Архів за Листопад, 2012

Уразливості в плагінах для WordPress №81

23:52 30.11.2012

Продовжуючи тему уразливостей в плагінах для WordPress, пропоную вам інформацію про дірки в інших плагінах для WP.

Цього разу повідомляю про уразливості в плагінах Wordpress Brute Force Tool, WP E-Commerce та Tagged Albums. Для котрих з’явилися експлоіти. Wordpress Brute Force Tool - це інструмент для проведення брутфорс атак на Wordpress, WP E-Commerce - це плагін для створення онлайн магазину, Tagged Albums - це плагін для створення фото альбомів з тегами.

  • Janissaries Wordpress Brute Force Tool (деталі)
  • WordPress WP E-Commerce 3.8.9 SQL Injection / Cross Site Scripting (деталі)
  • WordPress Tagged Albums SQL Injection (деталі)

Користувачам даних плагінів варто або оновити їх, або власноруч виправити дірки. В якості тимчасового рішення, поки не будуть виправлені чи оновлені плагіни, можна їх виключити в адмінці.

Включення бекдорів у веб додатки

22:45 30.11.2012

На тему бекдорів я вже писав в 2011 році в статті Розміщення шелів (бекдорів) на сайтах. Тоді я описав три методи, яким чином шели (бекдори) можуть бути розміщенні на сайті. В інтернеті існує багато сайтів на яких розміщені бекдори.

За звичай подібні скрипти розміщуються на сайтах після їх взлому. Але існує ще інший напрямок потрапляння бекдорів - через веб додатки. І якщо створення дірявого коду, який дозволяє віддалене виконання коду не є безпосередньо бекдором (хоча подібні дірки жартома так можуть обізвати), то навмисне впровадження подібного скрипта у веб додаток - це вже безпосередньо бекдор. І ось про це я розповім у даній статті.

Зараження веб додатків бекдорами - це поширене явище, яке з кожним роком стає більш масштабним. І окрім веб додатків, воно також стосується звичайних програм та ОС. Тому це актуальна проблема ІБ, особливо це стосується безпеки в Інтернеті. При зараженні веб додатку таким кодом, бекдор може розповсюджуватися на численні сайти - чим більш популярним є програма, тим більше сайтів можуть стати жертвами такої прихованої атаки.

Основні шляхи потрапляння бекдору у веб додаток:

1. Розміщення самим розробником. В опенсорс додатках такий код, за звичай, швидко виявляється, тому опенсорс розробники таким не займаються (зате вони нерідко роблять критичні уразливості в своїх додатках, що приводять до аналогічних наслідків). А ось розробники закритого ПЗ можуть собі це дозволити і нерідко знаходяться такі бекдори в комерційних закритих програмах.

2. Взлом сайту веб розробника і впровадження бекдору в дистрибутив програми. Щоб всі, хто викачає даний веб додаток, отримали бекдор “в подарунок”.

Зупинюся більш детально на другому напрямку поширення такого коду, який є типовим для опенсорс ПЗ. Ось декілька прикладів впровадження бекдору, що вже мали місце.

Випадки впровадження бекдору у веб додатках:

Випадки впровадження бекдору у відкритих операційних системах:

Також бекдори нерідко трапляються в експлоітах. Про що я писав в статті Небезпека готових експлоітів. Подібно до того, як нерідко віруси і трояни розміщуються у креках для комерційних програм.

У вищезгаданій статті про розміщення шелів на сайтах я дещо торкнувся засобів пошуку бекдорів (про подібні програми я неодноразово писав в новинах). І в наступній статті я детально зупинюся на аспекті пошуку бекдорів.

Обхід захисту в mod_security для Apache

20:08 30.11.2012

Виявлена можливість обходу захисту в mod_security для Apache. Це тисячний випадок обходу захисту в mod_security.

