Websecurity - Веб безпека

Продовжуючи розпочату традицію, після попереднього відео про взлом мережі за 60 секунд, пропоную нове відео на веб секюріті тематику. Цього разу відео про сліпі XSS. Рекомендую подивитися всім хто цікавиться цією темою.

DEFCON 20: Blind XSS

Торік на конференції DEFCON 20 відбувся виступ Adam Baldwin. В своєму виступі він розповів про Cross-Site Scripting, про його підкласи і, зокрема, про такий різновид persistent XSS як сліпі XSS. Сам я не вживаю такого терміну і всі persistent XSS називаю persistent (хоча раніше і ввів термін per-user persistent XSS, для відокремлення від звичайних постійних XSS таких, що спрацьовують не для всіх користувачів, а лише для поточної сесії користувача, тобто близькі за природою до reflected XSS). Адам вирішив вжити термін “blind XSS” для виділення окремої категорії постійних XSS. І детально розповів про них у своїй доповіді.

Сліпі XSS - це ті уразливості, де одразу немає виконання коду (це в першу чергу стосується тих XSS, що знаходяться в адмінках або акаунтах, куди нападник немає доступу). Це дуже поширена частина постійних XSS. В своїй практиці серед persistent XSS я більше стикався саме зі сліпими, ніж звичайними (й першою Cross-Site Scripting, яку я дослідив, була саме сліпа постійна XSS).

Адам продемонстрував свою платформу xss.io призначену для експлуатації XSS уразливостей. Рекомендую подивитися дане відео для розуміння векторів атак через уразливості у веб додатках.

Виявлені численні уразливості безпеки в Microsoft Internet Explorer.

Уразливі продукти: Microsoft Internet Explorer 6, 7, 8, 9, 10 під Windows XP, Windows 2003 Server, Windows Vista, Windows 2008 Server, Windows 7, Windows 8, Windows 2012 Server.

Численні уразливості використання пам’яті після звільнення.

• Microsoft Internet Explorer 10-9-8-7-6 “OnMove” Use-after-free (MS13-021 / CVE-2013-0087) (деталі)
• Microsoft Internet Explorer 10-9-8-7-6 “OnResize” Use-after-free (MS13-021 / CVE-2013-0087) (деталі)
• Microsoft Security Bulletin MS13-021 - Critical Cumulative Security Update for Internet Explorer (2809289) (деталі)

В даній добірці уразливості в веб додатках:

• RubyGems vulnerabilities (деталі)
• Vulnerability in Apache Maven 3.0.4 (деталі)
• DataWatch Monarch Business Intelligence (BI) v5.1 client section stored cross-site scripting (деталі)
• python-django security update (деталі)
• DataWatch Monarch Business Intelligence (BI) v5.1 Blind SQL injection (деталі)
• fusionforge security update (деталі)
• DataWatch Monarch Business Intelligence (BI) v5.1 Admin Section Blind XPath Injection (деталі)
• Joomla! <= 3.0.2 (highlight.php) PHP Object Injection Vulnerability (деталі)
• Icedtea-Web vulnerability (деталі)
• Multiple Vulnerabilities in PHP-Fusion 7.02.05 (деталі)

Продовжуючи тему уразливостей в плагінах для WordPress, пропоную вам інформацію про дірки в інших плагінах для WP.

Цього разу повідомляю про уразливості в плагінах Audio Player, WP-Table Reloaded та Marekkis Watermark. Для котрих з’явилися експлоіти. Audio Player - це флеш аудіо плеєр, WP-Table Reloaded - це плагін для розміщення таблиць, Marekkis Watermark - це плагін для розміщення водяних знаків на зображення.

• Wordpress Audio Player Plugin XSS in SWF (деталі)
• WordPress WP-Table-Reloaded Cross Site Scripting (деталі)
• WordPress Marekkis Watermark Cross Site Scripting (деталі)

Користувачам даних плагінів варто або оновити їх, або власноруч виправити дірки. В якості тимчасового рішення, поки не будуть виправлені чи оновлені плагіни, можна їх виключити в адмінці.

