, ByES-TIM, 3 сайти хакером 3RqU, 5 сайтів хакером Body Null та 1 сайт хакером M3rhametsiz.

Всі невеликі дефейси по одному або декілька сайтів явно були зроблені при взломах окремих сайтів. Також не виключена можливість використання уразливостей на сервері для доступу до інших сайтів.

25.07.2012

Продовжу тему безпеки секюріті сайтів, яку я піднімав в попередніх записах Безпека сайтів про безпеку (1-20), 21 та 22.

Ось нова добірка уразливих секюріті сайтів:

• iss.incom.ua
• security-testlab.com
• zpd.gov.ua

Всім секюріті фірмам та державним органам з питань безпеки слід приділяти більше уваги безпеці власних веб сайтів.

05.10.2012

Ще одна добірка уразливих секюріті сайтів:

• www.8.uisgcon.org
• iss.incom.ua та it-consulting.incom.ua
• www.cisco.com

Всім секюріті фірмам та організаторам конференцій на тему безпеки слід приділяти більше уваги безпеці власних веб сайтів.

29.12.2011

У жовтні, 20.10.2011, я знайшов Insufficient Anti-automation та Denial of Service уразливості на http://incom.ua - сайті секюріті компанії Інком. Дані уразливості є також на інших сайтах Інкома (на всіх піддоменах incom.ua, де використовується Джумла). Про що найближчим часом детально сповіщу адміністрацію сайта.

Раніше я вже писав про уразливості на it-consulting.incom.ua.

Детальна інформація про уразливості з’явиться пізніше. Треба дати час адмінам на реакцію з цього приводу.

04.10.2012

Insufficient Anti-automation:

http://incom.ua/images/CaptchaSecurityImages.php?width=150&height=100&characters=2

DoS:

http://incom.ua/images/CaptchaSecurityImages.php?width=1000&height=9000

Вказавши великі значення width і height можна створити велике навантаження на сервер.

Дані уразливості досі не виправлені. Дірки в CaptchaSecurityImages - першу з них я оприлюднив ще в жовтні 2008, а другу оприлюднив в березні 2010. Але ні з часу мого оприлюднення дірок в цьому веб додатку та великій кількості веб додатків, що його використовують, ні після мого повідомлення адмінам Інкому, вони так і не виправили ці та багато інших уразливостей (на головному сайті та на всіх інших своїх сайтах).

За повідомленням www.xakep.ru, виявлена універсальна MitB-атака.

Компанія Trasteer знайшла “новий” спосіб викрадання приватних даних, який вона назвала “універсальною MitB-атакой” (Man-in-the-Browser). Як працює дана атака показано на відео.

За повідомленням ain.ua, донецька податкова оштрафувала інтернет-магазин за розрахунки доларами в WebMoney.

Співробітники податкової міліції в Донецьку оштрафували один з інтернет-магазинів за незаконне використання системи WebMoney. Претензії були як за проведення розрахунків у доларах (WMZ), так і за саме використання WebMoney. Загальна сума недонарахованих у бюджет коштів склала 400 тисяч грн.

У квітні в Києві податкова вже проводила обшуки в офісних приміщеннях онлайн магазинів Rozetka.ua і Sokol.ua. І цей новий випадок - це продовження цієї лінії ДПС. Додатковою причиною до закриття сайтів через обшук податкової чи штрафів від ДПС, окрім раніше згаданих причин, може бути й використання WebMoney, зокрема доларів (WMZ).

В тому числі це може й трапитися через взлом будь-якого е-комерс сайта і розміщення на ньому інформації про прийом електронних грошей (WebMoney чи інших), зокрема в доларах. Навіть якщо сам онлайн-магазин (чи будь-який інший е-комерс сайт) офіційно їх не приймає. Це є черговою причиною для всіх адмінів і власників е-комерс сайтів слідкувати за безпекою власних ресурсів, щоб не потрапити у таку ситуацію - щоб не було ні зайвих перевірок, ні закриття сайтів, ні штрафів.

За повідомленням www.xakep.ru, Яндекс почав платити за уразливості.

Як й деякі інші фірми, компанія “Яндекс” теж оголосила про введення програми по пошуку уразливостей з виплатою винагород. Програма називається “Полювання за помилками”.

Грошові призи складають від 3000 до 30000 руб., у залежності від серйозності виявленої уразливості. В особливих випадках розмір нагороди може бути збільшений. Взяти участь у програмі можуть хакери з будь-якої країни.

Раніше Яндекс недостатньо слідкував за безпекою своїх сайтів - про уразливості на яких я писав багато в попередні роки. Подивимося як компанія буде це робити зараз.

Після попереднього дослідження інфікованих сайтів, приведу нову інформацію про заражені сайти. З числа українських сайтів.