Цього року я вже писав про обхід захисту в Apache mod_security. Подібні методи постійно виявляються, сам розробив чимало методів обходу WAF, в тому числі mod_security. Тобто це звичайна ситуація для WAF, що їх захисні фільтри обходяться (не кажучи, що вони апріорі не захищають від всіх атак).

Уразливі версії: ModSecurity 2.6.

Можливо обійти фільтрацію через подвійний \r в ідентифікаторі границі частини.

  • ModSecurity multipart/invalid part ruleset bypass (деталі)

Добірка експлоітів

17:24 30.11.2012

В даній добірці експлоіти в веб додатках:

  • Network Shutdown Module 3.21 Remote PHP Code Injection (деталі)
  • Oracle Business Transaction Management FlashTunnelService Remote Code Execution (деталі)
  • Avaya IP Office Customer Call Reporter Command Execution (деталі)
  • Internet Explorer 9 XSS Filter Bypass (деталі)
  • Microsoft IIS 5.0/6.0 FTP Server (Stack Exhaustion) Denial of Service (деталі)

Новини: витік 100000 паролів, заборона сайтів Google та бекдор в Piwik

22:44 29.11.2012

За повідомленням www.xakep.ru, витік 100000 паролів IEEE відбувся через “аномалію” проксі.

Наприкінці вересня румунський хакер Раду Драгусін знайшов близько 100 тис. імен користувачів шановної організації Institute of Electrical and Electronics Engineers (IEEE), з паролями у форматі plaintext, у логах на публічно доступному FTP за адресою ftp://ftp.ieee.org/uploads/akamai/. Одержавши 100 гігабайт логів, він витяг звідти корисні дані й опублікував результати, хоча відмовився викласти у відкритий доступ вихідні файли.

Фахівці IEEE швидко усунули уразливість, видаливши логи з відкритого доступу. При цьому вони пояснили витік логів з логінами і паролями “аномалією” проксі.

За статистикою хакера, серед працівників IEEE п’ятьма найбільш вживаними паролями були:

  • 123456
  • ieee2012
  • 12345678
  • 123456789
  • password

За повідомленням www.vedomosti.ru, Google знову заборонили в Росії.

Нещодавно чергова IP-адреса компанії Google потрапила у російські “чорні списки” сайтів із забороненою інформацією, третій за останній тиждень. Цього разу заборонили IP-адресу блог-сервісу blogspot.com, на якому, серед іншого, зберігаються користувацькі файли поштових скриньок Gmail.com.

Google став регулярним гостем списку сайтів із забороненою інформацією zapret-info.gov.ru, що запрацював з 1 листопада. На початку минулого тижня у нього на кілька годин потрапила адреса служби пошуку картинок, у середині тижня на кілька годин заборонили найбільший відео-хостинг світу YouTube. А в неділю ввечері влада заблокувала IP-адресу 173.194.71.132. Вона належить сервісу блогів blogspot.com, яким володіє Google.

І хоча Роскомнадзор пояснив цей інцидент програмним збоєм, але систематичне попадання сайтів Гугла до Російського реєстру сайтів із забороненою інформацією дуже показове. Блокують цілій IP лише за один сайт зі шкідливим змістом (сервіс картинок заборонили через дитячу порнографію, YouTube - через пропаганду самогубств, а blogspot.com - за інформацію про наркотики), але це говорить, що Гугл весь час погано слідкує зі контентом на своїх сервісах. Зокрема вже давно виявляють malware на сайтах Гугла - ще у 2009 році я писав про інфекції на google.com та blogspot.com.

За повідомленням www.xakep.ru, бекдор у системі веб-аналітики Piwik.

Користувачі Open Source пакета для веб-статистики і аналітики Piwik звернули увагу на проблему з безпекою. Повідомлення про це опубліковано в Seclists увечері 26 листопада. У свіжому архіві Piwik 1.9.2 у файлі /piwik/core/Loader.php виявлено підозрілий код. Який зашифрований, але після дешифрування виявилося, що це бекдор.

