Архів за Квітень, 2013

Інфіковані хостери в 2012 році

22:45 17.04.2013

В своїх звітах про Інфіковані хостери в 1 півріччі 2012 року та Інфіковані хостери в 2 півріччі 2012 року я розповів, що в Уанеті було 98 інфікованих сайтів в першому півріччі та 105 інфікованих сайти в другому півріччі минулого року, і навів перелік хостерів, що хостили ці інфіковані сайти. А зараз наведу загальний перелік інфікованих хостерів за весь рік.

Всього в 2012 році було інфіковано 203 сайти (виявлених мною), при цьому один сайт був інфікований в першому і в другому півріччі. Всього було 80 провайдерів, що розміщували дані сайти.

Багато з цих хостінг провайдерів, робили це як в першому, так і другому півріччі минулого року (16 провайдерів), а деякі робили це і 2011 року. Тобто це в них звичайна практика. Цей звіт призначений для того, щоб і хостери і Інтернет користувачі знали найбільших розповсюджувачів шкідливого програмного забезпечення (через інфіковані сайти).

В минулому році наступні хостінг провайдери розміщували на своїх серверах інфіковані сайти: 1GB, Adamant, Amazon Web Services, Autocenter, Besthosting, BitterNet, Black Sea, BSB Service, CaroNet, Cityhost, Citynet, CloudFlare, Colocall, Compubyte Limited, Crimea Internet Services, Datagroup, DCKIEVUA, Delta-X, Dream Line, Freehost, Golden Telecom, Goodnet, Hetzner, HomeUA, Host VDS, Hosting.UA, HostLife, HostPro, Hvosting, iHome, Incapsula, Inetmar, Infocom, Internet-Hosting, Inter-Telecom, iomart Hosting, Keyweb Online, Lancom, Lan-Telecom, LeaseWeb, Limestone Networks, LuckyNet, Lux, Master-Service, MiroHost, NAU, Root, ServerBeach, Service Online, Smarty Media, SpaceWeb, STC Energy, SteepHost, Tangram Ukraine, Taras Shevchenko University of Kyiv Network, Telegroup-Ukraine, Telepark, Terabit, TEST, TOP NET, Triolan, UA Servers, Uadomen, UARNet, Ukrainehosting, Ukrainian Hosting, Ukrhosting, Ukrnames, UN, Unlim, Uplink, Valor, Vizor, Volia, VolumeDrive, Webalta, Wnet, Візор, Пряма Мова, Укртелеком.

Найбільші інфіковані хостери (TOP-10):

  1. Freehost - 17 сайтів
  2. Delta-X - 15 сайтів
  3. Volia - 11 сайтів
  4. Besthosting - 8 сайтів
  5. Hetzner - 8 сайтів
  6. MiroHost - 8 сайтів
  7. Adamant - 7 сайтів
  8. Compubyte Limited - 7 сайтів
  9. UARNet - 6 сайтів
  10. Infocom - 5 сайтів

Всього було виявлено хостінги 196 сайтів з 203. У випадку інших 7 сайтів визначити хостінги не вдалося, тому що в даний момент ці сайти вже не працювали (вони явно були закриті через розміщення malware на цих ресурсах).

Міжсайтовий скриптінг у різних продуктах Microsoft

20:07 17.04.2013

Виявлені XSS уразливості (міжсайтовий скриптінг) у різних продуктах Microsoft.

Уразливі продукти: Microsoft InfoPath 2010, SharePoint Server 2010, SharePoint Foundation 2010, Office Web Apps 2010, Groove Server 2010.

Некоректна нормалізація символів.

  • Microsoft Security Bulletin MS13-035 - Important Vulnerability in HTML Sanitization Component Could Allow Elevation of Privilege (2821818) (деталі)

Добірка експлоітів

17:21 17.04.2013

В даній добірці експлоіти в веб додатках:

  • MS13-009 Internet Explorer WScript.Shell Remote Code Execution (деталі)
  • DLink DIR-645 / DIR-815 Command Execution Vulnerability (деталі)
  • FlashPeak SlimBrowser All Version Remote Code Execution (деталі)
  • ZTE ZXDSL 831IIV7 Privilege Escalation (деталі)
  • MinaliC Webserver 2.0.0 - Buffer Overflow (деталі)

Уразливості в плагінах для WordPress №102

23:55 16.04.2013

Продовжуючи тему уразливостей в плагінах для WordPress, пропоную вам інформацію про дірки в інших плагінах для WP.

