Websecurity - Веб безпека

Виявлена можливість підміни сертифіката в PHP і Python при MITM атаках.

Уразливі продукти: PHP 5.4, PHP 5.5, Python.

Некоректна обробка \0 в Subject Alternative Name.

• Vulnerability in php (деталі)
• Vulnerability in python (деталі)

В даній добірці уразливості в веб додатках:

• Verax NMS Password Disclosure (деталі)
• Verax NMS Hardcoded Private Key (деталі)
• Denial of service vulnerability in Apache CXF (деталі)
• Joomla AICONTACTSAFE 2.0.19 Extension Cross-Site Scripting (XSS) vulnerability (деталі)
• Corda Path Disclosure and XSS (деталі)

На початку року відбувся масовий взлом сайтів на сервері XServer. Він тривав від 11.01.2013 до 25.07.2013.

Був взломаний сервер української компанії XServer. Взлом складався з декількох невеликих дефейсів та одного крупного дефейсу сайтів. Масовий дефейс відбувся після згаданого десятого масового взлому сайтів на сервері HostPro.

Всього було взломано 67 сайтів на сервері хостера XServer (IP 91.226.213.223). Це наступні сайти: a-xa.com, beru.net.ua, bulgakov.pp.ua, sunlove.pp.ua, fermery.pp.ua, blesk.cn.ua, tni.net.ua, anlider.com.ua, hope.pp.ua, volleyball-cn.pp.ua, nogtigel.org.ua, kravtsov.pp.ua, buhuchet.in.ua, lesha.pp.ua, chso.com.ua, alta-tour.biz, niva.pp.ua, andrlakes.org.ua, ranchoclub.pp.ua, art.geliar.com, atributplus.com, avtolift.com.ua, kyokusinkan.org.ua, fl.cn.ua, lyubava.org.ua, lascala.cn.ua, manific.com, prodvizheniesajta.net.ua, maremi.com.ua, svet-tm.com, mebel4all.com, neruhomist.cn.ua, svetnadom.com.ua, studio-remont.ru, ookna.cn.ua, vseest.net.ua, rusi4i.org.ua, webmoney-cn.com, bmyvg.org.ua, irgt.org.ua, hdvstudio.com.ua, chggme.org.ua, hdvstudio.net.ua, chmyvg.org.ua, imyvg.org.ua, avtolife2012.pp.ua, komyvg.org.ua, nmyvg.org.ua, kreschatik.in.ua, smyvg.org.ua, workofdream.com, desna-buvr.gov.ua, ymadam.com.ua, wp.atributplus.com, wp.mebel4all.com, parnik.com.ua, udesign.net.ua, teplica.com.ua, krmyvg.org.ua, kievkarate.com.ua, avtolife25.pp.ua, cook-info.org.ua, cook-info.cn.ua, upuc.net.ua, www.audiodoctor.com.ua, koryukivka-rada.gov.ua, www.dm-mebel.com. Серед них українські державні сайти koryukivka-rada.gov.ua та desna-buvr.gov.ua.

З зазначених 67 сайтів 61 сайт був взломаний хакером hasnain haxor, 3 сайти хакером Hmei7, 1 сайт хакером ghost-dz, 1 сайт хакером s13doeL та 1 сайт хакером misafir.

Якщо невеликі дефейси по одному сайту явно були зроблені при взломах окремих сайтів, то стосовно одного великого дефейсу hasnain haxor можна сказати, що враховуючи дефейс 61 сайта за один день, немає сумнівів, що вони були взломані через взлом серверу хостінг провайдера. Коли через взлом одного сайта, був отриманий root доступ до сервера (через уразливості в програмному забезпеченні самого сервера) та атаковані інші сайти на даному сервері.

В презентації Mapping Application Security to Business Value, компанія Redspin розповідає про прив’язку безпеки додатків до цінності бізнесу. І наводить роздуми та поради для ІТ і бізнес менеджерів.

Виявлені численні уразливості безпеки в Google Chrome та Chromium.

Уразливі продукти: Google Chrome 28.0, Chromium 28.0.

Численні пошкодження пам’яті, цілочисленні переповнення, витік інформації.

