Архів за Травень, 2013

Добірка експлоітів

17:23 23.05.2013

В даній добірці експлоіти в веб додатках:

  • nginx 0.6.x Arbitrary Code Execution NullByte Injection Vulnerability (деталі)
  • D-Link DIR615h OS Command Injection Vulnerability (деталі)
  • Linksys WRT160nv2 apply.cgi Remote Command Injection (деталі)
  • MS Internet Explorer & MSN Explorer Arbitrary File Overwrite (деталі)
  • nginx 1.3.9-1.4.0 DoS PoC (деталі)

DoS в онлайн інтерпретаторах

22:45 22.05.2013

В 2010 році я писав про Міжмовний XSS (Cross-Language Scripting) - XSS уразливості в онлайн інтерпретаторах, а зараз розповім про DoS уразливості в онлайн інтерпретаторах.

Denial of Service уразливості я знаходив у двох інтерпретаторах: в 2009 році в MustLive Perl Pascal Programs Interpreter та в 2012 році в TryRuby. В обох виявлених випадках, це були DoS атаки через споживання ресурсів (в даному випадку пам’яті сервера). Відповідно до класифікації DoS уразливостей у веб додатках - це DoS перенавантаження.

MustLive Perl Pascal Programs Interpreter

Коли я створив свій інтерпретатор в 2006 році, зокрема у версії Perl Pas Interpreter 1.2, коли я додав веб інтерфейс, я зробив надійних захист від DoS атак. Але у 2009 році я виявив можливості для обходу захисних механізмів та проведення DoS атак.

Тоді один відвідувач мого сайту виявив можливість DoS атаки на поглинання пам’яті сервера через функцію concat. Після перевірки, я підтвердив уразливість в цій функції, а також виявив ще інші функції через які можна провести подібну атаку. Що я виправив у своєму інтерпретаторі у березні 2009 року.

Код для проведення DoS атаки:

s := ‘Hello world!’;
for i:=0 to 25 do s := concat(s, s);

25.03.2009 у версії 1.4.8 я покращив захист від DoS, шляхом обмеження розміру строкових даних до 255 символів (бо з перших версій інтерпретатора я не робив обмежень на розмір строкових даних, хоча у класичному Паскалі вони обмежені 255 символами, і в цій версії я зробив їх розмір як у класичному Паскалі). Це обмеження розміру строкових даних я додав в оператор присвоєння та у функції concat та insert, а пізніше у версії 1.4.10 я додав це обмеження у функції pos, delete та copy (через pos атаку не проведеш, але для уніфікації функцій). Таким чином всі функції для роботи зі строковими даними захищені від DoS атак.

TryRuby

Даний інтерпретатор розміщений на сайті tryruby.org і доступний на різних уроках (http://tryruby.org/levels/1/challenges/0). Як я вияснив, він використовує JRuby Sandbox, тому DoS також стосуються цієї програми. При відправленні спеціального коду в інтерпретатор (наприклад, повторенні рядка на 1 мільйон або більше разів), відбувається сильне навантаження сервера.

"aaaaaaaaaaaaaaaaaaaaaaaaaaaaaa" * 1000000

DoS уразливість наявна в строкових функціях: в операторі повтору (*), в операторах конкатенації (+, << і методі concat) та в insert.

str = "DoS"
for i in 1..50 do str.concat(str) end

Для атаки потрібно постійно слати подібний код (з оператором повтору, конкатенації чи включення) через спеціальний PUT запит веб додатку http://tryruby.org/levels/1/challenges/0/play, щоб тримати сервер недоступним.

Висновки.

Наведені приклади продемонстрували DoS уразливості через споживання ресурсів, зокрема пам’яті сервера. Такі уразливості мали місце при роботі з строковими даними.

Вони можуть бути використані для атак на сервери з онлайн інтерпретаторами. Так що такі уразливості трапляються в онлайн інтерпретаторах і розробникам подібних програм потрібно звертати на це увагу, щоб надійно захищати їх від DoS атак.

Повторний масовий взлом сервера Hvosting

20:06 22.05.2013

Два роки тому відбувся масовий взлом сайтів на сервері Hvosting. І в цьому році, в період 18.02.2013-01.05.2013, а також 22.08.2011, відбувся повторний масовий взлом цього ж сервера. Я періодично виявляю повторні взломи серверів і це черговий випадок.

Був взломаний сервер української компанії Hvosting. Взлом, що складався з декількох взломів, відбувся після згаданого масового взлому сайтів на сервері Delta-X.