Цього разу повідомляю про уразливості в плагінах IndiaNIC FAQS Manager, Level Four Storefront та WP Banners Lite. Для котрих з’явилися експлоіти. IndiaNIC FAQS Manager - це плагін для управління списками часто задаваємих питань, Level Four Storefront - це плагін для створення кошика покупця, WP Banners Lite - це локальна банерна система.

  • WordPress IndiaNIC FAQS Manager 1.0 XSS / CSRF (деталі)
  • WordPress Level Four Storefront SQL Injection (деталі)
  • WP Banners Lite 1.40 Cross Site Scripting (деталі)

Користувачам даних плагінів варто або оновити їх, або власноруч виправити дірки. В якості тимчасового рішення, поки не будуть виправлені чи оновлені плагіни, можна їх виключити в адмінці.

Бекдори у веб додатках

22:46 16.04.2013

В статті Включення бекдорів у веб додатки я розповів про основні шляхи потрапляння бекдору у веб додатки та навів приклади випадків впровадження бекдору у веб додатки та в відкриті операційні системи. Дана стаття є продовженням попередньої.

До раніше наведених веб додатків, в яких були виявленні бекдори, додам нові веб додатки, а також різні мережеві пристрої та серверні програми. В деяких випадках чорні ходи були додані розробниками, а в інших випадках бекдори були додані зловмисниками в код популярних веб додатків.

Випадки впровадження бекдору у веб додатках, мережевих пристроях та серверних програмах:

В попередній статті я писав про розміщення бекдору в WordPress (що мав місце в 2007 році), а також писав про забекдорені плагіни для Joomla. І з останнього прикладу з плагіном Social Media Widget для WP видно, що зловмисники шукають різні способи поширення шкідливого коду. Якщо забекдорити сам движок не вдається, то бекдорять плагіни для нього. З моєї статті випливало, що в будь-який веб додаток можуть потрапити бекдори, і цей випадок з плагіном наявне цьому підтвердження.

Розглянемо інструменти для пошуку чорних ходів. Окрім пошуку бекдорів вручну (як найбільш надійний метод), також можна використовувати спеціальні програми. Про багато з таких програм я писав раніше.

Наступні веб додатки мають функціонал пошуку бекдорів:

Також у грудні я розробив приклад простого веб додатку з вбудованим бекдором - Backdoored Web Application. Він призначений для перевірки систем пошуку бекдорів.

Інфіковані сайти №154

20:07 16.04.2013

Після попереднього дослідження інфікованих сайтів, приведу нову інформацію про заражені сайти. З числа українських сайтів.

  • http://turizm.zp.ua - інфекція була виявлена 08.04.2013. Зараз сайт входить до переліку підозрілих.
  • http://albogroup.com - інфекція була виявлена 12.04.2013. Зараз сайт не входить до переліку підозрілих.
  • http://albogroup.com.ua - інфекція була виявлена 12.04.2013. Зараз сайт не входить до переліку підозрілих.
  • http://medbiz.com.ua - інфекція була виявлена 13.04.2013. Зараз сайт не входить до переліку підозрілих.
  • http://ukraine-today.net - інфекція була виявлена 16.04.2013. Зараз сайт не входить до переліку підозрілих.

Слабкі дозволи в Microsoft SharePoint

17:29 16.04.2013

Виявлені слабкі дозволи в Microsoft SharePoint.

Уразливі версії: Microsoft SharePoint Server 2013.

Слабкі права доступу до документів.

  • Microsoft Security Bulletin MS13-030 - Important Vulnerability in SharePoint Could Allow Information Disclosure (2827663) (деталі)

Уразливості в AI-Bolit

23:55 13.04.2013

22.01.2013

У грудні, 02.12.2012, я виявив Brute Force та Information Leakage уразливості в секюріті додатку AI-Bolit. Про що вже повідомив розробникам веб додатку.

