Websecurity - Веб безпека

Виявлені можливості виконання коду в Microsoft Exchange і FAST Search Server.

Уразливі продукти: Microsoft Exchange 2007, Exchange 2010, FAST Search Server 2010.

Виконання коду при перегляді документа через Outlook Web Access / Advanced Filter Pack пов’язана з використанням технології Oracle Outside In.

• Microsoft Security Bulletin MS13-012 - Critical Vulnerabilities in Microsoft Exchange Server Could Allow Remote Code Execution (2809279) (деталі)
• Microsoft Security Bulletin MS13-013 - Important Vulnerabilities in FAST Search Server 2010 for SharePoint Parsing Could Allow Remote Code Execution (2784242) (деталі)

Після попереднього дослідження похаканих сайтів, приведу нову інформацію про взломані сайти. З числа українських сайтів.

• http://varva-rada.gov.ua (хакером SanFour25) - 04.11.2012 - похаканий державний сайт, зараз сайт вже виправлений адмінами
• http://ssd-koda.gov.ua (хакером SanFour25) - 04.11.2012 - похаканий державний сайт, зараз сайт вже виправлений адмінами
• http://loko.pz.gov.ua (хакером Dr.SHA6H) - 11.12.2012 - похаканий державний сайт, зараз сайт вже виправлений адмінами
• http://mriya.pz.gov.ua (хакером Dr.SHA6H) - 11.12.2012 - похаканий державний сайт, зараз сайт вже виправлений адмінами
• http://ivc.pz.gov.ua (хакерами з 1923Turk) - 15.12.2012 - похаканий державний сайт, зараз сайт вже виправлений адмінами
• http://www.bronedveri.lviv.ua (хакером Hmei7) - 17.10.2012, зараз сайт вже виправлений адмінами
• http://www.eridon.ua (хакером r00tturk) - 17.02.2013, зараз сайт вже виправлений адмінами
• http://raokriomrati.org (хакером Badi)
• http://www.capoeira.kiev.ua (хакером guba) - 05.02.2013, зараз сайт вже виправлений адмінами
• http://www.mizgir.com (хакером rEd X) - 01.02.2013, зараз сайт вже виправлений адмінами

Сайти varva-rada.gov.ua і ssd-koda.gov.ua вже були взломані торік.

В даній добірці уразливості в веб додатках:

• RSA Data Protection Manager Multiple Vulnerabilities (деталі)
• Directory Traversal - EasyITSP <= 2.0.7 (деталі)
• Weak password encryption on Huawei products (деталі)
• 0day full - Free Monthly Websites v2.0 - Multiple Web Vulnerabilities (деталі)
• radsecproxy security update (деталі)
• Privilege Gaining in DataLife Engine (деталі)
• RSA Adaptive Authentication (On-Premise) Cross-Site Scripting Vulnerabilities (деталі)
• CubeCart <= 5.2.0 (cubecart.class.php) PHP Object Injection Vulnerability (деталі)
• EMC Smarts Network Configuration Manager Multiple Vulnerabilities (деталі)
• jQuery vulnerability (деталі)

У лютому, 17.02.2013, я провів дослідження Cross-Site Scripting уразливостей в ZeroClipboard. Про що вже повідомив розробникам (старим і новим розробникам цього веб додатку).

Про ZeroClipboard я писав у вересні 2011 в статті Атаки через буфер обміну. Тоді я не проводив перевірки ZeroClipboard, лише звернув увагу на XSS через копіювання у буфер обміну та при вставці в html-форми.

На початку року hip провів перевірку ZeroClipboard. Він звернув увагу лише стосовно флешки в плагіні WP-Table Reloaded, але це не лише частина плагіна, а окремий додаток, що використовується в багатьох веб додатках і на багатьох сайтах.

Я раджу замість атакуючого коду hip використати мій варіант коду - в цьому випадку не буде зациклення алертбоксу. У версії флешки в WP-Table Reloaded XSS працює лише з параметром id (це явно модифікована версія флешки). Зате в офіційній версії ZeroClipboard без &width&height не спрацює і потрібно вказувати всі параметри.

XSS (WASC-08):

В оригінальній версії від Joseph Huckaby є дві флешки (ZeroClipboard.swf та ZeroClipboard10.swf), а нові версії від Jon Rohan і James M. Greene мають лише одну флешку (ZeroClipboard.swf).

http://site/ZeroClipboard.swf?id=%22))}catch(e){}if(!self.a)self.a=!alert(document.cookie)//&width&height
http://site/ZeroClipboard10.swf?id=%22))}catch(e){}if(!self.a)self.a=!alert(document.cookie)//&width&height

Також є XSS через текст, який копіюється в буфер обміну (clipText). І на тестовій сторінці (test.html), де виводиться інформація про те, який текст був скопійований, відбудеться виконання XSS коду, або при його вставці у html-форми, що вразливі до XSS через вставку (як я описав у вищезгаданій статті).

Це дуже поширена флешка (через Гугл дорки можна знайти десятки тисяч сайтів з ZeroClipboard.swf чи ZeroClipboard10.swf). Цю та інші флекши для копіювання в буфер обміну я бачив на багатьох сайтів в Інтернеті. Ось приклад на www.slideshare.net.

XSS:

• alert(document.cookie)
• цікавий

Уразливі ZeroClipboard 1.0.7 та попередні версії. XSS через параметр id і через буфер обміну були виправлені в нових версіях ZeroClipboard від нових розробників. Остання версія ZeroClipboard 1.1.7 невразлива.

