Архів за Лютий, 2013

Уразливості в плагінах для WordPress №93

23:56 16.02.2013

Продовжуючи тему уразливостей в плагінах для WordPress, пропоную вам інформацію про дірки в інших плагінах для WP.

Цього разу повідомляю про уразливості в плагінах SolveMedia, OpenInviter та Spam Free. Для котрих з’явилися експлоіти. SolveMedia - це плагін, що являє собою онлайн капча-сервіс, OpenInviter - це плагін для запрошення користувачів через контакти в адресній книзі, Spam Free - це анти-спам плагін.

Користувачам даних плагінів варто або оновити їх, або власноруч виправити дірки. В якості тимчасового рішення, поки не будуть виправлені чи оновлені плагіни, можна їх виключити в адмінці.

Новини: індустрія експлоітів, Safer Internet Day та взлом телеканалу

22:45 16.02.2013

За повідомленням www.xakep.ru, американський ВПК штовхає вгору ціни на експлоіти.

Інформацію про уразливості тепер можна продати дуже дорого, якщо не розповідати про неї широкій публіці. Сотні тисяч доларів за цю інформацію готові запропонувати військові підрядчики, розробники озброєнь, розвідувальні агентства й уряди. Хоча торгівля експлоітами погано задокументована, але все рівно ця частина військово-промислового комплексу залишається самою відкритою. У цій сфері сформувалася ціла індустрія.

Торік я писав про компанію Vupen, що публічно займається продажем експлоітів державним спецслужбам. І ця індустрія активно розвивається.

За повідомленням news.bigmir.net, у світі відзначили День безпечного Інтернету.

На початку лютого по всьому світу відзначили 10-й щорічний Міжнародний день безпечного Інтернету (Safer Internet Day), заснований Єврокомісією в 2004 році.

День безпечного Інтернету, що традиційно відзначається у перший вівторок лютого, має на меті об’єднання зусиль зацікавлених державних, громадських і приватних організацій для підвищення рівня знань про безпечне застосування інтернет-технологій.

Про рівень безпеки Уанету і про прогрес в цьому напрямку (тобто його відсутність) з 2006 року і по поточний рік ви можете дізнатися з моїх досліджень Уанета. Тому замість “святкувань” всім інтернет-користувачам, зокрема власникам сайтів і веб розробникам, варто зайнятися покращенням безпеки власних ресурсів.

За повідомленням www.xakep.ru, хакери взломали телеканал і попередили жителів про зомбі-апокаліпсис.

Цікавий випадок відбувся 11 лютого 2013 року на американській телестанції KRTV. Під час звичайного денного ефіру йшло чергове молодіжне шоу, що раптом перервалося різкими неприємними звуками системи екстреного оповіщення про стихійні лиха.

У верхній частині екрана з’явився рядок, що біжить, з текстом попередження (Local Area Emergency), який супроводжувався чоловічим голосом. Голос повідомив про те, що зомбі атакують людей. Представники телеканалу підтвердили факт взлому.

Інциденти взломів телеканалів чи систем трансляції реклами періодично трапляються. І це ще один забавний випадок.

Виконання коду в Adobe Shockwave Player

20:07 16.02.2013

Виявлена можливість виконання коду в Adobe Shockwave Player.

Уразливі версії: Adobe Shockwave Player 11.6.

Декілька можливостей виконання коду.

  • Security updates available for Adobe Shockwave Player (деталі)

Добірка експлоітів

17:24 16.02.2013

В даній добірці експлоіти в веб додатках:

  • Movable Type 4.2x, 4.3x Web Upgrade Remote Code Execution (деталі)
  • ZoneMinder Video Server packageControl Command Execution (деталі)
  • SQLiteManager 1.2.4 Remote PHP Code Injection Vulnerability (деталі)
  • ZTE ZXV10 W300 series (Djaweb router) vulnerability (деталі)
  • Google Chrome Silent HTTP Authentication (деталі)

Стосовно останньої уразливості додам, що в Google Chrome 1.0 такої дірки не було. В попередніх версіях браузер видавав попередження при невірному паролі. Таку можливість (відправляти Basic і Digest Authentication запити без попередження) додали в останніх версіях браузера, в тому числі вона має місце в Chrome 24.0, в якому перевіряв автор експлоіта.

