Websecurity - Веб безпека

Продовжуючи розпочату традицію, після попереднього відео про фазінг онлайнових ігор, пропоную нове відео на веб секюріті тематику. Цього разу відео про хакінг MMORPG для забави та прибутку. Рекомендую подивитися всім хто цікавиться цією темою.

DEFCON 19: Hacking MMORPGs for Fun and Mostly Profit

Два роки тому на конференції DEFCON 19 відбувся виступ Josh Phillips та Mike Donnelly. В своєму виступі вони розповіли про взлом Massively multiplayer online role-playing game (MMORPG). Коли знаходяться уразливості на серверній чи клієнтській частини MMORPG, які використовуються для різних атак, зокрема фінансового характеру (як то для збільшення внутрішньо ігрової валюти, яку нерідко можна конвертувати в реальні гроші). Дане відео продовжує тему взлому онлайнових ігор.

Вони розповіли про реверсивну інженерію клієнтів та протоколів MMORPG на прикладі популярних ігор. Рекомендую подивитися дане відео для розуміння сучасних атак на Інтернет ігри.

Виявлена можливість проведення DoS атаки проти ModSecurity.

Уразливі версії: ModSecurity 2.7.

Звертання по нульовому вказівнику за певних умов.

• [ModSecurity] Remote Null Pointer Dereference (деталі)

У травні, 25.05.2013, під час тестування сканерів бекдорів серед плагінів для WordPress, я виявив Full path disclosure та Security bypass уразливості в плагіні AntiVirus для WordPress. Про що вже сповістив розробника плагіна.

Це секюріті плагін для виявлення експлоітів та бекдорів в WordPress. Який не зміг виявити мій Backdoored Web Application (BWA) - еталонний тест для сканерів бекдорів.

Full path disclosure (WASC-13):

http://site/wp-content/plugins/antivirus/uninstall.php

Security bypass (WASC-31):

Даний обхід безпеки дозволяє включити php бекдор у веб сайт, що не буде знайдений цим плагіном. Всі деталі виявлення BWA даним плагіном та методи обходу описані в моїй статті про тестування сканерів бекдорів.

Вразливі AntiVirus for WordPress 1.0 та попередні версії. Версії від 1.1 до 1.3.4 все ще вразливі до Security bypass, але FPD була виправлена шляхом видалення uninstall.php в AntiVirus 1.1.

Торік відбувся масовий взлом сайтів на сервері Besthosting. Пізніше, в період 19.12.2012-07.02.2013, відбувся повторний масовий взлом цього ж сервера. Я періодично виявляю повторні взломи серверів і це черговий випадок.

Був взломаний сервер української компанії Besthosting. Взлом, що складався з декількох взломів, відбувся перед згаданим масовим взломом сайтів на сервері Hvosting.

Якщо першого разу було взломано 42 сайти, то цього разу було взломано 11 сайтів (з них 7 в 2012 році та 4 в 2013 році) на сервері української компанії Besthosting (IP 194.28.172.69). Це наступні сайти: romen-region.gov.ua, www.rdc.org.ua, www.auba.com.ua, www.lpbp.lviv.ua, hutir.net, vaspe.org, www.promix.lviv.ua, ugcc.zp.ua, www.zpk.zp.ua, www.znamenka.dn.ua, it-symphony.com. Серед них український державний сайт romen-region.gov.ua.

З зазначених 11 сайтів 1 сайт був взломаний хакерами з Kosova Hackers Crew, 1 сайт хакером Sejeal, 2 сайти хакером Hmei7 та 7 сайтів хакером EviLHaCk.

Якщо дефейси EviLHaCk могли бути проведені при взломі серверу хостінг провайдера (також не виключена можливість використання уразливостей на сервері для доступу до інших сайтів). То інші дефейси явно були зроблені при взломах окремих сайтів.

06.04.2013

У лютому, 20.02.2013, я знайшов Insufficient Authorization та Arbitrary File Uploading уразливості в aCMS. Про що вже повідомив розробникам системи.

Раніше я вже писав про уразливості в aCMS.

Детальна інформація про уразливості з’явиться пізніше. Спочатку повідомлю розробникам.

04.06.2013

Insufficient Authorization (WASC-02):

Немає обмежень на доступ до менеджера файлів і менеджера зображень.

http://site/assets/js/tiny_mce/plugins/filemanager/pages/fm/index.html
http://site/assets/js/tiny_mce/plugins/imagemanager/pages/im/index.html

Arbitrary File Uploading (WASC-31):

Плагіни MCFileManager і MCImageManager для TinyMCE, що використовуються в системі, вразливі до обхідних атак при завантаженні файлів. Що призводять до виконання коду на веб серверах IIS і Apache.

http://site/assets/js/tiny_mce/plugins/filemanager/pages/fm/index.html
http://site/assets/js/tiny_mce/plugins/imagemanager/pages/im/index.html

Код виконається через завантаженні файла. Перша програма вразлива до трьох методів виконання коду: через використання символа “;” (1.asp;.txt) в імені файла (IIS), через “1.asp” в імені папки (IIS), через подвійне розширення (1.php.txt) (Apache). Друга програма вразлива до двох методів виконання коду: через використання символа “;” (1.asp;.jpg) в імені файла (IIS), через подвійне розширення (1.php.jpg) (Apache).

