Архів за Листопад, 2012

Економіка кіберзлочинності та закон вірогідності malware

22:45 27.11.2012

В презентації The Economics of Cybercrime and the Law of Malware Probability, Sam Curry і Amrit Williams розповідають про економіку кіберзлочинності. Вони дослідили економічні аспекти кіберзлочинності в Інтернеті (такі як поширення шкідливого коду) та розробили математичний закон вірогідності malware.

Численні уразливості в Apache Tomcat

20:07 27.11.2012

Виявлені численні уразливості безпеки в Apache Tomcat.

Уразливі версії: Tomcat 5.5, Tomcat 6.0, Tomcat 7.0.

Обхід авторизації і replay-атаки при використанні авторизації Digest, DoS.

Уразливості в плагінах для WordPress №80

16:10 27.11.2012

Продовжуючи тему уразливостей в плагінах для WordPress, пропоную вам інформацію про дірки в інших плагінах для WP.

Цього разу повідомляю про уразливості в плагінах Calendar-Script, Eco-Annu та Related Posts Exit Popup. Для котрих з’явилися експлоіти. Calendar-Script - це органайзер і календар, Eco-Annu - це плагін для створення карти на базі Google Maps, Related Posts Exit Popup - це плагін для виведення попапу з пов’язаними постами при закритті сторінки сайта.

Користувачам даних плагінів варто або оновити їх, або власноруч виправити дірки. В якості тимчасового рішення, поки не будуть виправлені чи оновлені плагіни, можна їх виключити в адмінці.

Нові уразливості на www.kmu.gov.ua

23:58 26.11.2012

11.07.2012

У липні, 04.07.2012, я знайшов Cross-Site Scripting уразливості на http://www.kmu.gov.ua - сайті Кабінету Міністрів України. Одну уразливість виявив AmplenuS, про що повідомив мені, а коли я її перевірив, то я знайшов іще одну. Про що найближчим часом сповіщу адміністрацію сайта.

Раніше я вже неодноразово писав про дірки на сайті Кабміну. В останнє - коли писав про уразливості на kvs.gov.ua, dcz.gov.ua та kmu.gov.ua.

Детальна інформація про уразливості з’явиться пізніше. Треба дати час адмінам на реакцію з цього приводу.

26.11.2012

XSS:

Дані уразливості вже виправлені. Але як і в попередні роки (починаючи з 2006 року), коли я повідомляв Кабміну про уразливості на їхньому сайті, подякувати вони не спромоглися.

При цьому на сайті все ще є інші уразливості. Тобто що в 2006, що в 2012 році, Кабмін та інші міністерства ведуть себе невдячно і продовжують не слідкувати за безпекою власних сайтів.

Інфіковані сайти №141

22:45 26.11.2012

Після попереднього дослідження інфікованих сайтів, приведу нову інформацію про заражені сайти. З числа українських сайтів.

  • http://grani-t.info - інфекція була виявлена 18.11.2012. Зараз сайт входить до переліку підозрілих.
  • http://hat.com.ua - інфекція була виявлена 14.11.2012. Зараз сайт не входить до переліку підозрілих.
  • http://games.com.ua - інфекція була виявлена 13.11.2012. Зараз сайт входить до переліку підозрілих.
  • http://music4us.com.ua - інфекція була виявлена 17.10.2012. Зараз сайт не входить до переліку підозрілих.
  • http://ffu.biz.ua - інфекція була виявлена 17.10.2012. Зараз сайт не входить до переліку підозрілих.

Вийшов Mozilla Firefox 17

20:13 26.11.2012

У листопаді, 20.11.2012, вийшов Mozilla Firefox 17. Нова версія браузера вийшла через півтора місяця після виходу Firefox 16 (і майже через місяць після Firefox 16.0.2).

Mozilla офіційно представила реліз веб-браузера Firefox 17, який віднесений до категорії гілок із тривалим терміном підтримки (ESR), оновлення для яких випускаються протягом року. Крім того, випущений коригувальний реліз гілки з тривалим терміном підтримки - Firefox 10.0.11, в якій відзначається тільки виправлення уразливостей і серйозних помилок. Реліз Firefox 18 намічений на перший тиждень січня, а Firefox 19 на 19 лютого.

Також були випущені Thunderbird 17, Seamonkey 2.14 і Firefox 17 для платформи Android.

Окремо варто відзначити, що крім нововведень і виправлення помилок у Firefox 17.0 усунуто 16 уразливостей, серед яких 6 позначені як критичні, що можуть привести до виконання коду зловмисника при відкритті спеціально оформлених сторінок. Причому ця кількість - це саме патчі.

Зазначу, що в останніх версіях Firefox (з 14 по 17) в браузері виправляється велика кількість уразливостей. Для версії Firefox 17 випущено 16 патчів - це на один патч більше ніж у версії 16. І це при тому, що в деяких патчах виправляється більше однієї дірки.