Це має місце починаючи з версії Chrome 13.0, в якому Гугл виправив уразливість, що я знайшов в різних браузерах, включаючи Chrome. Виправивши таким кривим чином ту дірку, вони додали можливість проводити віддалений брутфорс через браузер різних мережевих пристроїв (модемів, роутерів, Wi-Fi точок доступу), що знаходяться в локальній мережі.

Уразливості на kredobank.com.ua

23:53 15.02.2013

20.06.2012

У травні, 04.05.2012, я знайшов Brute Force, Cross-Site Scripting та Cross-Site Request Forgery уразливості на http://kredobank.com.ua - сайті банка КРЕДОБАНК (на одному піддомені). Про що найближчим часом сповіщу адміністрацію сайта.

Стосовно уразливостей на сайтах банків останній раз я писав про forum.ua.

Детальна інформація про уразливості з’явиться пізніше.

15.02.2013

BF + XSS + CSRF:

Всі зазначені уразливості знаходиться в клієнт-банкінгу банка КРЕДОБАНК. Всього 109 уразливостей в системи IFOBS.

https://ifobs.kredobank.com.ua/ifobsClient/

Дані уразливості досі не виправлені.

Виявлення похаканих сайтів

22:46 15.02.2013

Після попереднього виявлення похаканих сайтів в моїх логах, приведу нову інформацію про взломані українських сайти. Що використовуються для атак (зокрема RFI атак) на інші сайти. Враховуючи, що після жовтня в моїх логах не було українських сайтів (тільки закордонні), що використовувалися для RFI атак, то я проаналізував більш старіші логи.

Похакані сайти в Уанеті:

  • http://photoworld.com.ua (невідомим хакером) - 01.2010
  • http://filtry.in.ua (невідомим хакером) - 01.2010
  • http://www.epidemia.com.ua (невідомим хакером) - 01.2010
  • http://whitelove.at.ua (невідомим хакером) - 02.2010

Файли, що використовувалися для RFI атак (файли вже давно прибрані з сайтів):

http://photoworld.com.ua/zfxid1.txt
http://filtry.in.ua/components/com_mailto/idxx.txt
http://www.epidemia.com.ua/tool/fxd
http://whitelove.at.ua/a.txt

CSRF, XSS та Redirector уразливості в IBM Lotus Domino

17:25 15.02.2013

17.05.2012

У травні, 03.05.2012, під час пентесту, я виявив багато уразливостей в IBM Lotus Domino, зокрема Cross-Site Request Forgery, Cross-Site Scripting та Redirector. Це третя порція уразливостей в Lotus Domino. Про що найближчим часом повідомлю розробникам системи.

Раніше я вже писав про уразливості в IBM Lotus Domino.

Детальна інформація про уразливості з’явиться пізніше. Спочатку повідомлю розробникам.

15.02.2013

CVE: CVE-2012-4842, CVE-2012-4844.

Cross-Site Request Forgery (WASC-09):

Відсутність капчі в формі логіна (http://site/names.nsf) призводить до можливості проведення CSRF атаки, про що я писав в статті Атаки на незахищені логін форми. Це дозволяє проводити віддалений логін в акаунт (щоб проводити атаки на уразливості всередині акаунта), нижченаведені XSS і Redirector атаки, Brute Force (що я описав в окремому записі) та інші автоматизовані атаки.

Cross-Site Scripting (WASC-08):

Для атаки необхідно використати робочий логін і пароль на сайті (тобто необхідно використати існуючий акаунт на сайті - це може бути власний акаунт нападника, або акаунт користувача, до якого він отримав доступ через Brute Force уразливість).

Експлоіт:

IBM Lotus Domino XSS.html

Redirector (URL Redirector Abuse) (WASC-38):

Для атаки необхідно використати робочий логін і пароль на сайті (тобто необхідно використати існуючий акаунт на сайті - це може бути власний акаунт нападника, або акаунт користувача, до якого він отримав доступ через Brute Force уразливість).

Експлоіт:

IBM Lotus Domino Redirector.html

Уразливі Lotus Domino 8.5.3 та попередні версії. Як повідомили мені з IBM наприкінці листопада, вони планують виправити уразливості (зокрема XSS і Redirector) в версії 9.0. Що повинна вийти 14.03.2013. Свій адвізорі по даним уразливостям IBM оприлюднила 30.11.2012.

