Websecurity - Веб безпека

На початку року відбувся другий масовий взлом сайтів на сервері Hvosting. Він тривав у 2010-2013 роках: 08.08.2010, від 22.04.2011 до 29.07.2011 та від 26.12.2012 до 15.04.2013.

Був взломаний сервер української компанії Hvosting. Взлом складався з багатьох невеликих дефейсів сайтів. Раніше я писав про повторний масовий взлом сайтів на сервері Hvosting.

Всього було взломано 23 сайти на сервері хостера Hvosting (IP 91.200.40.48). Це наступні сайти: www.skylight.od.ua, oldj.sugarbeet.gov.ua, journal.sugarbeet.gov.ua, bioenergy.in.ua, sugarbeet.gov.ua, gora1if.com, gora1-if.com, astravel.od.ua, cmyk.od.ua, kitejgrad.com, notary-odessa.com.ua, richgroup.com.ua, rooms.od.ua, sfvid.com.ua, stem.od.ua, yellowboards.od.ua, web-master4ree.com, sport-sklad.net.ua, zipstyle.com.ua, xdddd.ru, oriflame-fantastic.ru, do.xdddd.ru, berezneguvate.com.ua. Серед них українські державні сайти oldj.sugarbeet.gov.ua, journal.sugarbeet.gov.ua і sugarbeet.gov.ua.

З зазначених 23 сайтів 2 сайти були взломані хакером Hmei7, 4 сайти хакерами з Ashiyane Digital Security Team, 9 сайтів хакером erreur404 та по 1 сайту хакерами misafir, Sejeal, tn_hacker, xugurx, 1923Turk, K-N-S, iskorpitx та AHG.

Всі невеликі дефейси по одному або декілька сайтів явно були зроблені при взломах окремих сайтів. Також не виключена можливість використання уразливостей на сервері для доступу до інших сайтів.

В даній добірці експлоіти в веб додатках:

• Telnet-Ftp Service Server 1.0 Directory Traversal (деталі)
• MS13-009 Microsoft Internet Explorer COALineDashStyleArray Integer Overflow (деталі)
• MoinMoin twikidraw Action Traversal File Upload Vulnerability (деталі)
• TP-Link Print Server TL PS110U - Sensitive Information Enumeration (деталі)
• Baby FTP Server 1.24 - Denial Of Service (деталі)

В 2011 році я вже писав про Content Spoofing в Moxieplayer, що є складовою частиною плагіна Media для TinyMCE (він входить в ядро TinyMCE). Даний візуальний редактор постачається з багатьма веб додатками, зокрема з WordPress. Ця флешка постачається з WP починаючи з версії 3.3.

Раніше я вже писав про Denial of Service в WordPress.

Content Spoofing (WASC-12):

Якщо попередня уразливість виглядала наступним чином (починаючи з TinyMCE 3.4b2 і в версії 3.4.7 вона була виправлена):

http://site/moxieplayer.swf?url=http://site2/1.flv

То нещодавно була виявлена нова уразливість, що дозволяє обійти захист і провести CS атаку:

http://site/moxieplayer.swf#?url=http://site2/1.flv

Уразливі версії TinyMCE 3.4b2 - 4.0b3. В червні ця уразливість була виправлена. Оновлена версія Moxieplayer присутня в TinyMCE 4.0.

В WordPress атака з використанням цієї флешки має наступний вигляд.

Попередній варіант:

http://site/wp-includes/js/tinymce/plugins/media/moxieplayer.swf?url=http://site2/1.flv

Уразливі версії WordPress 3.3 - 3.4.2.

Новий варіант:

http://site/wp-includes/js/tinymce/plugins/media/moxieplayer.swf#?url=http://site2/1.flv

Уразливі версії WordPress 3.3 - 3.5.1. Цю уразливість виправили в WP 3.5.2.

Виявлена недостатня перевірка https в python-httplib - пакеті для Python.

Уразливі версії: python-httplib 2.

Сертифікат валідується тільки на першому запиті.

• Vulnerability in python-httplib2 (деталі)

В презентації Web Security Horror Stories, Simon Willison розповідає про різноманітні уразливості у веб додатках та їх ризики. Та наводить приклади успішних атак на популярні сайти з використанням цих уразливостей. Зокрема він розповів про XSS, CSRF, SQL Injection та Clickjacking, а також торкнувся атак пов’язаних з Flash, PDF і JSON.

