Websecurity - Веб безпека

Після попереднього дослідження похаканих сайтів, приведу нову інформацію про взломані сайти. З числа українських сайтів.

• http://konkurs.amu.gov.ua (хакером LaMiN3 DK) - 03.09.2012 - похаканий державний сайт, зараз сайт вже виправлений адмінами
• http://itbase.amu.gov.ua (хакером LaMiN3 DK) - 03.09.2012 - похаканий державний сайт, зараз сайт вже виправлений адмінами
• http://sforum.amu.gov.ua (хакером LaMiN3 DK) - 03.09.2012 - похаканий державний сайт, зараз сайт вже виправлений адмінами
• http://amu.gov.ua (хакером LaMiN3 DK) - 03.09.2012 - похаканий державний сайт, зараз сайт вже виправлений адмінами
• http://tfmg.amu.gov.ua (хакером LaMiN3 DK) - 03.09.2012 - похаканий державний сайт, зараз сайт вже виправлений адмінами
• http://abort-info.com.ua (хакерами з 1923TURK GRUP)
• http://www.dabi.com.ua (хакерами з 1923TURK GRUP)
• http://etrus.com.ua (хакером EvilEs CyberBitirici) - причому спочатку сайт 25.11.2012 був взломаний EvilEs CyberBitirici, а вже 08.12.2012 він був взломаний 1923TURK GRUP, зараз сайт вже виправлений адмінами. Схоже, що сайт постійно хакається, як і деякі інші сайти в Уанеті
• http://svitelt.com.ua (хакерами з Dark Elite Cr3w)
• http://intercars.zp.ua (хакерами з 1923TURK GRUP)

Виявлені численні уразливості безпеки в Microsoft Internet Explorer.

Уразливі продукти: Microsoft Internet Explorer 6, 7, 8, 9 і 10 під Windows XP, Windows 2003 Server, Windows Vista, Windows 2008 Server, Windows 7.

Кілька помилок використання пам’яті після звільнення.

• Microsoft Security Bulletin MS12-077 - Critical Cumulative Security Update for Internet Explorer (2761465) (деталі)

В жовтні відбувся новий масовий взлом сайтів на сервері HostPro. Він тривав на протязі 2011 - 2012 років: від 28.07.2011 до 14.12.2012. Сьомий масовий взлом сайтів на сервері HostPro відбувся раніше.

Був взломаний сервер української компанії HostPro. Взлом складався з багатьох невеликих дефейсів та двох крупних дефейсів сайтів.

Всього було взломано 140 сайтів на сервері хостера HostPro (IP 194.28.86.115). Перелік сайтів можете подивитися на www.zone-h.org. Серед них українські державні сайті investmelitopol.gov.ua, mlt.gov.ua та invest-melitopol.gov.ua (два останні сайти були взломані двічі - в минулому і поточному році).

З зазначених 140 сайтів 1 сайт був взломаний хакером Dr.SHANO, 1 сайт хакером EjRaM 7rB, 19 сайтів хакером Mast3r M!nd, 8 сайтів хакером DarKwoLf, 39 сайтів хакером ynR, 10 сайтів хакером VolcanoHacker, 5 сайтів хакером tn_hacker, 49 сайтів хакером sniper.t, 1 сайт хакером AMIN SAFI, 4 сайти хакером dr.timor, 1 сайт хакером pSyCh0, 1 сайт хакером Silent_Hell та 1 сайт хакером iskorpitx.

При крупних дефейсах, як у випадку ynR і sniper.t, сайти могли бути атаковані хакерами через взлом серверу хостінг провайдера. А всі невеликі дефейси по одному або декілька сайтів явно були зроблені при взломах окремих сайтів. Також не виключена можливість використання уразливостей на сервері для доступу до інших сайтів.

26.07.2012

У липні, 04.07.2012, я виявив численні уразливості в системі MODX Revolution, зокрема Brute Force, Cross-Site Request Forgery, Abuse of Functionality та Insufficient Anti-automation. Які виявив на сайті www.gov.ua. Частково уразливості збігаються з MODx 1.0.х. Про що найближчим часом повідомлю розробникам системи.

Раніше я вже писав про уразливості в MODx.

Детальна інформація про уразливості з’явиться пізніше. Спочатку повідомлю розробникам.

27.12.2012

Brute Force (WASC-11):

В формі логіна (http://site/manager/) немає захисту від Brute Force атак.

Cross-Site Request Forgery (WASC-09):

Відсутність захисту від Brute Force (такого як капча) в формі логіна (http://site/manager/) також призводить до можливості проведення CSRF атаки, про що я писав в статті Атаки на незахищені логін форми. Це дозволяє проводити віддалений логін в акаунт (щоб проводити атаки на уразливості всередині акаунта). Це також може бути використано для автоматизованого входу в акаунт, фішинга та інших автоматизованих атак.

Abuse of Functionality (WASC-42):

В формі логіна (http://site/manager/) можна виявляти логіни користувачів (Login Enumeration). Різні повідомлення виводяться для коректних і некоректних логінів.

Insufficient Anti-automation (WASC-21):

Із-за відсутності захисту від автоматизованих атак в формі логіна, окрім Brute Force атак також можливі автоматизовані атаки на функції логіна (для автоматизованого виявлення логінів) та відновлення паролю (для виявлення емайлів користувачів). Обидва функціонали знаходяться на одній сторінці.

Уразливі всі весії MODx Revolution (2.x версії движка). Дані уразливості досі не виправлені розробниками. XSS дірки з www.gov.ua не відносяться до CMS - це власний код цього сайта.

31.12.2012

При включеному блокуванні на сайті з’являються дві нові уразливості (аналогічні діркам в MODx Evolution).

