Websecurity - Веб безпека

На початку року відбувся масовий взлом сайтів на сервері P-host. Він тривав у 2009 та у 2013 роках: 31.12.2009 та від 13.01.2013 до 05.05.2013.

Був взломаний сервер української компанії P-host. Взлом складався з багатьох невеликих дефейсів та одного крупного дефейсу сайтів. Масовий дефейс відбувся після згаданого повторного масового взлому сайтів на сервері Besthosting.

Всього було взломано 20 сайтів на сервері хостера P-host (IP 77.120.114.162). Це наступні сайти: sunrise.od.ua, veselo-mig.od.ua, solaris.od.ua, sotbi.com.ua, villadiana.com.ua, neo-biotechnology.com, alfa-fasad.com.ua, vipmasi.com, oasis-zatoka.od.ua, bestsite.in.ua, getman.od.ua, www.galaxie.com.ua, vnl.com.ua, cargo-euro.com, belwitec.com.ua, www.dak.gov.ua, paritet-info.com, www.blagfond-ch.com.ua, www.transavio.com.ua, www.vaz2110.net. Серед них український державний сайт www.dak.gov.ua.

З зазначених 20 сайтів 11 сайтів були взломані хакером SultanHaikal, 1 сайт хакером Hmei7, 1 сайт хакером s13doeL, 5 сайтів хакером Sejeal, 1 сайт хакером misafir та 1 сайт хакерами з 1923Turk.

У випадку крупного дефейса SultanHaikal, сайти могли бути атаковані хакером через взлом серверу хостінг провайдера. А всі невеликі дефейси по одному або декілька сайтів явно були зроблені при взломах окремих сайтів. Також не виключена можливість використання уразливостей на сервері для доступу до інших сайтів.

В даній добірці уразливості в веб додатках:

• Multiple XSS vulnerabilities in Cerberus FTP Server <= 5.0.5.1 (деталі)
• Actuate ‘ActuateJavaComponent’ Multiple Vulnerabilities (деталі)
• bogofilter security update (деталі)
• Multiple vulnerabilities in NetApp OnCommand System Manager (деталі)
• EMC Data Protection Advisor Information Disclosure Vulnerability (деталі)
• Cross-Site Request Forgery (CSRF) in UMI.CMS (деталі)
• Firefly MediaServer Multiple Remote DoS Vulnerabilities (деталі)
• Simple Webserver 2.3-rc1 Directory Traversal (деталі)
• Nexpose Security Console - Cross-Site Request Forgery (CSRF) (деталі)
• Nexpose Security Console - Session Hijacking (деталі)

Про оригінальні методи проведення Cross-Site Scripting атак я писав неодноразово, зокрема в статті обхід фільтрів для проведення XSS атак. І зараз я розповім про нові мої розробки в галузі обходу XSS фільтрів.

Ще 08.09.2008, коли я досліджував уразливості у браузерах, я звернув увагу на можливість використання фреймів, яка на той момент не була широко відомою. Можливе використання тегів frameset та iframe для проведення XSS атак, причому в інший спосіб, ніж описано в найбільш відомому переліку технік XSS атак - XSS Cheat Sheet (що раніше розміщувався на сайті RSnake, а зараз він встановив редиректор на XSS Filter Evasion Cheat Sheet від OWASP, яка заснована на його матеріалах).

В той день я перевірив лише в декількох браузерах. А в травні я повернувся до цього старого дослідження і перевірив дану методику в багатьох браузерах (з числа наявних у мене). Як вияснилося придумана мною методика не тільки працює в усіх моїх браузерах, але й обходить деякі обмеження (в декількох браузерах), що стосуються раніше відомих технік атаки.

Якщо раніше при використанні тегів frameset та iframe XSS код розміщувався у властивості src і потрібно було вказувати URI (javascript, vbscript чи data), щоб виконати код. І захисні фільтри (веб додатка чи WAF) могли це виявити - по перевірці на src чи на наявність відповідних URI. То я придумав метод, що дозволяє виконати код іншим чином (і JS/VBS код можна вказати без URI), і це дозволяє обійти подібні захисні фільтри. Мій метод передбачає використання обробника onload для тегів frameset та iframe (тобто атака відбувається подібно до тега body).

