Websecurity - Веб безпека

Виявлені численні уразливості безпеки в MySQL.

Уразливі продукти: MySQL 5.5, MariaDB 5.x.

Переповнення буфера, витік інформації, підвищення привілеїв, DoS.

• MySQL Local/Remote FAST Account Password Cracking (деталі)
• MySQL (Linux) Stack based buffer overrun PoC Zeroday (деталі)
• MySQL (Linux) Heap Based Overrun PoC Zeroday (деталі)
• MySQL (Linux) Database Privilege Elevation Zeroday Exploit (деталі)
• MySQL Denial of Service Zeroday PoC (деталі)
• MySQL Remote Preauth User Enumeration Zeroday (деталі)
• MySQL Scanner & MySQL Server for Windows Remote SYSTEM Level Exploit (деталі)

Продовжу тему безпеки секюріті сайтів, яку я піднімав в попередніх записах Безпека сайтів про безпеку (1-20), 21, 22 та 23.

Ось нова добірка уразливих секюріті сайтів:

• goog.li
• security-testlab.com
• securityuncorked.com

Всім секюріті проектам та фірмам в галузі ІБ слід приділяти більше уваги безпеці власних веб сайтів.

У грудні, 15.12.2012, я виявив Cross-Site Scripting, Content Spoofing, Full path disclosure та Information Leakage уразливості в численних темах для WordPress. Про що вже повідомив розробникам цих тем.

Це теми виробництва RocketTheme, розробників Rokbox. Дані уразливості подібні до уразливостей в темі Affinity BuddyPress.

Всього я знайшов 16 вразливих тем: Afterburner, Refraction, Solarsentinel, Mixxmag, Iridium, Infuse, Perihelion, Replicant2, Affinity, Nexus, Sentinel, Mynxx Vestnikp, Mynxx, Moxy, Terrantribune, Meridian.

Шляхи в цих темах наступні:

http://site/wordpress/wp-content/themes/rt_afterburner_wp/js/rokbox/jwplayer/jwplayer.swf

http://site/wordpress/wp-content/themes/rt_refraction_wp/js/rokbox/jwplayer/jwplayer.swf

http://site/wordpress/wp-content/themes/rt_solarsentinel_wp/js/rokbox/jwplayer/jwplayer.swf

http://site/wordpress/wp-content/themes/rt_mixxmag_wp/js/rokbox/jwplayer/jwplayer.swf
http://site/wordpress/wp-content/themes/Mixxmag/js/rokbox/jwplayer/jwplayer.swf

http://site/wordpress/wp-content/themes/rt_iridium_wp/js/rokbox/jwplayer/jwplayer.swf

http://site/wordpress/wp-content/themes/rt_infuse_wp/js/rokbox/jwplayer/jwplayer.swf
http://site/wordpress/wp-content/themes/infuse/js/rokbox/jwplayer/jwplayer.swf

http://site/wordpress/wp-content/themes/rt_perihelion_wp/js/rokbox/jwplayer/jwplayer.swf

http://site/wordpress/wp-content/themes/rt_replicant2_wp/js/rokbox/jwplayer/jwplayer.swf

http://site/wordpress/wp-content/themes/rt_affinity_wp/js/rokbox/jwplayer/jwplayer.swf

http://site/wordpress/wp-content/themes/rt_nexus_wp/js/rokbox/jwplayer/jwplayer.swf

http://site/wordpress/wp-content/themes/rt_sentinel/js/rokbox/jwplayer/jwplayer.swf

http://site/wordpress/wp-content/themes/rt_mynxx_wp_vestnikp/js/rokbox/jwplayer/jwplayer.swf

http://site/wordpress/wp-content/themes/rt_mynxx_wp/js/rokbox/jwplayer/jwplayer.swf
http://site/wordpress/wp-content/themes/rt.mynxx.wp/js/rokbox/jwplayer/jwplayer.swf

http://site/wordpress/wp-content/themes/rt_moxy_wp/js/rokbox/jwplayer/jwplayer.swf

http://site/wordpress/wp-content/themes/rt_terrantribune_wp/js/rokbox/jwplayer/jwplayer.swf

http://site/wordpress/wp-content/themes/rt_meridian_wp/js/rokbox/jwplayer/jwplayer.swf

