Websecurity - Веб безпека

В даній добірці уразливості в веб додатках:

• Novell GroupWise Agents Arbitrary File Retrieval (деталі)
• DALIM Dialog Server ‘logfile’ Local File Inclusion (деталі)
• libxslt vulnerabilities, as used in Google Chrome (деталі)
• Apache Commons FileUpload - Insecure examples (деталі)
• (0Day) HP SiteScope SOAP Call getSiteScopeConfiguration Remote Code Execution Vulnerability (деталі)
• OS Command Injection in CosCms (деталі)
• (0Day) HP SiteScope UploadFilesHandler Remote Code Execution Vulnerability (деталі)
• Arbitrary Files Reading in mnoGoSearch (деталі)
• (0Day) HP SiteScope SOAP Call create Remote Code Execution Vulnerability (деталі)
• Cross-site Scripting vulnerabilities in i-doit CMDB (деталі)

Продовжуючи тему уразливостей в плагінах для WordPress, пропоную вам інформацію про дірки в інших плагінах для WP.

Цього разу повідомляю про уразливості в плагінах Events Manager, LeagueManager та Simply Poll. Для котрих з’явилися експлоіти. Events Manager - це плагін для управління та відображення подій, LeagueManager - це плагін для управління спортивними лігами, Simply Poll - це плагін для створення голосувань.

• Multiple XSS vulnerabilities in Events Manager WordPress plugin (деталі)
• WordPress LeagueManager 3.8 SQL Injection (деталі)
• WordPress Simply Poll 1.4.1 CSRF / XSS (деталі)

Користувачам даних плагінів варто або оновити їх, або власноруч виправити дірки. В якості тимчасового рішення, поки не будуть виправлені чи оновлені плагіни, можна їх виключити в адмінці.

Сьогодні відзначається Міжнародний день Інтернету, а також День веб-майстра. День обраний не випадково, тому що сьогоднішня дата “4.04″ нагадує відому помилку сервера 404, що видається веб сервером, коли документ не знайдений. І з “помилкою 404″ доводиться регулярно зустрічатися усім Інтернет-користувачам . Ось таку цікаву дату обрали для цих свят.

Тому поздоровляю вас з цими святами. І себе також, бо веб розробкою я займаюся вже 14 років - відтоді як зробив у квітні 1999 року свій перший сайт. Тому всім бажаю хороших і головне безпечних сайтів.

Останнє особливо важливо, так як дірявих сайтів в Інтернеті багато. І тому сайти регулярно взламують, дефейсять або розміщують шкідливий код, про що я регулярно пишу в новинах (про найбільш гучні випадки) та в своїх звітах про хакерську активність (про ситуацію в Уанеті). А також веб розробникам потрібно створювати безпечні програми, над чим їм ще довго потрібно працювати, як видно з моїх звітів про веб додатки на інфікованих сайтах. А веб майстрам потрібно обирати безпечні веб додатки для своїх сайтів та проводити аудити безпеки.

Виходячи з моїх звітів про веб додатки на інфікованих сайтах в 1 півріччі та веб додатки на інфікованих сайтах в 2 півріччі, я підведу підсумки. Та наведу загальну статистику про веб додатки на інфікованих сайтах в 2012 році.

Як я зазначав в своїх звітах про хакерську активність в Уанеті, в першому півріччі було інфіковано 97 сайтів, а в другому півріччі було інфіковано 105 сайтів. Всього 202 сайти за 2012 рік. І з них на 87 сайтах вдалося виявити движки.

На перевірених в минулому році сайтах використовуються наступні движки:

Joomla - 41
WordPress - 17
DataLife Engine - 9
Drupal - 3
WebAsyst Shop-Script - 3
InstantCMS - 2
osCommerce - 2
Composite C1 CMS - 1
Danneo CMS - 1
eflyCMS - 1
ExpressionEngine - 1
Megapolis.Portal Manager - 1
phpBB - 1
PHP-Nuke - 1
phpWebSite - 1
Serendipity - 1
TYPO3 CMS - 1

Зазначу, що трійка лідерів серед веб додатків у першому й другому півріччі була незмінною. Й відповідно в підсумкових результатах за весь рік.

Тобто майже всі інфіковані сайти, з числа працюючих, використовували опенсорс веб додатки. Більшість з них публічні відкриті CMS, але деякі й комерційні відкриті веб програми.

В даній добірці експлоіти в веб додатках:

• MongoDB nativeHelper.apply Remote Code Execution Vulnerability (деталі)
• Linksys E1500/E2500 apply.cgi Remote Command Injection Vulnerability (деталі)
• Novell ZENworks Configuration Management Remote Execution (деталі)
• Ruby Gem ldoce 0.0.2 Command Execution Vulnerability (деталі)
• Mozilla Firefox 14.01 Memory Exhaustion DoS Exploit (деталі)

В своєму звіті про хакерську активність в Уанеті в 2 півріччі 2012, я згадував, що в другому півріччі було інфіковано 105 сайтів (з них 7 державних сайтів).

Сьогодні я провів дослідження сайтів, що були інфіковані в другому півріччі 2012 року, і на 46 сайтах вдалося виявити движки. Частина з 105 сайтів вже не працювала (у деяких домен не працював, у деяких хостер закрив сайт), декілька використовують html (при цьому частина з них ховає php-додатки за розширенням html), а ще частина використовували власні php-скрипти.