Раніше відомі методи (згадані в XSS Cheat Sheet):

<frameset><frame src="javascript:alert(document.cookie)"></frameset>
<iframe src="javascript:alert(document.cookie)">

Працює в усіх моїх браузерах. Але в Mozilla 1.7.x, Chrome та Opera код виконується без доступу до кукісів (причому в Mozilla код виконується в домені null, а в Opera в about:blank).

Придумані мною методи (не згадані в XSS Cheat Sheet ні в 2008, ні в 2013 роках):

<frameset onload="alert(document.cookie)">
<iframe onload="alert(document.cookie)">

Працює в усіх моїх браузерах. Зокрема в Mozilla 1.7.x, Mozilla Firefox 3.0.19, 10.0.7 ESR, 15.0.1, Internet Explorer 6, 7, 8, Chrome 1.0.154.48, Opera 10.62. І з доступом до кукісів в усіх браузерах.

Після попереднього дослідження інфікованих сайтів, приведу нову інформацію про заражені сайти. З числа українських сайтів.

• http://kivadm.gov.ua - інфікований державний сайт - інфекція була виявлена 08.04.2013. Зараз сайт не входить до переліку підозрілих.
• http://altamira.com.ua - інфекція була виявлена 06.06.2013. Зараз сайт входить до переліку підозрілих.
• http://qww.com.ua - інфекція була виявлена 09.06.2013. Зараз сайт не входить до переліку підозрілих.
• http://beezy.at.ua - інфекція була виявлена 09.06.2013. Зараз сайт входить до переліку підозрілих.
• http://global-katalog.com - інфекція була виявлена 11.06.2013. Зараз сайт не входить до переліку підозрілих.

В даній добірці експлоіти в веб додатках:

• Netgear WPN824v3 Unauthorized Config Download (деталі)
• Netgear DGN1000 / DGN2200 Authentication Bypass / Command Execution (деталі)
• DS3 Authentication Server Command Execution Vulnerability (деталі)
• Imperva SecureSphere Operations Manager Command Execution Vulnerability (деталі)
• ModSecurity Remote Null Pointer Dereference Vulnerability (деталі)

За повідомленням www.opennet.ru, образи Fedora Linux для хмарних систем створювалися c порожнім паролем для активного акаунта root.

Розробники проекту Fedora повідомили про виявлення уразливості в інструментарії livecd-tools, що приводила до створення образів хмарних оточень з порожнім паролем користувача root, без встановлення ознаки блокування даного акаунта.

Локальний користувач оточення, у тому числі створюваний за замовчуванням, міг дістати права користувача root, виконавши su без уведення пароля. Проблема посилюється тим, що вона торкнулася офіційних AMI-образів Fedora 15, 16, 17 і 18, підготовлених для хмарного сервісу Amazon.

За повідомленням www.xakep.ru, криптовалюти змінили обстановку в сфері ІТ-безпеки.

Директор по розробках компанії F-Secure, відомий фахівець з безпеки Мікко Хіппонен пояснив, чому зростаюча популярність криптовалют безпосередньо впливає на захист комп’ютерних систем.

Раніше ботнети розсилали спам чи брали участь у DDoS-атаках. А через поширення кібервалют таких як Bitcoin та Litecoin з’явився тип зловмисників із принципово новими задачами: встановити на комп’ютері користувача програму, що ніяк не буде себе виявляти, ніяк не буде взаємодіяти з користувачем, не буде красти конфіденційну інформацію і т.д., тільки тихо майніти біткоіни у фоновому режимі.

Я вже писав про випадки нелегального майнінга біткоінів. Останнім часом це стало актуальним.

За повідомленням ain.ua, в чернівецькій області шахраї “відмили” майже $4 млн. через електронні гаманці.

Співробітники Міндоходів Чернівецької області виявили і ліквідували схему ухилення від податків за допомогою використання новітніх інтернет-технологій. З використанням електронних гаманців група осіб за 2011-2013 роки здійснила оборот коштів на загальну суму більш $3,5 млн., 1,5 млн. руб і 2,5 млн. грн. Під час обшуку співробітники правоохоронних органів також вилучили “конвертовану” готівку на суму понад $10000.