До виходу нової версії всі користувачі вразливих версій IBM Lotus Domino вразливі до даних атак. При цьому представники IBM не запропонували жодних рішень цієї проблеми (Workaround чи Mitigation). Зате я запропоную обхідне рішення, яке можна використовувати до виходу версії 9.0 з виправленнями уразливостей. Воно полягає у відключенні html-форми логіна і використанні замість неї Basic Authentication.

Обхід фільтрів для проведення XSS атак

23:59 14.02.2013

На початку 2008 року, 03.02.2008, я проводив дослідження власного веб додатку і намагався перевірити можливість обходу фільтрів для проведення XSS атаки. Зокрема з використанням спеціальних символів для розділення імені тега та його властивостей. Це може знадобитися як для обходу XSS фільтрів, так і в тих випадках, де теги не фільтруються, але є обмеження на символи (наприклад, пробіл), тому потрібно використати інший символ для розділення імені тега та його властивостей з метою проведення XSS атаки. Нерідко стикаюся з такими сайтами, де фільтруються деякі символи.

Приклад XSS коду, де можуть знадобитися такі символи:

<img src='1' onerror=alert(document.cookie)>

Між назвою тега “img” і властивістю “src” повинен стояти пробіл. Але якщо цей символ заборонений (в конкретному веб додатку), то потрібно використати інші.

В той день я розробив спеціальну програму для перевірки з якими символами-роздільниками працює виконання скриптів в тегах. За допомогою цієї програми я згенерував html-сторінку для перевірки 256-символів ASCII в якості роздільників. Тоді я перевірив це на своєму браузері Mozilla 1.7.x. І ось через п’ять років, на початку цього місяця, я знайшов цю програму і вирішив перевірити на ній усі наявні в мене браузери (Firefox, IE, Chrome та Opera). Результати перевірки пропоную вашій увазі.

Зазначу, що в зв’язку зі змінами в коді Firefox (які я виявив пару років тому), код який працював в Mozilla та Firefox 3.0.х, вже не працює в більш нових версіях Firefox (а також в Chrome та Opera). Тому код для тестування довелося змінити, щоб протестувати ці браузери. А в Firefox 10 і 15 взагалі не працював код з “img onerror”, тому для тестування нових версій Firefox я зробив тест з “img onload”.

Наступні символи можуть використовуватися в якості роздільників між іменем тега та його властивостями (це в десятковій системі):

Mozilla 1.7.x:

Символи: 0, 8, 9, 10, 13, 32, 34.

Mozilla Firefox 3.0.19, 3.5.19, 3.6.28:

Символи: 9, 10, 13, 32, 47.

В Mozilla Firefox 10.0.7 ESR, 15.0.1:

Символи: 9, 10, 12, 13, 32, 47.

Internet Explorer 6, 7, 8:

Символи: 9, 10, 11, 12, 13, 32, 47.

Chrome 1.0.154.48:

Символи: 9, 10, 11, 12, 13, 32.

Opera 10.62:

Символи: 9, 10, 12, 13, 32, 47.

Mobile Safari 6.0.1, 8.4.1

Символи: 9, 10, 12, 13, 32, 47.

Також я розмістив дану програму в розділі Обхід XSS фільтрів, де ви можете перевірити ваш браузер.

Численні уразливості в Microsoft Internet Explorer

20:02 14.02.2013

Виявлені численні уразливості в Microsoft Internet Explorer.

Уразливі продукти: Microsoft Internet Explorer 6, 7, 8, 9, 10 під Windows XP, Windows 2003 Server, Windows Vista, Windows 2008 Server, Windows 7, Windows 8, Windows 2012 Server.

Витік інформації, численні уразливості use-after-free, пошкодження пам’яті в VML.

  • Microsoft Security Bulletin MS13-009 - Critical Cumulative Security Update for Internet Explorer (2792100) (деталі)
  • Microsoft Security Bulletin MS13-010 - Critical Vulnerability in Vector Markup Language Could Allow Remote Code Execution (2797052) (деталі)

Добірка експлоітів

17:24 14.02.2013

В даній добірці експлоіти в веб додатках:

  • Jenkins Script-Console Java Execution Vulnerability (деталі)
  • Java Applet AverageRangeStatisticImpl Remote Code Execution (деталі)
  • Java Applet Method Handle Remote Code Execution Vulnerability (деталі)
  • SonicWALL GMS 6 Arbitrary File Upload Vulnerability (деталі)
  • Opera SVG Use After Free Vulnerability (деталі)