Якщо першого разу було взломано 17 сайтів, то цього разу було взломано 17 сайтів (з них 1 в 2011 році та 16 в 2013 році) на сервері української компанії Hvosting (IP 91.200.40.39). Це наступні сайти: www.museum.ceramology.gov.ua, elit-dah.if.ua, krgrand.com, www.altrad-mostostal.com.ua, keramdach.com.ua, 7art.if.ua, rimo.if.ua, pozitiv.if.ua, metr.if.ua, metr-tyr.if.ua, ceramology.gov.ua, ceramology-inst.gov.ua, opishne-museum.gov.ua, poshyvailo-potters.gov.ua, selyuchenko-potters.gov.ua, poladm.gov.ua. Серед них українські державні сайти www.museum.ceramology.gov.ua, ceramology.gov.ua, ceramology-inst.gov.ua, opishne-museum.gov.ua, poshyvailo-potters.gov.ua, selyuchenko-potters.gov.ua та poladm.gov.ua (в 2011 та в 2013).

З зазначених 17 сайтів 1 сайт був взломаний хакером iskorpitx, 5 сайтів хакером Hmei7, 6 сайтів хакерами з 1923Turk, 2 сайти хакером Ziko’w та по 1 сайту хакерами Sejeal, HighTech та ghost-dz.

Враховуючи велику кількість окремих дефейсів по одному або кілька сайтів, всі вони явно були зроблені при взломах окремих сайтів. Також не виключена можливість використання уразливостей на сервері для доступу до інших сайтів.

Добірка уразливостей

17:27 22.05.2013

В даній добірці уразливості в веб додатках:

  • Cisco AnyConnect VPN Client Verification Bypass Remote Code Execution Vulnerability (деталі)
  • SQL Injection Vulnerability in Symphony (деталі)
  • Cisco AnyConnect VPN Client Arbitrary Program Instantiation Remote Code Execution Vulnerability (деталі)
  • PHP Code Injection in FUDforum (деталі)
  • Multiple Vulnerabilities in Cisco AnyConnect Secure Mobility Client (деталі)
  • Reflected Cross-Site-Scripting (XSS) vulnerability in e107 CMS v1.0.2 (деталі)
  • TVMOBiLi Media Server Multiple Remote DoS Vulnerabilities (деталі)
  • Vanilla Forums 2.0.18 / SQL-Injection / Insert arbitrary user & dump usertable (деталі)
  • SonicWALL CDP 5040 v6.x - Multiple Web Vulnerabilities (деталі)
  • Multiple Full Path Disclosure Vulnerabilities in TinyWebGallery <= v1.8.9 (деталі)

DoS уразливість на tryruby.org

23:52 21.05.2013

У вересні, 12.09.2012, я знайшов Denial of Service уразливість на сайті http://tryruby.org. Ця уразливість працює й досі. Про що найближчим часом сповіщу адміністрацію сайта.

TryRuby - це онлайновий інтерпретатор Ruby. Подібний до мого інтерпретатору MustLive Perl Pascal Programs Interpreter, що я розробив в 2006 році.

DoS:

http://tryruby.org/levels/1/challenges/0

“aaaaaaaaaaaaaaaaaaaaaaaaaaaaaa” * 1000000

При відправленні даного коду в інтерпретатор (повторення рядка на 1 мільйон або більше разів), відбувається сильне навантаження сервера. Для атаки потрібно постійно слати подібний код через спеціальний PUT запит, щоб тримати сайт недоступним.

DoS відбувається через забивання доступної пам’яті сервера. Спочатку інтерпретатор відповідає “Something’s gone wrong”, а потім починає відповідати “java.lang.OutOfMemoryError: Java heap space” (з чого видно, що він зроблений на Java). Серверні обмеження JVM захищають від забивання усієї пам’яті сервера одним запитом, але пославши серію запитів можна повністю завантажити сервер.

Вийшов Google Chrome 27

22:42 21.05.2013

Сьогодні, майже через півтора місяці після виходу Google Chrome 26, вийшов Google Chrome 27.

В браузері зроблено декілька нововведень та виправлені помилки. Зокрема реалізована нова секюріті функція - додана підтримка серверного заголовка X-Content-Type-Options: nosniff, розробленого в 2009 році Microsoft для свого браузера Internet Explorer 8. Що є додатковим захистом від XSS атак.

А також виправлено 13 уразливостей, з яких 10 позначені як небезпечні. Це більше ніж у попередній версії браузера.

З виправлених проблем безпеки відзначаються проблеми звертання до вже звільнених блоків пам’яті (Use-after-free) у коді SVG, media loader, в обробниках Pepper, widget, speech і style. Проблеми з виходом за границі буфера усунуті в Web Audio і движку v8. До складу також включена нова версія Flash Player, у якій усунуто 13 уразливостей, що можуть привести до виконання коду при обробці певним чином оформлених swf-файлів.

Інфіковані сайти №158

20:06 21.05.2013

Після попереднього дослідження інфікованих сайтів, приведу нову інформацію про заражені сайти. З числа українських сайтів.