Вразливі aCMS 1.0 та попередні версії.

Виявлені численні уразливості безпеки в Mozilla Firefox та Thunderbird.

Уразливі продукти: Mozilla Firefox 20.0, Firefox ESR 17.0, Thunderbird 17.0.

Пошкодження пам’яті, використання після звільнення, підвищення привілеїв, витік інформації.

• Mozilla Foundation Security Advisory 2013-41 (деталі)
• Mozilla Foundation Security Advisory 2013-42 (деталі)
• Mozilla Foundation Security Advisory 2013-43 (деталі)
• Mozilla Foundation Security Advisory 2013-44 (деталі)
• Mozilla Foundation Security Advisory 2013-45 (деталі)
• Mozilla Foundation Security Advisory 2013-46 (деталі)
• Mozilla Foundation Security Advisory 2013-47 (деталі)
• Mozilla Foundation Security Advisory 2013-48 (деталі)

В даній добірці експлоіти в веб додатках:

• HP LaserJet Pro P1606dn - Webadmin Password Reset (деталі)
• YeaLink IP Phone Firmware <=9.70.0.100 Unauthenticated Phone Call Vulnerability (деталі)
• TP-LINK WR842ND Remote Multiple SSID Directory Travesal Exploit (деталі)
• Intrasrv Simple Web Server 1.0 SEH based Remote Code Execution BOF (деталі)
• Monkey HTTPD 1.1.1 - Crash PoC (деталі)

У травні, 25.05.2013, під час тестування сканерів бекдорів серед плагінів для WordPress, я виявив Full path disclosure та Security bypass уразливості в плагіні Exploit Scanner для WordPress. Про що вже сповістив розробника плагіна.

Це секюріті плагін для виявлення експлоітів та бекдорів в WordPress. Який не зміг виявити мій Backdoored Web Application (BWA) - еталонний тест для сканерів бекдорів.

Full path disclosure (WASC-13):

http://site/wp-content/plugins/exploit-scanner/exploit-scanner.php

Security bypass (WASC-31):

Даний обхід безпеки дозволяє включити php бекдор у веб сайт, що не буде знайдений цим плагіном. Всі деталі виявлення BWA різними версіями даного плагіна та методи їх обходу описані в моїй статті про тестування сканерів бекдорів.

Вразливі Exploit Scanner для WordPress 1.3.3 та попередні версії.

Виявлені численні уразливості безпеки в Microsoft Internet Explorer.

Уразливі продукти: Microsoft Internet Explorer 6, 7, 8, 9, 10 під Windows XP, Windows 2003 Server, Windows Vista, Windows 2008 Server, Windows 7, Windows 8, Windows 2012 Server.

Витік інформації, численні використання пам’яті після звільнення.

• Microsoft Internet Explorer 10-9-8-7-6 VML Remote Integer Overflow (MS13-037 / Pwn2Own) (деталі)
• Microsoft Internet Explorer 10-9 Object Confusion Sandbox Bypass (MS13-037 / Pwn2Own) (деталі)
• Microsoft Security Bulletin MS13-037 - Critical Cumulative Security Update for Internet Explorer (2829530) (деталі)
• Microsoft Security Bulletin MS13-038 - Critical Security Update for Internet Explorer (2847204) (деталі)

Після попереднього дослідження інфікованих сайтів, приведу нову інформацію про заражені сайти. З числа українських сайтів.

• http://nbuv.gov.ua - інфікований державний сайт - інфекція була виявлена 25.05.2013. Зараз сайт не входить до переліку підозрілих.
• http://sunnyukraine.com - інфекція була виявлена 07.04.2013. Зараз сайт не входить до переліку підозрілих.
• http://terrace.org.ua - інфекція була виявлена 07.05.2013. Зараз сайт входить до переліку підозрілих.
• http://kaylas.com.ua - інфекція була виявлена 22.05.2013. Зараз сайт не входить до переліку підозрілих.
• http://vofarmacia.kiev.ua - інфекція була виявлена 22.05.2013. Зараз сайт входить до переліку підозрілих.
• http://uahotels.info - інфекція була виявлена 20.05.2013. Зараз сайт не входить до переліку підозрілих.
• http://watchfilmonline.ucoz.ua - інфекція була виявлена 22.05.2013. Зараз сайт входить до переліку підозрілих.
• http://yuka.kiev.ua - інфекція була виявлена 14.05.2013. Зараз сайт не входить до переліку підозрілих.
• http://hinfo.com.ua - інфекція була виявлена 15.03.2013. Зараз сайт не входить до переліку підозрілих.
• http://mramor-kamin.com - інфекція була виявлена 07.03.2013. Зараз сайт не входить до переліку підозрілих.