• chromium-browser security update (деталі)

В даній добірці експлоіти в веб додатках:

• Netgear ProSafe - Information Disclosure Vulnerability (деталі)
• Loftek Nexus 543 IP Cameras CSRF Vulnerability (деталі)
• Joomla Media Manager File Upload Vulnerability (деталі)
• Ultra Mini HTTPD Stack Buffer Overflow Vulnerability (деталі)
• MiniWeb (Build 300) Arbitrary File Upload Vulnerability (деталі)

13.07.2013

У травні, 26.05.2013, я знайшов Cross-Site Scripting та Content Spoofing уразливості в Soltech.CMS. Про що найближчим часом повідомлю розробникам системи.

Раніше я вже писав про уразливість в Soltech.CMS.

Детальна інформація про уразливість з’явиться пізніше. Спочатку повідомлю розробникам.

27.08.2013

В системі використовується вразлива версія JW Player 4.2.90.

Cross-Site Scripting (WASC-08):

http://site/plugins/flashplayer/player.swf?abouttext=Player&aboutlink=data:text/html;base64,PHNjcmlwdD5hbGVydChkb2N1bWVudC5jb29raWUpPC9zY3JpcHQ%2B
http://site/plugins/flashplayer/player.swf?displayclick=link&link=data:text/html;base64,PHNjcmlwdD5hbGVydChkb2N1bWVudC5jb29raWUpPC9zY3JpcHQ%2B&file=1.jpg

Content Spoofing (WASC-12):

http://site/plugins/flashplayer/player.swf?file=1.flv&backcolor=0xFFFFFF&screencolor=0xFFFFFF
http://site/plugins/flashplayer/player.swf?file=1.flv&image=1.jpg
http://site/plugins/flashplayer/player.swf?config=1.xml
http://site/plugins/flashplayer/player.swf?abouttext=Player&aboutlink=http://websecurity.com.ua

Вразливі Soltech.CMS v 0.4 та попередні версії.

У серпні місяці Microsoft випустила 8 патчів. Що більше ніж у липні.

У серпневому “вівторку патчів” Microsoft випустила черговий пакет оновлень, до якого увійшло 8 бюлетенів по безпеці. Що закривають 23 уразливості в програмних продуктах компанії. Три патчі закривають критичні уразливості та п’ять патчів закривають важливі уразливості.

Дані патчі стосуються всіх поточних операційних систем компанії Microsoft - Windows XP, 2003, Vista, 2008, 7, 2008 R2, 8, 2012, RT. А також Microsoft Internet Explorer і Exchange Server.

Після попереднього дослідження інфікованих сайтів, приведу нову інформацію про заражені сайти. З числа українських сайтів.

• http://vipnutrition.com.ua - інфекція була виявлена 11.07.2013. Зараз сайт входить до переліку підозрілих.
• http://screenshot.com.ua - інфекція була виявлена 13.07.2013. Зараз сайт не входить до переліку підозрілих.
• http://rurik.at.ua - інфекція була виявлена 29.06.2013. Зараз сайт входить до переліку підозрілих.
• http://ukrdom.biz - інфекція була виявлена 25.07.2013. Зараз сайт не входить до переліку підозрілих.
• http://skd.vn.ua - інфекція була виявлена 21.07.2013. Зараз сайт входить до переліку підозрілих.
• http://web.kharkov.ua - інфекція була виявлена 22.07.2013. Зараз сайт не входить до переліку підозрілих.
• http://irp.lg.ua - інфекція була виявлена 05.07.2013. Зараз сайт не входить до переліку підозрілих.
• http://vb-agro.org.ua - інфекція була виявлена 22.07.2013. Зараз сайт не входить до переліку підозрілих.
• http://vb-derevo.org.ua - інфекція була виявлена 23.07.2013. Зараз сайт не входить до переліку підозрілих.
• http://buznec.com - інфекція була виявлена 29.06.2013. Зараз сайт не входить до переліку підозрілих.

В даній добірці уразливості в веб додатках:

• Foscam <= 11.37.2.48 path traversal vulnerability (деталі)
• Multiple Vulnerabilities in Kasseler CMS (деталі)
• Air Drive Plus v2.4 iOS - Arbitrary File Upload Vulnerability (деталі)
• Project Pier Web Vulnerabilities (деталі)
• Privoxy Proxy Authentication Credential Exposure (деталі)