На перевірених сайтах використовуються наступні движки:

Joomla - 20
WordPress - 10
DataLife Engine - 5
Drupal - 2
InstantCMS - 2
Composite C1 CMS - 1
eflyCMS - 1
ExpressionEngine - 1
phpBB - 1
PHP-Nuke - 1
TYPO3 CMS - 1
WebAsyst Shop-Script - 1

Тобто майже всі інфіковані сайти, з числа працюючих, використовували (за станом на сьогодні) опенсорс веб додатки.

02.03.2013

У січні, 27.01.2013, я виявив Denial of Service уразливість в Adobe Flash. Уразливим була остання на той момент версія флеш плеєра. Дана DoS спрацьовує при перегляді спеціальної флешки і призводить до краху операційної системи (BSOD). Про що вже повідомив розробникам додатку (ще у січні).

Adobe вже виправила дану уразливість в середині лютого. Але працівники компанії ще не завершили всі дослідження цієї DoS, тому публікація деталей затягнулася більше ніж на місяць.

Раніше я вже писав про DoS уразливість у Flash плагіні.

Детальна інформація про уразливість з’явиться пізніше, як тільки Adobe завершить свої дослідження.

03.04.2013

Ще минулого місяця я виклав відео, що демонструє цю DoS уразливість в Flash плагіні. Щоб стимулювати людей оновлювати свій флеш плагін.

Adobe Flash DoS BSOD

Це memory corruption (access violation) уразливість. Яка може використовуватися для BSOD та потенційно для віддаленого виконання коду. Дане відео я зробив у січні 2013 року.

Для атаки використовується флешка VideoJS Flash Component від Zencoder. Розробників цього відео плеєра я також сповістив ще на початку лютого.

Атака працює в браузерах Firefox та Opera (причому BSOD тільки в Firefox):

У Mozilla Firefox 15.0.1 і 18.0.1 - зависання браузера (який не можна навіть закрити) і BSOD системи.
У Mozilla Firefox 3.0.19 і 10.0.7 ESR - ніяких збоїв (все робить нормально).
У Opera 10.62 - зависання браузера (який можна закрити).

PoC/Exploit:

Adobe Flash DoS BSOD.rar

Для запуску експлоіта потрібно розмістити його на веб сервері (наприклад, на localhost), помістити поруч з poc.htm будь-який mp4-файл під іменем poc.mp4 та запустити htm-файл (на веб сервері). Та потрібно клікнути мишкою по зображенню динаміка або по полю відео плеєра.

Уразлива версія Adode Flash 11.5.502.146. Атака працює лише на відеокартах AMD/ATI. В версії 11.6.602.168 уразливість вже не працює. Адоб виправила її 12.02.2013 в своєму патчі APSB13-05, що виправив численні уразливості в флеш плеєрі. При цьому Адоб зробила це приховано не вказавши цю уразливість і не пославшись на мене. А після мого повідомлення наприкінці січня, вони 1,5 місяця “перевіряли” і з’їхали, що в них не повторюється ця уразливість (при тому, що я відтворив її на багатьох комп’ютерах з відеокартами ATI), що вони знати нічого не знають (дірка була випадково виправлена в APSB13-05) і ця DoS їх не стосується.

Продовжуючи розпочату традицію, після попереднього відео про сліпі XSS, пропоную нове відео на веб секюріті тематику. Цього разу відео про ботнети: захоплення та керування. Рекомендую подивитися всім хто цікавиться цією темою.

DEFCON 20: Botnets Die Hard - Owned and Operated

Торік на конференції DEFCON 20 відбувся виступ Aditya K. Sood та Richard J. Enbody. В своєму виступі вони розповіли про ботнети. Про існуючі ботнети і сучасні напрямки розвитку ботнетів, про те як відбувається контроль на ними, як перехопити цей контроль у зловмисників, з метою захоплення та керування ботнетом (щоб повністю відключити його, як це роблять секюріті фахівці, що борються з ботнетами).

Вони розповіли про багато різних аспектів ботнетів. Рекомендую подивитися дане відео для розуміння сучасних загроз в Інтернеті.

Після попереднього дослідження інфікованих сайтів, приведу нову інформацію про заражені сайти. З числа українських сайтів.

• http://sarepta.com.ua - інфекція була виявлена 13.03.2013. Зараз сайт входить до переліку підозрілих.
• http://catalog.biz.ua - інфекція була виявлена 16.03.2013. Зараз сайт не входить до переліку підозрілих.
• http://ivanenko.zp.ua - інфекція була виявлена 18.02.2013. Зараз сайт не входить до переліку підозрілих.
• http://bereginya.zp.ua - інфекція була виявлена 09.02.2013. Зараз сайт не входить до переліку підозрілих.
• http://swiftprint.com.ua - інфекція була виявлена 16.03.2013. Зараз сайт не входить до переліку підозрілих.

Виявлені уразливості безпеки в Firebird.

Уразливі версії: Firebird 2.5.

Переповнення буфера, DoS.

• firebird2.5 security update (деталі)