Після інформування, розробники оперативно усунули проблему. Вони пояснили, що зловмисник взломав сервер Piwik.org за допомогою уразливого плагіна WordPress і впровадив шкідливий код в один із програмних файлів. Подібні випадки включення бекдорів вже траплялися з phpMyAdmin та іншими популярними опенсорсними програмами.

Сайти для пошуку хешей паролів №4

19:10 29.11.2012

Продовжу розповідати вам про сайти для пошуку хешей паролів.

Якщо перед цим я розподав про сервіси для пошуку MySQL хешей, то зараз розповім вам про сервіси для пошуку LanMan і NTLM хешей. В Інтернеті існують веб сайти для пошуку LM і NTLM хешей (як й інших хешей). Тобто вони призначені для взлому LM і NTLM хешей, зокрема хешей паролів, щоб по хешу отримати його значення.

Сайти для пошуку LM та NTLM хешей:

  • http://www.c0llision.net (lm, ntlm, md5 та md5(md5()) хеші)
  • http://www.onlinehashcrack.com (md5, lm, ntlm та інші хеші)
  • http://www.md5decrypter.co.uk/ntlm-decrypt.aspx
  • http://www.cmd5.org (md5, sha1, mysql, ntlm та інші хеші)
  • http://www.cmd5.ru (md5, sha1, mysql, ntlm та інші хеші)

В подальшому я продовжу наводити перелік подібних сайтів.

Добірка уразливостей

16:21 29.11.2012

В даній добірці уразливості в веб додатках:

  • Novell eDirectory RelativeToFullDN Parsing Remote Code Execution Vulnerability (деталі)
  • NetCat CMS v5.0.1 - Multiple Web Vulnerabilities (деталі)
  • PG Dating Pro v1.0 CMS - Multiple Web Vulnerabilities (деталі)
  • VaM Shop v1.69 - Multiple Web Vulnerabilities (деталі)
  • GE Proficy Real-Time Information Portal Remote Interface Service Remote Code Execution Vulnerability (деталі)
  • XSS in dokeos 2.1.1 (деталі)
  • EmpireCMS Template Parser Remote PHP Code Execution Vulnerability (деталі)
  • AwAuctionScript (Aw Auction Script - Market Place for WebMasters) Multiple Vulnerabilities (деталі)
  • Lsoft ListServ v16 (WA revision R4241) SHOWTPL parameter Cross-SIte Scripting - XSS (деталі)
  • Vulnerability Report on AWCM 2.2 (деталі)

Cross-Site Scripting уразливості в різних браузерах через редиректори

23:59 28.11.2012

05.08.2010

У листопаді, 30.11.2009, я виявив Cross-Site Scripting уразливості в різних браузерах. Зокрема в Mozilla Firefox, Internet Explorer, Google Chrome та Opera.

Дані уразливості дозволяють виконувати XSS атаки на численні сайти, в тому числі ті, що не мають XSS уразливостей (блокують відповідні XSS атаки). Тобто браузери дозволяють обходити дані XSS фільтри. Про що найближчим часом повідомлю розробникам.

Детальна інформація про уразливості з’явиться пізніше. Спочатку повідомлю розробникам браузерів.

28.11.2012

Дане дослідження є продовженням моїх досліджень Cross-Site Scripting атаки через редиректори та Cross-Site Scripting через редиректори 301 і 303 в різних браузерах (зроблених в 2009 і 2012 роках відповідно). Після анонсу в серпні 2010, я планував встановити декілька нових браузерів, провести дослідження в них (на додачу до раніше зроблених в інших браузерах) і найближчим часом опублікувати результати, але публікація відклалася. Лише у вересні цього року я зробив додаткові дослідження з 301 і 303 редиректорами (для вищезгаданої і цієї статті), та почав оприлюднювати результати.

Редиректори можуть використовуватися для проведення XSS атак на сайти, що дозволяють вказувати адресу фрейма. При включенні редиректора у frame чи iframe можна провести XSS атаку. Це Remote XSS Include (RXI) підкласс Cross-Site Scripting уразливостей і вони достатньо поширені в Інтернеті.