  • http://vip-povar.kiev.ua - інфекція була виявлена 21.05.2013. Зараз сайт входить до переліку підозрілих.
  • http://vetdrug.com.ua - інфекція була виявлена 10.05.2013. Зараз сайт не входить до переліку підозрілих.
  • http://crown.dn.ua - інфекція була виявлена 16.03.2013. Зараз сайт не входить до переліку підозрілих.
  • http://faraon-hotel.com.ua - інфекція була виявлена 07.04.2013. Зараз сайт не входить до переліку підозрілих.
  • http://sinevir.ks.ua - інфекція була виявлена 08.04.2013. Зараз сайт не входить до переліку підозрілих.

Добірка експлоітів

17:27 21.05.2013

В даній добірці експлоіти в веб додатках:

  • Invision Power Board 1.x / 2.x / 3.x Admin Account Takeover (деталі)
  • Dsl Router D-link BZ_1.06 Multiple Vulnerabilities (деталі)
  • SAP SOAP RFC SXPG_CALL_SYSTEM Remote Command Execution (деталі)
  • Mutiny 5 Arbitrary File Upload Vulnerability (деталі)
  • Serva 32 TFTP 2.1.0 - Buffer Overflow Denial of service (деталі)

Уразливості в MCImageManager для TinyMCE

23:53 18.05.2013

03.04.2013

У лютому, 20.02.2013, я знайшов Arbitrary File Uploading уразливості в Moxiecode Image Manager (MCImageManager) для TinyMCE. Про що вже повідомив розробникам.

Детальна інформація про уразливості з’явиться пізніше. Спочатку повідомлю розробникам.

18.05.2013

Arbitrary File Uploading (WASC-31):

http://site/path/tiny_mce/plugins/imagemanager/pages/im/index.html

Плагін MCImageManager для TinyMCE вразливий до обхідних атак при завантаженні файлів. Що призводять до виконання коду на веб серверах IIS і Apache.

Код виконається через завантаженні файла. Програма вразлива до двох методів виконання коду: через використання символа “;” (1.asp;.jpg) в імені файла (IIS), через подвійне розширення (1.php.jpg) (Apache).

Вразливі Moxiecode Image Manager 3.1.5 та попередні версії. В квітні розробник пообіцяв виправити дані уразливості в новій версії веб додатку.

Новини: новий вірус для iBank 2, бекдор в lighttpd і nginx та взлом БД гребель США

22:45 18.05.2013

За повідомленням www.xakep.ru, новий вірус атакує клієнтів “iBank 2″.

На початку 2013 року в компанії Group-IB розслідували розкрадання великої суми в юридичної особи через систему дистанційного банківського обслуговування. У процесі розслідування інциденту фахівцями Group-IB була виявлена і розібрана нова шкідлива програма, націлена тільки на банк-клієнт “iBank 2″. Як на момент розкрадання грошей з рахунка юридичної особи, так і на момент проведення розслідування жоден з антивірусних продуктів не виявляв дану програму.

В статті Атаки на банківські системи я вже писав про банківські трояни. Зокрема про шкідливу програму Ibank, що призначена для атак на першу версію системи ДБО iBank, а це виявили троян для другої версії даної системи.

За повідомленням www.opennet.ru, виявлено атаку по впровадженню бекдора на веб сервери з lighttpd і nginx.

Фахівці антивірусної компанії ESET виявили близько 400 серверів, уражених бекдором Cdorked, з яких 50 серверів обслуговують сайти, що входять у список 100000 найбільш популярних ресурсів по рейтингу Alexa. Примітно, що крім випадків, які зустрічалися раніше, упровадження даного бекдора у виконавчий файл http-сервера Apache, нова інформація свідчить про використання варіанта Cdorked, що вражає сервери на базі lighttpd і nginx. Для перевірки впровадження бекдора радиться оцінити цілісність виконавчих файлів httpd, nginx і lighttpd по контрольній сумі.

Подібні бекдори розповсюджують шкідливий код на всіх сайтах на вражених серверах. Раніше я писав про бекдор в Apache, а також про руткіт для nginx та інші випадки впровадження бекдорів у веб сервери. Даний метод розповсюдження інфекції стає все більш поширеним.

За повідомленням www.xakep.ru, взломано базу даних гребель США.

Невідомі зловмисники зуміли одержати доступ до Національного реєстру гребель - бази даних, що веде Інженерний корпус армії США. Це дуже цінна база даних про 79000 гребель на території Америки, із указівкою їхніх слабких місць, оцінкою кількості загиблих у випадку прориву та іншою важливою інформацією.

Несанкціоноване проникнення на сервери із секретною інформацією відбулося в січні і було виявлено тільки в квітні. Таким чином, шпигуни мали доступ до інформації протягом трьох місяців.