Abuse of Functionality (Login Enumeration) (WASC-42):

В формі логіна (http://site/manager/) можливий підбір логінів. Якщо блокування не спрацьовує після трьох запитів (як може бути встановлене на сайті), значить немає такого логіна в системі, тобто воно спрацьовує лише для робочих логінів. Атака можлива, якщо включене блокування.

Експлоіт:

MODx Revolution Abuse of Functionality-1.html

Abuse of Functionality (WASC-42):

Після знаходження логіна з вищезгаданою уразливістю можливе зловживання блокуванням акаунтів. Після трьох запитів (як може бути встановлене на сайті) акаунт може бути заблокований (навіть акаунт адміна). Постійно посилаючи запити до цього функціоналу (по три некоректні запити), можна постійно тримати акаунт заблокованим (в тому числі адмінський).

Експлоіт:

MODx Revolution Abuse of Functionality-2.html

Виявлені численні уразливості безпеки в Apache Tomcat.

Уразливі версії: Apache Tomcat 6.0, Tomcat 7.0.

Обхід захисту, DoS.

• Apache Tomcat Bypass of CSRF prevention filter (деталі)
• Apache Tomcat Bypass of security constraints (деталі)
• Apache Tomcat denial of service (деталі)

Продовжуючи тему уразливостей в плагінах для WordPress, пропоную вам інформацію про дірки в інших плагінах для WP.

Цього разу повідомляю про уразливості в плагінах Portable phpMyAdmin, Plg Novana та Magazine Basic. Для котрих з’явилися експлоіти. Portable phpMyAdmin - це плагін для доступу в phpMyAdmin з адмінки WP, Plg Novana - це спеціальний плагін, Magazine Basic - це тема движка.

• portable-phpMyAdmin (WordPress Plugin) Authentication Bypass (деталі)
• WordPress Plg Novana SQL Injection (деталі)
• WordPress Magazine Basic SQL Injection (деталі)

Користувачам даних плагінів варто або оновити їх, або власноруч виправити дірки. В якості тимчасового рішення, поки не будуть виправлені чи оновлені плагіни, можна їх виключити в адмінці.

Продовжуючи розпочату традицію, після попереднього відео про просунуту експлуатацію MySQL, пропоную нове відео на веб секюріті тематику. Цього разу відео про просунуті SQL Injection. Рекомендую подивитися всім хто цікавиться цією темою.

DEFCON 17: Advanced SQL Injection

Три роки тому на конференції DEFCON 17 відбувся виступ Joseph McCray. В своєму виступі він розповів про SQL Injection уразливості, їх класифікацію та ризики даних уразливостей.

А також про просунуті техніки проведення SQL ін’єкцій. Про обхід IDS і WAF, про підняття привілеїв в СУБД, використання вбудованих процедур та інші атаки. Рекомендую подивитися дане відео для розуміння векторів атак на веб додатки.

У листопаді, 30.11.2012, вийшов Mozilla Firefox 17.0.1. Нова версія браузера вийшла лише через десять днів після виходу Firefox 17 і в ній виправлені деякі баги, допущені в останньому релізі.

Mozilla представила коригувальний випуск Firefox 17.0.1 у якому усунуто декілька недоробок, що впливають на якість роботи. Зокрема вирішені проблеми з рендерингом шрифтів. Також скасовано зміну ідентифікаційного рядка User Agent, що привело до несумісності з деякими сайтами.

• Обновление Firefox 17.0.1 (деталі)

В даній добірці уразливості в веб додатках:

• (0Day) HP Intelligent Management Center img.exe Integer Wrap Remote Code Execution Vulnerability (деталі)
• Multiple vulnerabilities in dotProject (деталі)
• ManageEngine ServiceDesk 8.0 - Multiple Vulnerabilities (деталі)
• Manage Engine Exchange Reporter v4.1 - Multiple Web Vulnerabilites (деталі)
• (0Day) HP LeftHand Virtual SAN Appliance Unauthenticated Access Remote Command Execution Vulnerability (деталі)
• tinymcpuk xss vulnerability (деталі)
• Multiple vulnerabilities in Achievo (деталі)
• SQL injection in FOOT Gestion (деталі)
• Endpoint Protector v4.0.4.0 - Multiple Web Vulnerabilities (деталі)
• Site Builder RumahWeb Arbitrary Config File Disclosure Vulnerability (деталі)

Після попереднього дослідження інфікованих сайтів, приведу нову інформацію про заражені сайти. З числа українських сайтів.

• http://mandrivi.com - інфекція була виявлена 22.12.2012. Зараз сайт входить до переліку підозрілих.
• http://ukrstor.com - інфекція була виявлена 08.12.2012. Зараз сайт не входить до переліку підозрілих.
• http://noutfix.com.ua - інфекція була виявлена 14.11.2012. Зараз сайт входить до переліку підозрілих.
• http://history.org.ua - інфекція була виявлена 14.12.2012. Зараз сайт не входить до переліку підозрілих.
• http://brusilov.com.ua - інфекція була виявлена 29.11.2012. Зараз сайт входить до переліку підозрілих.
• http://testo.kiev.ua - інфекція була виявлена 12.12.2012. Зараз сайт не входить до переліку підозрілих.
• http://ip-change.com - інфекція була виявлена 23.12.2012. Зараз сайт не входить до переліку підозрілих.
• http://kompass.ua - інфекція була виявлена 01.10.2012. Зараз сайт не входить до переліку підозрілих.
• http://bfg.org.ua - інфекція була виявлена 08.10.2012. Зараз сайт не входить до переліку підозрілих.
• http://itmag.com.ua - інфекція була виявлена 14.10.2012. Зараз сайт не входить до переліку підозрілих.