В даній добірці уразливості в веб додатках:

• Serva v2.0.0 HTTP Server GET Remote Denial of Service (деталі)
• Serva v2.0.0 DNS Server Remote Denial of Service (деталі)
• Buffalo TeraStation TS-Series multiple vulnerabilities (деталі)
• Authentication Bypass in LOREX IP Cameras (деталі)
• Symantec Network Access Control Privilege Escalation (деталі)

Торік я писав про XSS уразливості в WordPress, які мають місце в двох редиректорах. Про Redirector уразливості в цих скриптах WP я писав ще в 2007 році (та зробив патчі для них). Розробники виправили редиректори в WP 2.3, тому Redirector і XSS атаки можливі лише в попередніх версіях.

Як я вияснив 24.06.2013, через цей функціонал можна також провести DoS атаки. Тобто з двох редиректорів можна зробити Looped DoS уразливості, поєднавши сайт на WordPress з сервісом редирекції чи іншим сайтом. Дана атака аналогічна зацикленню двох редиректорів, описаному в моїх статтях Пекло редиректорів та Пекельний вогонь для редиректорів.

Раніше я вже писав про CS та XSS уразливості в SWFUpload в WordPress.

Denial of Service (WASC-10):

Потрібно зробити Custom alias на tinyurl.com чи іншому сервісі редирекції, що буде вести на wp-login.php чи wp-pass.php з вказаним аліасом для редирекції.

http://site/wp-login.php?action=logout&redirect_to=http://tinyurl.com/loopeddos1
http://site/wp-pass.php?_wp_http_referer=http://tinyurl.com/loopeddos2

Ось приклади даних уразливостей:

http://tinyurl.com/loopeddos1
http://tinyurl.com/loopeddos2

Дана атака спрацює для WordPress < 2.3. При цьому Mozilla, Firefox, Chrome та Opera після серії запитів зупиняють зациклений редирект, на відміну від IE.

Для того, щоб атака спрацювала у всіх версіях движка, включно з WP 3.5.2, потрібно щоб редиректор був на цьому ж домені, де і сайт на WP. Для цього можна використати будь-яку уразливість, наприклад, reflected XSS чи persistent XSS (на тому ж домені), для включення скрипта для редирекції на один з цих редиректорів:

WordPress_Looped_DoS.html

<script>document.location="http://site/wp-login.php?action=logout&redirect_to=http://site/WordPress_Looped_DoS.html"</script>

WordPress_Looped_DoS-2.html

<script>document.location="http://site/wp-pass.php"</script>

Атака працює як в WordPress 3.5.2 і попередніх версіях, так і не зупиняється браузерами (редирект нескінченний).

У червні, 06.06.2013, вийшли PHP 5.3.26 та PHP 5.4.16. В яких виправлено біля 15 багів. Дані релізи направлені на покращення безпеки та стабільності гілок 5.3.x і 5.4.x.

Серед секюріті виправлень в PHP 5.3.26 та PHP 5.4.16:

• Виправлена Heap-based buffer overflow уразливість в функції php_quot_print_encode.

По матеріалам http://www.php.net.

Після попереднього дослідження інфікованих сайтів, приведу нову інформацію про заражені сайти. З числа українських сайтів.

• http://gidroterm.com.ua - інфекція була виявлена 16.06.2013. Зараз сайт входить до переліку підозрілих.
• http://myremont.in.ua - інфекція була виявлена 15.06.2013. Зараз сайт не входить до переліку підозрілих.
• http://etis.vn.ua - інфекція була виявлена 23.05.2013. Зараз сайт входить до переліку підозрілих.
• http://kharkov-reklama.com.ua - інфекція була виявлена 16.06.2013. Зараз сайт не входить до переліку підозрілих.
• http://sovial.com.ua - інфекція була виявлена 01.05.2013. Зараз сайт не входить до переліку підозрілих.

В даній добірці експлоіти в веб додатках:

• TRENDnet TE100-P1U Authentication Bypass Vulnerability (деталі)
• Linksys X3000 1.0.03 build 001 - Multiple Vulnerabilities (деталі)
• Exim and Dovecot Insecure Configuration Command Injection (деталі)
• Java Web Start Double Quote Injection Remote Code Execution (деталі)
• Sami FTP Server 2.0.1 RETR Denial Of Service (деталі)