Архів за Січень, 2013

“Error” Google хакінг №3

23:52 31.01.2013

Продовжу тему “Error” Гугл хакінга (”Error” Google hacking). Котрий є різновидом Гугл хакінга - використання пошукових систем (зокрема Гугла) для пошуку уразливостей на сайтах.

Дана методика передбачає використання Гугла (чи інших пошукових систем) з метою пошуку повідомлень на сайтах про помилки, і дозволяє знайти важливу інформацію стосовно даних сайтів. За допомогою спеціальних пошукових запитів (дорків) можна знайти Full path disclosure та Information leakage уразливості на різноманітних сайтах в Інтернеті.

Новий перелік “еррор” пошукових запитів:

“Fatal error” “on line”

“PHP Fatal error”

“Fatal error” main

“Fatal error” “Failed opening”

“Fatal error: Unable to read”

“Fatal error: Unable to open”

“Fatal error: Unable”

“Fatal error: Undefined class”

“Fatal error: Cannot redeclare”

“Internal Server Error”

Повторний масовий взлом сайтів на сервері Cityhost

22:43 31.01.2013

В першому півріччі вже відбувся масовий взлом сайтів на сервері Cityhost, а в другому півріччі відбувся повторний взлом цього сервера. За період з 07.07.2012 по 29.01.2013 відбувся масовий взлом сайтів на сервері Cityhost. Нещодавно я вже розповідав про інші масові взломи.

Був взломаний сервер української компанії Cityhost. Який складався з серії дефейсів.

Всього було взломано 39 сайтів (в сумі 85 сайтів) на сервері української компанії CityNet (IP 77.120.115.235). Це наступні сайти: www.polki.kh.ua, rubin.kharkov.ua, www.deafsport.org.ua, chehoeva.com, eko-water.com.ua, kolopatriotiv.org, teach.co.ua, 1cb.com.ua, buh-audit.com.ua, e-teach.com.ua, orientir.co.ua, xn--j1amdg6b.in.ua, teach.biz.ua, uatraining.com.ua, 1c.orientir.co.ua, moretepla.com.ua, prykarpaty.net, sambir-bojky.prykarpaty.net, sambir-ptycia.prykarpaty.net, sambirkult.prykarpaty.net, sambirlis.prykarpaty.net, stslis.prykarpaty.net, tour.prykarpaty.net, turkamrada.prykarpaty.net, rvo.stsrda.gov.ua, arrs.org.ua, bilak.in.ua, bilaky.prykarpaty.net, dush.prykarpaty.net, favoryt.prykarpaty.net, favoryty.com.ua, gal-elektro.com.ua, jojo-haircosmetics.prykarpaty.net, mam.prykarpaty.net, stsrda.gov.ua, senselight.com.ua, ceramic-design.com.ua, videonik.net.ua, beeart.com.ua. Серед них українські державні сайти rvo.stsrda.gov.ua та stsrda.gov.ua.

З зазначених 39 сайтів 2 сайти був взломаний хакером Hmei7, 5 сайтів хакером Sejeal, 8 сайтів хакером MJHOOL-HKR, 20 сайтів хакером Dr.SHA6H, 3 сайти хакером nesta та 1 сайт хакером DaiLexX.

Враховуючи велику кількість сайтів на одному сервері та короткий проміжок часу для дефейсу всіх 20 сайтів, немає сумнівів, що вони були взломані Dr.SHA6H через взлом серверу хостінг провайдера, або акаунтів, в яких було багато сайтів (всі інші дефейси проводилися під час взломів окремих сайтів). Коли через взлом одного сайта, був отриманий root доступ до сервера (через уразливості в програмному забезпеченні самого сервера) та атаковані інші сайти на даному сервері.

P.S.

У лютому і березні продовжилися взломи сайтів на цьому сервері. Були дефейснуті ще 5 сайтів хакером Sejeal, 1 сайт хакером Hmei7 і 2 сайти хакером s13doeL.

Міжсайтовий скриптінг в Microsoft System Center Operations Manager

20:03 31.01.2013

Виявлені Cross-Site Scripting уразливості в Microsoft System Center Operations Manager.

Уразливі версії: Microsoft System Center Operations Manager 2007.

Міжсайтовий скриптінг в веб-консолі.

  • Microsoft Security Bulletin MS13-003 - Important Vulnerabilities in System Center Operations Manager Could Allow Elevation of Privilege (2748552) (деталі)

Добірка експлоітів

17:21 31.01.2013

В даній добірці експлоіти в веб додатках:

  • Joomla Component pm_advancedsearch4 File Upload Vulnerability (деталі)
  • Joomla Component com_jsmusic File Upload Vulnerability (metasploit) (деталі)
  • eXtplorer 2.1 Arbitrary File Upload Vulnerability (деталі)
  • Microsoft Internet Explorer Option Element Use-After-Free Vulnerability (деталі)
  • Broadcom DoS on BCM4325 and BCM4329 Devices (деталі)

Три генерації DoS атак

22:46 30.01.2013

Продовжуючи розпочату традицію, після попереднього відео про те, як хакнути мільйони роутерів, пропоную нове відео на веб секюріті тематику. Цього разу відео про три генерації DoS атак. Рекомендую подивитися всім хто цікавиться цією темою.