Добірка експлоітів

17:07 26.11.2012

В даній добірці експлоіти в веб додатках:

  • Internet Explorer 9 Memory Corruption 0day Exploit PoC (деталі)
  • ManageEngine Security Manager Plus <= 5.5 build 5505 Remote SYSTEM/root SQLi (деталі)
  • ManageEngine Security Manager Plus <= 5.5 build 5505 Remote SYSTEM SQLi (MSF) (деталі)
  • Mozilla Firefox 8.0 local crash p0c (деталі)
  • Cisco WAG120N Command Execution Vulnerability (деталі)

CSRF, AoF, DoS та IAA уразливості в MODx

23:56 24.11.2012

28.06.2012

У травні, 18.05.2012, під час пентесту, я виявив багато уразливостей в системі MODx, зокрема Cross-Site Request Forgery, Abuse of Functionality, Denial of Service та Insufficient Anti-automation. Це друга порція уразливостей в MODx. Про що найближчим часом повідомлю розробникам системи.

Раніше я вже писав про уразливості в MODx.

Детальна інформація про уразливості з’явиться пізніше. Спочатку повідомлю розробникам.

24.11.2012

Cross-Site Request Forgery (WASC-09):

Відсутність захисту від Brute Force (такого як капча) в формі логіна (http://site/manager/) також призводить до можливості проведення CSRF атаки, про що я писав в статті Атаки на незахищені логін форми. Це дозволяє проводити віддалений логін в акаунт (щоб проводити атаки на уразливості всередині акаунта). Це також може бути використано для автоматизованого входу в акаунт, фішинга та інших автоматизованих атак. Нижченаведена DoS атака проводиться через дану CSRF уразливість.

Abuse of Functionality (Login Enumeration) (WASC-42):

В формі логіна (http://site/manager/) можливий підбір логінів. Якщо блокування не спрацьовує після трьох запитів (як може бути встановлене на сайті), значить немає такого логіна в системі, тобто воно спрацьовує лише для робочих логінів. Атака можлива, якщо включене блокування.

Експлоіт:

MODx Abuse of Functionality-1.html

Abuse of Functionality (WASC-42):

Після знаходження логіна з вищезгаданою уразливістю можливе зловживання блокуванням акаунтів. Після трьох запитів (як може бути встановлене на сайті) акаунт може бути заблокований (навіть акаунт адміна). Постійно посилаючи запити до цього функціоналу (по три некоректні запити), можна постійно тримати акаунт заблокованим (в тому числі адмінський).

Експлоіт:

MODx Abuse of Functionality-2.html

Denial of Service (WASC-10):

Посилаючи POST запит скрипту http://site/manager/processors/login.processor.php, він повертається на попередню сторінку, яка знову відсилає запит до цього скрипта. Таким чином створюється Looped DoS, що може створити навантаження на сервер.

Експлоіт:

MODx Looped DoS.html

Insufficient Anti-automation (WASC-21):

В формі логіна (http://site/manager/) немає захисту від автоматизований запитів, що дозволяє автоматизовано підбирати логіни (через Abuse of Functionality уразливість). Так само як автоматизовано підбирати паролі (через Brute Force уразливість) до підібраних логінів. А також проводити автоматизоване блокування виявлених акаунтів.

В формі відновлення паролю (http://site/manager/index.php ?action=show_form) немає захисту від автоматизований запитів, що дозволяє автоматизовано підбирати емайли користувачів.

Уразливі MODx 1.0.6 та попередні версії.

Листопадовий вівторок патчів від Microsoft

22:49 24.11.2012

У листопаді місяці Microsoft випустила 6 патчів. Що трохи менше ніж у жовтні.

У листопадовому “вівторку патчів” Microsoft випустила черговий пакет оновлень, до якого увійшло 6 бюлетенів по безпеці. Що закривають 19 уразливостей в програмних продуктах компанії. Чотири патчі закривають критичні уразливості і два патчі закривають важливі уразливості.

Дані патчі стосуються всіх поточних операційних систем компанії Microsoft - Windows XP, 2003, Vista, 2008, 7, 2008 R2, 8 та RT. А також Microsoft Office, Internet Explorer, Internet Information Services та .NET Framework.

Захист від шкідливого коду на веб сайтах

20:07 24.11.2012

З цього тижня я запустив в комерційну експлуатацію свій новий сервіс. До проведення аудитів безпеки і пентестів, перевірки виправлень уразливостей (якщо клієнт сам виправляє) та виправлення уразливостей (якщо клієнт замовляє виправлення), я додав послуги по захисту від шкідливого коду на веб сайтах.

Всі бажаючі можуть скористатися наступними сервісами:

  • Інформування про секюріті інциденти на веб сайтах.
  • Видалення шкідливого коду (malware).

Цілодобове слідкування за безпекою ваших сайтів забезпечує моя система SecurityAlert. Перевірка відбувається автоматизовано і при наявності будь-яких секюріті проблем на сайті, ви будете проінформовані по електронній пошті.

Тому, якщо ви хочете слідкувати за безпекою свого сайту (щоб виявляти взломи, інфікування шкідливим кодом та інші позаштатні ситуації), або якщо вам потрібно видалити шкідливий код з сайту, то ви завжди можете замовити дані послуги.