Content Spoofing (WASC-12):

http://site/wordpress/wp-content/themes/rt_afterburner_wp/js/rokbox/jwplayer/jwplayer.swf?file=1.flv&backcolor=0xFFFFFF&screencolor=0xFFFFFF
http://site/wordpress/wp-content/themes/rt_afterburner_wp/js/rokbox/jwplayer/jwplayer.swf?file=1.flv&image=1.jpg
http://site/wordpress/wp-content/themes/rt_afterburner_wp/js/rokbox/jwplayer/jwplayer.swf?config=1.xml
http://site/wordpress/wp-content/themes/rt_afterburner_wp/js/rokbox/jwplayer/jwplayer.swf?abouttext=Player&aboutlink=http://site

XSS (WASC-08):

http://site/wordpress/wp-content/themes/rt_afterburner_wp/js/rokbox/jwplayer/jwplayer.swf?abouttext=Player&aboutlink=data:text/html;base64,PHNjcmlwdD5hbGVydChkb2N1bWVudC5jb29raWUpPC9zY3JpcHQ%2B

Full path disclosure (WASC-13):

У всіх цих темах є FPD в index.php (http://site/wordpress/wp-content/themes/rt_afterburner_wp/ і так само для інших тем), що спрацьовує при налаштуваннях PHP по замовчуванню. Також FPD потенційно є в інших php-файлах цих тем.

Information Leakage (WASC-13):

Є сайти з темою rt_mixxmag_wp, що мають error log з FPD.

http://site/wordpress/wp-content/themes/rt_mixxmag_wp/js/rokbox/error_log

Приклад уразливого сайту з темою Mixxmag.

CS (WASC-12) і XSS (WASC-08):

http://securityuncorked.com/wordpress/wp-content/themes/rt_mixxmag_wp/js/rokbox/jwplayer/jwplayer.swf

Information Leakage (WASC-13):

http://securityuncorked.com/wordpress/wp-content/themes/rt_mixxmag_wp/js/rokbox/error_log

Уразливі всі версії всіх вищенаведених тем для WordPress.

Виявлені численні уразливості безпеки в Perl.

Уразливі версії: Perl 5.15.

Переповнення буфера в decode_xs, впровадження коду в конструкторі Digest, переповнення буфера в операторі x, ін’єкція заголовків у CGI.pm.

• Perl vulnerabilities (деталі)

Серед технологій захисту від XSS атак можна виділити дві основні групи: серверні та клієнтські. Перші працюють повністю на стороні сервера (до них можна віднести як виправлення XSS уразливостей, так і використання WAF), другі працюють на стороні клієнта (і можуть вимагати підтримки в браузерах).

Причому клієнтські технології можна розділити на такі, що вимагають клієнтської підтримки, та такі, що не вимагають (реалізовані на JS). Тому такі технології захисту від XSS атак повинні не тільки підтримуватися в браузерах (і відповідно старі браузери без їх підтримки не будуть захищені), але й вони повинні бути включені на сервері. В своєму новому циклі статей я розповім вам про деякі з клієнтських технологій захисту від XSS. Серед них є такий захист як плагіни до браузерів (такий як NoScript для Firefox), але я буду розповідати про ті, які реалізуються на рівні поєднання серверних налаштувань і клієнтської підтримки (серверні заголовки), або ж на рівні JavaScript.

Прикладами таких технологій, які орієнтовані на браузери, є технології захисту від ClickJacking, про які я розповідав торік. Серед них є як плагіни до браузерів чи секюрні браузери, так і JS захист та заголовок X-Frame-Options. Першим серед технологій захисту від XSS атак я розгляну HttpOnly.

Заголовок HttpOnly встановлюється до кукісів. Для цього веб додаток повинен у своїй відповіді вказати серверний заголовок Set-Cookie з параметром HttpOnly:

Set-Cookie: name=value; expires=Tue, 1-Jan-2013 00:00:00 GMT; path=/; HttpOnly

І кожен з кукісів з таким параметром буде доступний лише для сервера, але не для клієнтського коду (JS/VBS). Це вбереже від класичних атак на викрадення кукіса.

Але це не вбереже від інших атак через XSS уразливості. Бо XSS атаки не обмежуються лише викраденням кукісів, про що я наголошував неодноразово. А також PDP ще в 2007 році писав про те, чому HttpOnly кукіси не врятують від XSS атак. До того ж, в перші роки після появи цієї технології та й в останні роки виявлялися методи обходу httpOnly в деяких браузерах.