• http://ideatrio.com.ua - інфекція була виявлена 09.09.2012. Зараз сайт не входить до переліку підозрілих.
• http://politologs.org.ua - інфекція була виявлена 09.07.2012. Зараз сайт не входить до переліку підозрілих.
• http://kdc.kiev.ua - інфекція була виявлена 30.09.2012. Зараз сайт входить до переліку підозрілих.
• http://dana-kiev.com.ua - інфекція була виявлена 16.09.2012. Зараз сайт не входить до переліку підозрілих.
• http://waldorf.in.ua - інфекція була виявлена 07.09.2012. Зараз сайт не входить до переліку підозрілих.

В даній добірці уразливості в веб додатках:

• Squid URL Filtering Bypass (деталі)
• ocPoral CMS 8.x | Cross Site Request Forgery (CSRF) Vulnerability (деталі)
• McAfee Web Gateway URL Filtering Bypass (деталі)
• ocPoral CMS 8.x | Session Hijacking Vulnerability (деталі)
• Vulnerabilities in expat (деталі)
• Admidio 2.3.5 Multiple security vulnerabilities (деталі)
• Cyberoam advisory (деталі)
• Group-Office Calendar SQL Injection (деталі)
• Avaya IP Office Customer Call Reporter ImageUpload Remote Code Execution Vulnerability (деталі)
• eFront Educational v3.6.11 - Multiple Web Vulnerabilities (деталі)

У вересні була виявлена та оприлюднена Cross-Site Request Forgery уразливість в WordPress. Яка стосується останньої версії WP. Вона була знайдена Akastep.

Раніше я вже писав про XSS, Redirector та CSRF уразливості в WordPress.

CSRF:

Дана уразливість в /wp-admin/index.php дозволяє відправити міжсайтовий запит залогіненому адміну та змінити RSS лінку на дошці оголошень.

• WordPress 3.4.2 Cross Site Request Forgery (деталі)

Уразливі WordPress 3.4.2 та попередні версії.

Продовжуючи традицію, пропоную вашій увазі цікаві секюріті статті. Щоб ви поповнювали свої знання з веб безпеки.

Добірка цікавого чтива на тему безпеки, в тому числі web security (статті з Вікіпедії):

• BeEF
• Cross-origin resource sharing
• Timeline of computer security hacker history
• IT risk
• Information security

В підсумках хакерської активності в Уанеті в 1 півріччі 2012 я зазначав, що всього за цей період я виявив 98 інфікованих сайтів в Уанеті. Дані сайти хостилися на серверах різних хостінг провайдерів, як українських, так і закордонних.

Пропоную вам звіт про результати мого дослідження хостінгів, які розміщували інфіковані сайти в першому півріччі 2012 року. Багато з цих хостінг провайдерів робили це і минулого року. Щоб і хостери і Інтернет користувачі знали найбільших розповсюджувачів шкідливого програмного забезпечення (через інфіковані сайти).

В першому півріччі цього року наступні хостінг провайдери розміщували на своїх серверах інфіковані сайти: 1GB LLC, Adamant, Autocenter, BSB Service, Besthosting, Black Sea, CaroNet, Cityhost, Citynet, Colocall, Compubyte Limited, Crimea Internet Services, Datagroup, Delta-X, Dream Line, Freehost, Golden Telecom, Goodnet, Hetzner, HomeUA, Hvosting, Inetmar, Internet-Hosting, Keyweb Online, Lancom, Limestone Networks, Master-Service, MiroHost, NAU, Root, STC Energy, Service Online, SteepHost, Tangram Ukraine, Taras Shevchenko University of Kyiv Network, Terabit, Triolan, UARNet, UN, Ukrainehosting, Ukrnames, Volia, VolumeDrive, Webalta, Wnet, iHome, Візор, Укртелеком.

Найбільші інфіковані хостери (TOP-10):

1. Delta-X - 7 сайтів
2. Adamant - 6 сайтів
3. MiroHost - 5 сайтів
4. UARNet - 4 сайтів
5. Compubyte Limited - 4 сайтів
6. Besthosting - 4 сайтів
7. Internet-Hosting - 4 сайтів
8. Volia - 3 сайтів
9. Freehost - 3 сайтів
10. Укртелеком - 3 сайтів

Всього було виявлено хостінги 91 сайта з 98. У випадку інших 7 сайтів визначити хостінги не вдалося, тому що в даний момент ці сайти вже не працювали (вони явно були закриті через розміщення malware на цих ресурсах).

Виявлені уразливості безпеки в Apache.

Уразливі версії: Apache 2.4.

Підвищення привілеїв через динамічні бібліотеки, міжсайтовий скриптінг у mod_negotiation.

Раніше вже були XSS і HTTP Response Splitting уразливості у mod_negotiation, а зараз знайдена нова дірка в цьому модулі.

• Vulnerabilities in Apache (деталі)