За повідомленням www.xakep.ru, взлом TLS і SSL через уразливість у шифрі RC4.

На цьому тижні в Сінгапурі пройшла криптографічна конференція Fast Software Encryption. Головною подією став виступ Дена Бернстейна, професора університету Іллінойсу, що представив нову техніку для розкриття протоколів Transport Layer Security (TLS) і Secure Sockets Layer (SSL), якщо в них використовується шифр RC4.

За повідомленням ain.ua, Україна на 4 місці у світі по кількості вихідних кібератак.

Ведучий німецький оператор зв’язку Deutsche Telekom візуалізував карту країн-джерел кібератак, на якій Україна виявилася на 4 місці після Росії, Тайваню і Німеччини. За останній місяць з українських серверів було зроблено 566531 атака.

На порталі в реальному часі показані атаки і країни, з яких вони виходять, а також статистика найбільш частих видів атак, зрізи по регіонах з найбільшим числом активних серверів, що атакують. У компанії підкреслюють, що число інтернет-загроз постійно зростає - щодня виявляють близько 200 тисяч нових зразків шкідливого коду. Тільки в пастках Deutsche Telekom збираються записи про 450 тисяч атак у день.

За повідомленням www.xakep.ru, опубліковано кредитну історію Білла Гейтса.

На сайті Exposed.su опубліковані персональні дані на декількох знаменитостей. Інформація викрадена з деякого банківського сайта, де зберігається кредитна історія всіх громадян. Кредитна історія містить у собі статистику витрат по кредитних картках, платежі по усіх виданих кредитах, а також базову інформацію про громадянина - дата народження, адреса, усі минулі адреси, ім’я, усі минулі імена, місця роботи та інше. Зокрема оприлюднена кредитна історія Білла Гейтса.

Сам знаходив під час пентестів уразливості на сайтах українських банків, що дозволяли отримати доступ до кредитної історії та персональних даних громадян. Тому такі уразливості трапляються і вони несуть ризики для клієнтів банків.

Виявлена можливість проведення DoS проти Apache mod_dav_svn.

Уразливі продукти: Apache mod_dav_svn 1.6.

Звертання по нульовому вказівнику при обробці MKACTIVITY і PROPFIND.

• Apache Subversion mod_dav_svn DoS via MKACTIVITY/PROPFIND (деталі)

В даній добірці експлоіти в веб додатках:

• OpenPLI Webif Arbitrary Command Execution Vulnerability (деталі)
• Avaya WinPMD UniteHostRouter Buffer Overflow (деталі)
• InduSoft Web Studio Arbitrary Upload Remote Code Execution Vulnerability (деталі)
• WIS Coldfusion Exploit (деталі)
• WAP Proof 2008 Denial of Service (деталі)

У лютому, 20.02.2013, я знайшов Cross-Site Scripting уразливості в плагінах до WordPress, що містять ZeroClipboard.swf. Деякі плагіни також містять ZeroClipboard10.swf.

Раніше я писав про Cross-Site Scripting уразливості в ZeroClipboard та про численні вразливі веб додатки з цією флешкою. Як я зазначав, це дуже поширена флешка, що знаходиться на сотнях тисяч веб сайтів і яка використовується в сотнях веб додатків.

Також вона міститься потенційно в сотнях плагінів для WordPress. Серед них Flash Gallery, Slidedeck2, WPClone, PayPal Digital Goods powered by Cleeng і Cleeng Content Monetization. Та існує багато інших уразливих плагінів до WordPress з ZeroClipboard. Як я зазначав у першому записі, після публікації XSS дірки в плагіні WP-Table Reloaded я звернув увагу на уразливості в цій флешці. Після публікації трьох записів на тему ZeroClipboard в лютому, я зробив паузу (перед наступними публікаціями), а тим часом у березні один дослідник оприлюднив численні уразливі WordPress плагіни з цією флешкою. В цьому списку багато плагінів, але це не вичерпний список, я знаходив багато інших уразливих плагінів з ZeroClipboard (в тому числі навів такі нижче).