Заголовок HttpOnly був придуманий Microsoft для Internet Explorer 6 SP1 в 2002 році і пізніше підтриманий іншими розробниками браузерів. І особисто я не вважаю його надійним захистом від XSS. Жодна з цих допоміжних технологій не може дати 100% гарантію захисту від XSS атак і вирішує лише частину проблеми, тільки виявлення та виправлення всіх XSS уразливостей дасть надійних захист. Але ці технології можна використати в парі з проведенням аудиту безпеки своїх сайтів, як додатковий елемент безпеки.

HttpOnly підтримують наступні браузери:

Internet Explorer 6 (повністю пропатчений) (тільки захист від читання)
Internet Explorer 6 SP1 (тільки захист від читання)
Internet Explorer 7+ (захист від читання і запису)
Mozilla Firefox 3.0.6+ (захист від читання і запису)
Netscape Navigator 9.0b3+ (захист від читання і запису)
Opera 9.50+ (тільки захист від читання)
Apple Safari 5+ (захист від читання і запису)
Google Chrome перші релізи (тільки захист від читання)
Google Chrome 12+ (захист від читання і запису)

У грудні, 15.12.2012, я виявив Cross-Site Scripting та Content Spoofing уразливості в плагіні BuddyPress для WordPress та темі Affinity BuddyPress для даного плагіна. Про що вже повідомив розробників веб додатку та теми для плагіна.

Стосовно плагінів для WordPress раніше я писав про уразливості в Rokbox для WordPress.

Ці уразливості пов’язані з JWPlayer і Rokbox, що використовуються в BuddyPress та темі Affinity. Всього я виявив на різних сайтах наступні інсталяції BuddyPress або теми для нього: з JWPlayer 5.5.1641, з JWPlayer 4.2.95, з Rokbox з JW Player 4.4.198 (в темі Affinity). Сайтів з цими флешками небагато, тому це можуть бути старі версії чи якійсь рідкі версії BuddyPress.

Для JWPlayer 5.5.1641 шлях наступний: http://site/wp-content/plugins/buddypress/bp-themes/bp-default/jwplayer/player.swf

Для JWPlayer 4.2.95 шлях наступний: http://site/wp-content/plugins/buddypress/bp-themes/file/player.swf

Для JWPlayer 4.4.198 в темі Affinity для BuddyPress шлях наступний: http://site/wp-content/plugins/buddypress/bp-themes/rt_affinity_wp-bp12/js/rokbox/jwplayer/jwplayer.swf.

XSS (WASC-08):

http://site/wp-content/plugins/buddypress/bp-themes/bp-default/jwplayer/player.swf?playerready=alert(document.cookie)

В 5.x версіях JW Player має місце ця XSS та інші уразливості. В 4.x версіях JW Player мають місце лише наступні уразливості.

Content Spoofing (WASC-12):

http://site/wp-content/plugins/wp_rokbox/jwplayer/jwplayer.swf?file=1.flv&backcolor=0xFFFFFF&screencolor=0xFFFFFF
http://site/wp-content/plugins/wp_rokbox/jwplayer/jwplayer.swf?file=1.flv&image=1.jpg
http://site/wp-content/plugins/wp_rokbox/jwplayer/jwplayer.swf?config=1.xml
http://site/wp-content/plugins/wp_rokbox/jwplayer/jwplayer.swf?abouttext=Player&aboutlink=http://site

XSS (WASC-08):

http://site/wp-content/plugins/wp_rokbox/jwplayer/jwplayer.swf?abouttext=Player&aboutlink=data:text/html;base64,PHNjcmlwdD5hbGVydChkb2N1bWVudC5jb29raWUpPC9zY3JpcHQ%2B

Уразливі версії BuddyPress з JW Player або з Rokbox з JW Player і тема Affinity BuddyPress 1.2 та попередні версії.

19.09.2012

Виявлені численні уразливості безпеки в продуктах Oracle.

Уразливі продукти: Oracle 10g, Oracle 11g, MySQL 5.1, MySQL 5.5, Oracle Application Server 10g, Oracle E-Business Suite Release 11i, PeopleSoft Enterprise HRMS 8.9, Oracle BI Publisher 10.1, PeopleSoft Enterprise CRM 9.1, PeopleSoft Enterprise SCM 9.0 та інші продукти Oracle.

Більше 90 уразливостей у різних продуктах усунуто в щоквартальному оновленні.