AI-Bolit — це скрипт для пошуку вірусів, троянів, бекдорів та іншої хакерської активності на хостингу.

Детальна інформація про уразливості з’явиться пізніше.

13.04.2013

Brute Force (WASC-11):

http://site/ai-bolit.php?p=1

Information Leakage (WASC-13):

http://site/AI-BOLIT-REPORT.html

http://site/AI-BOLIT-REPORT-<дата>-<час>.html

Витік звітів зі статистикою та FPD. В тому числі такі звіти заіндексовані пошуковими системами. Якщо в звіті показані виявлені на сайті бекдори, то отримавши доступ до звіту, можна дізнатися про бекдори і з їх використанням похакати сайт.

Уразливі всі версії AI-Bolit. У версії 20121014 формат імені файла був змінений (з доданням дати і часу), але його все ще легко підібрати, тому IL уразливість залишилась актуальною. Розробник програми пообіцяв виправити ці уразливості в нових версіях. У версії 20130201 було заборонене індексування звіту та в ім’я файла звіту додається випадкове число (для захисту від підбору імені).

Новини: двохфакторна аутентифікація, віджет для WordPress та тенденції 2013 року

22:49 13.04.2013

За повідомленням www.xakep.ru, Microsoft уводить двохфакторну аутентифікацію.

Найближчим часом користувачі Microsoft Account одержать можливість активувати в налаштуваннях на сайті http://account.live.com нову опцію - двохфакторну аутентифікацію. Це означає, що доступ в аккаунт буде захищений не тільки паролем, але і додатковим одноразовим кодом, що буде приходити на телефон під час аутентифікації.

Google ввела двохфакторну аутентифікацію ще два роки тому, так само як це давно вже зробили інші компанії (в тому числі українські). І от нарешті Microsoft дійшла до цього.

За повідомленням www.opennet.ru, віджет соціальних мереж для WordPress виявився джерелом спама.

У плагині Social Media Widget для WordPress, з реалізацією віджета для вставки кнопок швидкого звернення до соціальних мереж, виявлена наявність шкідливого коду для підстановки спаму. Погіршує ситуацію те, що плагін користається великою популярністю і був завантажений більше 900 тисяч разів. В даний час плагін уже вилучений з каталогу WordPress, а всім користувачам дана рекомендація негайного відключення даного плагіна у своїх системах.

Торік в своїй статті Включення бекдорів у веб додатки я писав про основні шляхи потрапляння бекдору у веб додатки та численні приклади популярних веб додатків в яких були виявленні бекдори (серед них був і WordPress). Я досліджую цю тему на протязі багатьох років. І з моєї статті випливало, що в будь-який веб додаток, в тому числі плагіни, можуть потрапити бекдори. І цей випадок з плагіном для WP наявне цьому підтвердження.

За повідомленням www.xakep.ru, SQL ін’єкції - головна зброя армії скрипт-кідді.

У квітні 2013 року компанія Veracode опублікувала черговий щорічний звіт State of Software Security із тенденціями і статистикою в області інтернет безпеки. Компанія дуже докладно досліджує найбільш розповсюджені уразливості веб додатків, а також загальні тенденції на ринку інтернет безпеки.

Ключові тенденції 2013 року від Veracode: Збільшення кількості “повсякденних” хакерів (скрипт-кідді), Зростання попиту на професіоналів в області ІТ-безпеки, Проблеми з криптографією в додатках під Android (64%) та iOS (58%), Криптографічний захист комунікацій стане нормою.

Добірка експлоітів

17:21 13.04.2013

В даній добірці експлоіти в веб додатках:

  • TRENDNet IP Cam Authentication Bypass Vulnerability (деталі)
  • Ruby Gem kelredd-pruview 0.3.8 Command Injection Vulnerability (деталі)
  • Nagios Remote Plugin Executor Arbitrary Command Execution (деталі)
  • Netgear WNR1000 - Authentication Bypass (деталі)
  • AOL Products downloadUpdater2 Firefox Plugin SRC Parameter Remote Code Execution (деталі)