Cross-Site Scripting (WASC-08):

XSS через параметр id та XSS через копіювання атакуючого коду в буфер обміну (як я описав в попередньому записі).

1 Flash Gallery:

http://site/wp-content/plugins/1-flash-gallery/swf/ZeroClipboard.swf?id=%22))}catch(e){}if(!self.a)self.a=!alert(document.cookie)//&width&height

Slidedeck2 (всі Lite, Personal та Pro версії):

Папка плагіна може називитися slidedeck2, slidedeck-2.0, slidedeck2-personal та slidedeck2-pro. Містить файли ZeroClipboard.swf та ZeroClipboard10.swf.

http://site/wp-content/plugins/slidedeck2/js/zeroclipboard/ZeroClipboard.swf?id=%22))}catch(e){}if(!self.a)self.a=!alert(document.cookie)//&width&height
http://site/wp-content/plugins/slidedeck2/js/zeroclipboard/ZeroClipboard10.swf?id=%22))}catch(e){}if(!self.a)self.a=!alert(document.cookie)//&width&height

WPClone:

http://site/wp-content/plugins/wpclone/lib/js/ZeroClipboard.swf?i?id=%22))}catch(e){}if(!self.a)self.a=!alert(document.cookie)//&width&height

PayPal Digital Goods powered by Cleeng:

http://site/wp-content/plugins/paypal-digital-goods-monetization-powered-by-cleeng/js/ZeroClipboard.swf?id=%22))}catch(e){}if(!self.a)self.a=!alert(document.cookie)//&width&height

Cleeng Content Monetization:

http://www.drchloecarmichael.com/wp-content/plugins/cleeng/js/ZeroClipboard.swf?id=%22))}catch(e){}if(!self.a)self.a=!alert(document.cookie)//&width&height

Це дуже поширена флешка. Якщо при стандартному пошуку через Гугл дорки можна знайти десятки тисяч сайтів з ZeroClipboard.swf чи ZeroClipboard10.swf, то при пошуку по плагінам для WordPress можна знайти сотні тисяч сайтів з цими флешками.

Вразливі наступні веб додатки з флешкою (всі версії, перевірялося в зазначених версіях): Flash Gallery 1.7.2, Slidedeck2 (всі Lite, Personal та Pro версії, виправлено в версії 2.1.20130306), WPClone 2.0.6, PayPal Digital Goods powered by Cleeng 2.2.4, Cleeng Content Monetization 2.3.2.

Обидві XSS уразливості в ZeroClipboard вже виправлені в останній версії (від нових розробників) ZeroClipboard 1.1.7.

У лютому, 27.02.2013, вийшов Mozilla Firefox 19.0.1, а вже 07.03.2013 вийшов Mozilla Firefox 19.0.2. Нові версії браузера вийшли лише через, відповідно, вісім та шістнадцять днів після виходу Firefox 19. І в них виправлені деякі баги та уразливості допущені в останньому релізі.

Mozilla представила коригувальний випуск Firefox 19.0.1 у якому усунутий один баг. Це виправлення стосується лише Windows 8 - покращена стабільність на деяких графічних картах AMD Radeon HD (тобто виправлене вибивання браузера). Хоча Мозіла і не відзначила це як виправлення безпеки, що типово для неї, але я відношу це до секюріті виправлення (бо це була DoS в браузері).

Також Mozilla представила коригувальний випуск Firefox 19.0.2 у якому усунута одна дірка. Це Use-after-free уразливість в HTML-редакторі. Дана уразливість стосується Mozilla Firefox, Thunderbird і Seamonkey, які були оновлені.

Виявлений витік пам’яті в Perl.

Уразливі версії: Perl 5.8, 5.10, 5.12, 5.14, 5.16.

Витік пам’яті при роботі з хеш-таблицями.

• perl security update (деталі)