У лютому, 19.02.2013, вийшов Mozilla Firefox 19. Нова версія браузера вийшла через півтора місяця після виходу Firefox 18 і через місяць після виходу Firefox 18.0.1.

Mozilla офіційно випустила реліз веб-браузера Firefox 19, а також мобільну версію Firefox 19 для платформи Android. Відповідно до шеститижневого циклу розробки, реліз Firefox 20 намічений на 2 квітня, а Firefox 21 на 14 травня. Також був випущений Seamonkey 2.16.

Одночасно з Firefox 19 випущені коригувальні релізи гілок із тривалим терміном підтримки - Firefox 17.0.3 і Thunderbird 17.0.3, у яких відзначається тільки виправлення уразливостей і серйозних помилок. Оновлення для ESR-гілки Firefox 10 припинено, користувачам гілки Firefox 10 буде запропоновано мігрувати на Firefox 17.0.3 (міграція буде проведена автоматично).

Окремо варто відзначити, що крім нововведень і виправлення помилок у Firefox 19.0 усунуто 9 уразливостей, серед яких 5 позначені як критичні, що можуть привести до виконання коду зловмисника при відкритті спеціально оформлених сторінок. Причому ця кількість - це саме патчі (Mozilla типово виправляє по декілька дір за один патч).

• Релиз Firefox 19 (деталі)

Після попереднього виявлення похаканих сайтів в моїх логах, приведу нову інформацію про взломані українських сайти. Що використовуються для атак (зокрема RFI атак) на інші сайти. Враховуючи, що після жовтня в моїх логах не було українських сайтів (тільки закордонні), що використовувалися для RFI атак, то я проаналізував більш старіші логи.

Похакані сайти в Уанеті:

• http://www.stomatformula.com.ua (невідомим хакером) - 03.2010
• http://nova.kahovka.org.ua (невідомим хакером) - 03.2010
• http://www.rentitout.com.ua (невідомим хакером) - 03.2010
• http://chainik-art.com.ua (невідомим хакером) - 03.2010
• http://www.2kiev.com.ua (невідомим хакером) - 04.2010

Файли, що використовувалися для RFI атак (файли вже давно прибрані з сайтів):

http://www.stomatformula.com.ua/help/sh/id1.txt
http://nova.kahovka.org.ua/language/id1.txt
http://www.rentitout.com.ua/backups/ikhy1.txt
http://chainik-art.com.ua/administrator/components/com_explorer/id1.txt
http://www.2kiev.com.ua/images/id.png

В даній добірці експлоіти в веб додатках:

• Ruby on Rails JSON Processor YAML Deserialization Code Execution (деталі)
• D-Link DCS Cameras Authentication Bypass / Command Execution (деталі)
• DataLife Engine preview.php PHP Code Injection (деталі)
• Apple Safari 6.0.2 (OS X) file:// Multiple Vulnerabilities (деталі)
• iRobosoft Internet Browser Memory Corruption (деталі)

Після попереднього дослідження інфікованих сайтів, приведу нову інформацію про заражені сайти. З числа українських сайтів.

• http://sia-house.kiev.ua - інфекція була виявлена 19.02.2013. Зараз сайт входить до переліку підозрілих.
• http://aviso.ua - інфекція була виявлена 17.02.2013. Зараз сайт не входить до переліку підозрілих.
• http://sife.od.ua - інфекція була виявлена 17.02.2013. Зараз сайт входить до переліку підозрілих.
• http://fn.ua - інфекція була виявлена 31.01.2013. Зараз сайт не входить до переліку підозрілих.
• http://luxury.com.ua - інфекція була виявлена 04.02.2013. Зараз сайт не входить до переліку підозрілих.
• http://bulgaria.in.ua - інфекція була виявлена 01.10.2012. Зараз сайт не входить до переліку підозрілих.
• http://dergachirda.com.ua - інфекція була виявлена 14.12.2012. Зараз сайт не входить до переліку підозрілих.
• http://soundmaster.kiev.ua - інфекція була виявлена 07.11.2012. Зараз сайт не входить до переліку підозрілих.
• http://expedition.vn.ua - інфекція була виявлена 12.11.2012. Зараз сайт не входить до переліку підозрілих.
• http://zfort.com.ua - інфекція була виявлена 14.11.2012. Зараз сайт не входить до переліку підозрілих.

Виявлена можливість витоку інформації в PostgreSQL.

Уразливі версії: PostgreSQL 8.3, 8.4, 9.0, 9.1, 9.2.

Переповнення індексу масиву, що може призвести до відмови в обслуговуванні або витоку інформації.

• Vulnerability in PostgreSQL 9.2.x, 9.1.x, 9.0.x, 8.4.x and 8.3.x (деталі)

22.06.2012

У травні, 04.05.2012, я знайшов Brute Force, Cross-Site Scripting та Cross-Site Request Forgery уразливості на http://energobank.com.ua - сайті банка ЕНЕРГОБАНК (на одному піддомені). Про що найближчим часом сповіщу адміністрацію сайта.

Стосовно уразливостей на сайтах банків останній раз я писав про kredobank.com.ua.

Детальна інформація про уразливості з’явиться пізніше. Треба дати час адмінам на реакцію з цього приводу.

19.02.2013

BF + XSS + CSRF:

Всі зазначені уразливості знаходиться в двох клієнт-банкінгах банка КРЕДОБАНК. Всього 109 уразливостей в системи IFOBS (всі ці уразливості наявні в кожній з двох інсталяцій системи).

https://ifobs1.energobank.com.ua/ifobsClient/
https://ifobs1.energobank.com.ua/ifobsClientEnergo/

Дані уразливості досі не виправлені.