• Oracle Outside In Excel MergeCells Record Parsing Remote Code Execution Vulnerability (деталі)
• Oracle Outside In Excel File TxO Parsing Remote Code Execution Vulnerability (деталі)
• Oracle Outside In XPM Processing Remote Code Execution Vulnerability (деталі)

24.12.2012

Додаткова інформація.

• Oracle Gridengine sgepasswd Buffer Overflow (деталі)

Продовжуючи тему уразливостей в плагінах для WordPress, пропоную вам інформацію про дірки в інших плагінах для WP.

Цього разу повідомляю про уразливості в плагінах Zarzadzanie Kontem, Webplayer та FireStorm Real Estate. Для котрих з’явилися експлоіти. Zarzadzanie Kontem - це спеціальний плагін, Webplayer - це медіа плеєр, FireStorm Real Estate - це плагін для розміщення списків нерухомості.

• WordPress Zarzadzanie Kontem Shell Upload (деталі)
• WordPress Webplayer SQL Injection (деталі)
• WordPress FS-Real-Estate SQL Injection (деталі)

Користувачам даних плагінів варто або оновити їх, або власноруч виправити дірки. В якості тимчасового рішення, поки не будуть виправлені чи оновлені плагіни, можна їх виключити в адмінці.

За повідомленням www.xakep.ru, ФБР виявило взлом промислової системи клімату-контролю.

Завдяки витоку інформації у відкритий доступ потрапила доповідна записка ФБР від липня 2012 року, адресована правоохоронним органам штату Нью-Джерсі. У документі говориться про взлом промислової системи керування однієї з компаній, у результаті чого зловмисники змогли встановити бэкдор і одержати доступ до пристроїв клімату-контролю (HVAC).

Взлому піддався фреймворк Tridium Niagara ICS, для якого неодноразово публікувалися експлоіти у відкритому доступі, ця система відома великою кількістю уразливостей.

За повідомленням www.opennet.ru, оновлення Chrome 23.0.1271.97 з усуненням критичної уразливості.

Компанія Google представила коригувальний випуск веб-браузера Chrome 23.0.1271.97, у якому усунуто 6 уразливостей і представлена порція виправлень помилок. Одній з уразливостей присвоєний статус критичної проблеми, що дозволяє обійти всі рівні захисту браузера. Критична проблема (CVE-2012-5142) виявлена співробітниками Google і виявляється у виході за границі буфера при виконанні операцій по роботі з історією відвідувань.

Ще три уразливості отримали статус небезпечних та дві - помірних. Після виходу Google Chrome 23 у листопаді, вже 12.12.2012 компанія випустила оновлення до цієї версії (не дочекавшись виходу нової версії). Вихід версії Chrome 24 очікується до кінця року.

За повідомленням www.xakep.ru, в магазині ExploitHub викрадені експлоіти на чверть мільйона доларів.

Хакерська група Inj3ct0r заявила про злом сайта одного з найбільших магазинів експлоітів ExploitHub.com. За словами хакерів, вони одержали у своє розпорядження всі бази даних і файли з FTP-сервера.

Зломщики провели аудит, тобто склали вартість усіх експлоітів, виставлених на продаж. По їхній оцінці, загальна вартість викраденої інформації складає рівно $242333.

Так що не тільки звичайні онлайн магазини та e-commerce сайти взламують, але й нелегальні, такі як магазини експлоітів. І ці війни хакерів повинні нагадати власникам онлайн магазинів, в тому числі підпільних, про необхідність слідкувати за безпекою власних сайтів.

Продовжуючи розпочату традицію, після попереднього відео про ефективні Denial of Service атаки проти веб додатків, пропоную нове відео на веб секюріті тематику. Цього разу відео про просунуту експлуатацію MySQL. Рекомендую подивитися всім хто цікавиться цією темою.

DEFCON 17: Advanced MySQL Exploitation

Три роки тому на конференції DEFCON 17 відбувся виступ Muhaimin Dzulfakar. В своєму виступі він презентував методику проведення просунутих атак на SQL Injection уразливості для виконання коду. Зокрема на платформі MySQL.

Подібні атаки можливі на різних СУБД, але MySQL (особливо в зв’язці з PHP) є дуже поширеною в Інтернеті. Віддалене виконання коду відбувається при відправленні SQL запитів веб додатку з SQL Injection уразливістю - для розміщення на сервері шелкоду і його запуску. Рекомендую подивитися дане відео для розуміння векторів атак на веб додатки.