DEFCON 19: Three Generations of DoS Attacks (with Audience Participation, as Victims)

Півтора роки тому на конференції DEFCON 19 відбувся виступ Sam Bowne. В своєму виступі він розповів про DoS атаки. Від класичного UDP флуду, до сучасних атак на прикладному рівні, заснованих на використанні уразливостей у веб серверах.

Про один з таких методів атаки, Slowloris, я вже писав. Рекомендую подивитися дане відео для розуміння векторів DoS атак.

Уразливості в плагінах для WordPress №90

20:11 30.01.2013

Продовжуючи тему уразливостей в плагінах для WordPress, пропоную вам інформацію про дірки в інших плагінах для WP.

Цього разу повідомляю про уразливості в плагінах Sahifa, Shopping Cart та ReFlex Gallery. Для котрих з’явилися експлоіти. Sahifa - це тема движка, Shopping Cart - це плагін для створення онлайн-магазину, ReFlex Gallery - це плагін для створення галерей зображень.

  • WordPress Sahifa 2.4.0 Cross Site Request Forgery / Path Disclosure (деталі)
  • WordPress Shopping Cart 8.1.14 Shell Upload / SQL Injection (деталі)
  • WordPress ReFlex Gallery 1.3 Shell Upload (деталі)

Користувачам даних плагінів варто або оновити їх, або власноруч виправити дірки. В якості тимчасового рішення, поки не будуть виправлені чи оновлені плагіни, можна їх виключити в адмінці.

Січневий вівторок патчів від Microsoft

16:26 30.01.2013

У січні місяці Microsoft випустила 7 патчів. Що так само як у грудні.

У січневому “вівторку патчів” Microsoft випустила черговий пакет оновлень, до якого увійшло 7 бюлетенів по безпеці. Що закривають уразливості в програмних продуктах компанії. Два патчі закривають критичні уразливості і п’ять патчів закривають важливі уразливості.

Дані патчі стосуються всіх поточних операційних систем компанії Microsoft - Windows XP, 2003, Vista, 2008, 7, 2008 R2, 8, 2012, RT. А також Internet Explorer, Microsoft System Center Operations Manager та .NET Framework.

Також Microsoft випустила оновлення Flash Player для Internet Explorer 10 на Windows 8, Server 2012 і RT для виправлення уразливостей CVE-2013-0630. Adobe також випустила оновлення Flash для всіх платформ для виправлення цих уразливостей.

Уразливості в WordPress Attack Scanner для WordPress

23:52 29.01.2013

29.10.2012

У жовтні, 07.10.2012, я виявив Information Leakage уразливості в плагіні WordPress Attack Scanner для WordPress. Дірки виявив у версії Free, але версія Pro також повинна бути уразливою. Про що найближчим часом повідомлю розробникам веб додатку.

Стосовно плагінів для WordPress раніше я писав про уразливості в Wordfence Security.

Детальна інформація про уразливості з’явиться пізніше. Спочатку повідомлю розробникам.

29.01.2013

Information Leakage (WASC-13):

http://site/wp-content/plugins/path/data.txt
http://site/wp-content/plugins/path/archive.txt

Папка “path” може бути WP-Attack-Scanner або WP-Attack-Scanner-Free.

Вільний доступ до даних - їх можна прочитати в браузері без авторизації. Хоча дані зашифровані, але по замовчуванню пароль changepassword. Якщо пароль не був змінений, то дані легко розшифровуються, якщо ж змінений, то його можна підібрати.

Уразливі всі версії WordPress Attack Scanner, як безкоштовна, так і платна. Перевірялося на версії 0.9.5.beta.

Інфіковані сайти №146

20:11 29.01.2013

Після попереднього дослідження інфікованих сайтів, приведу нову інформацію про заражені сайти. З числа українських сайтів.

  • http://tyachiv-rda.gov.ua - інфікований державний сайт - інфекція була виявлена 20.12.2012. Зараз сайт входить до переліку підозрілих.
  • http://summit.dp.ua - інфекція була виявлена 22.01.2013. Зараз сайт не входить до переліку підозрілих.
  • http://photo-portal.in.ua - інфекція була виявлена 22.01.2013. Зараз сайт входить до переліку підозрілих.
  • http://tire.ua - інфекція була виявлена 20.11.2012. Зараз сайт не входить до переліку підозрілих.
  • http://jettec-mrm.com.ua - інфекція була виявлена 01.12.2012. Зараз сайт не входить до переліку підозрілих.

Добірка експлоітів

17:25 29.01.2013

В даній добірці експлоіти в веб додатках:

  • Allied Telesis AT-MCF2000M 3.0.2 Gaining Root Shell Access (деталі)
  • Enterasys NetSight nssyslogd.exe Buffer Overflow Vulnerability (деталі)
  • IBM Cognos tm1admsd.exe Overflow Vulnerability (деталі)
  • Action Pack Multiple Vulnerabilities (деталі)
  • Apple Quick Time Player (Windows) Version 7.7.3 Out of Bound Read (деталі)