Код спрацює по різному в різних браузерах - так само як і при прямому запиті до редиректорів, описаних у вищезгаданих статтях. В одних браузерах працює атака через одні редиректори, в інших - через інші.

XSS:

Атака працює в наступних редиректорах:

  1. Через Location редиректор (301 Moved Permanently) data: URI - працює в Firefox 3.0.19, 3.5.19, 3.6.28, 10.0.7, 15.0.1 та Opera 9.52, 10.62 без доступу до кукісів та DoS в IE7
  2. Через Location редиректор (301 Moved Permanently) javascript: URI - працює в Opera 10.62 (як Strictly social XSS) без доступу до кукісів
  3. Через Location редиректор (302 Found) data: URI - працює в Firefox 3.0.19, 3.5.19, 3.6.28, 10.0.7, 15.0.1 та Opera 9.52, 10.62 (як Strictly social XSS) без доступу до кукісів та DoS в IE7
  4. Через Location редиректор (302 Found, Object Moved або Moved Temporarily) javascript: URI - працює в Firefox 3.0.19, 3.5.19, 3.6.28 як Strictly social XSS, код виконається в контексті сайта з редиректором, Opera 10.62 (як Strictly social XSS без доступу до кукісів)
  5. Через Refresh редиректор data: URI - працює в Firefox 3.0.19, 3.5.19, 3.6.28, 10.0.7, 15.0.1 без доступу до кукісів та Chrome
  6. Через Refresh редиректор javascript: URI - працює в Firefox (до версії 3.0.9), IE6, Chrome та Opera 9.52 (до версії 10)
  7. Через Location редиректор (303 See other) data: URI - працює в Firefox 3.0.19, 3.5.19, 3.6.28, 10.0.7, 15.0.1 та Opera 10.62 без доступу до кукісів та DoS в IE7
  8. Через Location редиректор (303 See other) javascript: URI - працює в Opera 10.62 (як Strictly social XSS) без доступу до кукісів

Атака №4 працює в Mozilla Firefox 8.0.1 та попередніх версіях, а в версіях 9.0.1, 10.0.7, 15.0.1 вже ні - видає “Corrupted Content Error”. Тобто дана уразливість була приховано виправлена в версії 9.0. Мозілі я повідомив про ці атаки на їхній браузер ще 07.08.2010.

Дані уразливості дозволяють проводити універсальну XSS атаку на сайтах, що дозволяють вказувати адресу frame/iframe, навіть якщо вони напряму не допускають XSS (блокують javascript, vbscript і data URI). Найкраще для атаки підходить Refresh-редиректори.

Похакані сайти №210

20:32 28.11.2012

Після попереднього дослідження похаканих сайтів, приведу нову інформацію про взломані сайти. З числа українських сайтів.

  • http://psy.amu.gov.ua (хакером Margu) - 26.08.2012 - похаканий державний сайт, зараз сайт вже виправлений адмінами
  • http://itdep.amu.gov.ua (хакером Margu) - 26.08.2012 - похаканий державний сайт, зараз сайт вже виправлений адмінами
  • http://www.akit.amu.gov.ua (хакерами з 1923Turk) - 26.08.2012 - похаканий державний сайт, зараз сайт вже виправлений адмінами
  • http://fedoroveduard.com.ua (хакером ExTreMe)
  • http://srkom.snu.edu.ua (хакером joker)

Добірка експлоітів

17:23 28.11.2012

В даній добірці експлоіти в веб додатках:

  • Snort Multiple HTTP Bypass <= 2.9.3.1 Exploit (деталі)
  • Project Pier Arbitrary File Upload (деталі)
  • MS12-063 Microsoft Internet Explorer execCommand Use-After-Free Vulnerability (деталі)
  • Perl 5 Memory Corruption Vulnerability (деталі)
  • Linksys WRT54GX (ADSL Router) CSRF & ‘CSRF DOS’ (деталі)