А перед цим випадком податківці припинили діяльність іншого підприємства. У київській області підприємство незаконно конвертувало 70 млн. грн. із використанням системи електронних грошей. Цього року податкова активізувала свою діяльність в сфері електронних грошей.

Продовжуючи тему уразливостей в плагінах для WordPress, пропоную вам інформацію про дірки в інших плагінах для WP.

Цього разу повідомляю про уразливості в плагінах Securimage, Newsletter та wp-FileManager. Для котрих з’явилися експлоіти. Securimage - це капча-плагін, Newsletter - це плагін для створення емайл розсилань, wp-FileManager - це плагін для управління файлами.

• WordPress Securimage 3.2.4 Cross Site Scripting (деталі)
• Wordpress Newsletter 3.2.6 Cross Site Scripting (деталі)
• WordPress wp-FileManager File Download (деталі)

Користувачам даних плагінів варто або оновити їх, або власноруч виправити дірки. В якості тимчасового рішення, поки не будуть виправлені чи оновлені плагіни, можна їх виключити в адмінці.

Минулого тижня відбувся взлом drupal.org та groups.drupal.org. Як мінімум наприкінці травня адміни цих сайтів виявили сліди компрометації ресурсів.

Про це я дізнався 30.05.2013 від представників Drupal. Так що я отримав цю інформацію не з онлайн ЗМІ, а саме від власників сайта drupal.org. Бо ще на початку минулого року я зареєструвався на цьому сайті, коли повідомляв стосовно дірки в одному з модулів. От ця реєстрація і стала в нагоді, щоб отримати термінове повідомлення від адміністрації сайтів.

Цей підхід може служити таким собі методом відстеження взломів сайтів . Я користуюся ним багато років. Коли сайт, на якому ти зареєструвався, буде взломаний, то ти отримаєш повідомлення про це від адмінів (якщо вони чесні), або прийде повідомлення, що вони “з будь-яких міркувань” вирішили змінити паролі всім користувачам (якщо вони бояться признатися про взлом свого ресурсу). Або тобі на емайл почне активно приходити спам (при тому, що є впевненість, що самі власники ресурсу не продали базу емайлів спамерам). З першими ситуаціями стикався рідко, а от з другими ситуаціями стикався неодноразово.

Чи були в мене сумніви, що сайт Друпала взломають? Не було жодних. Тому жодної приватної чи важливої інформації я не залишив на сайті (як це я завжди і роблю). Не залишайте приватної інформації на різних сайтах і при їх взломі й витоку БД, ви не постраждаєте - це моя порада. А Друпальщики радять всім користувачам цих ресурсів зайти на сайти і оновити паролі через відповідний функціонал та рекомендують використовувати надійні паролі (та інші базові поради). Тобто роблять хорошу міну, при поганій грі.

В даній добірці уразливості в веб додатках:

• Snare for Linux Password Disclosure (деталі)
• SQL Injection in b2evolution (деталі)
• Snare for Linux Cross-Site Request Forgery (деталі)
• Multiple Cross-Site Scripting (XSS) vulnerabilities in GetSimple CMS (деталі)
• Snare for Linux Cross-Site Scripting via Log Injection (деталі)
• Vulnerabilities in phpmyadmin (деталі)
• unity-firefox-extension vulnerability (деталі)
• hornbill supportworks SQL injection (деталі)
• Security Notice for CA IdentityMinder (деталі)
• Enterpriser16 LoadBalancer v7.1 - Multiple Web Vulnerabilities (деталі)

В даній добірці експлоіти в веб додатках:

• TP-Link IP Camera Hardcoded Credentials / Command Injection (деталі)
• MayGion IP Camera Path Traversal / Buffer Overflow (деталі)
• Zavio IP Camera Command Injection / Bypass Vulnerabilities (деталі)
• Lianja SQL 1.0.0RC5.1 db_netserver Stack Buffer Overflow Vulnerability (деталі)
• Apache Struts includeParams Remote Code Execution (деталі)