Websecurity - Веб безпека

Виявлені численні уразливості безпеки в продуктах Oracle, Sun, MySQL і People Soft.

Уразливі продукти: Oracle 10g, Oracle 11g, MySQL 5.1, 5.5 і 5.6, Oracle E-Business Suite 11i, Solaris 8, 9 і 10, PeopleSoft HRMS 9.1, PeopleSoft PeopleTools 8.53, JRockit 27.7 і 28.2, Oracle Access Manager 11.1, Oracle HTTP Server 10.1 та інші продукти Oracle.

89 різних уразливостей у різних додатках виправлено в щоквартальному оновленні.

• Oracle Hyperion 11 Directory Traversal (деталі)
• Oracle Critical Patch Update Advisory - July 2013 (деталі)

В даній добірці експлоіти в веб додатках:

• Western Digital My Net Wireless Routers - Password Disclosure (деталі)
• D-Link DIR-645 1.03B08 - Multiple Vulnerabilities (деталі)
• INSTEON Hub 2242-222 - Lack of Web and API Authentication (деталі)
• Adobe ColdFusion all versions LFD exploit (without Metasploit) (деталі)
• HP Data Protector CMD Install Service Vulnerability (msf) (деталі)

05.06.2013

У травні, 26.05.2013, я знайшов SQL Injection уразливість в Soltech.CMS. Про що найближчим часом повідомлю розробникам системи.

Детальна інформація про уразливість з’явиться пізніше. Спочатку повідомлю розробникам.

13.08.2013

SQL Injection (WASC-19):

http://site/index.php?level_path=%27%20or%20version()=5%23

Уразливі Soltech.CMS v 0.4 та попередні версії.

На початку року відбувся третій масовий взлом сайтів на сервері Hvosting. Він тривав у 2012 та у 2013 роках: 05.01.2012 та від 11.01.2013 до 18.05.2013.

Був взломаний сервер української компанії Hvosting. Взлом складався з багатьох невеликих дефейсів сайтів та одного крупного дефейсу. Раніше я писав про другий масовий взлом сайтів на сервері Hvosting.

Всього було взломано 28 сайтів на сервері хостера Hvosting (IP 91.200.40.62). Це наступні сайти: www.businessclimate.dn.ua, www.forexrevolution.biz, umoks.com.ua, www.ppvr.kiev.ua, olevsk-rada.gov.ua, dentasept.com.ua, donkidsclub.com.ua, fri.dn.ua, human-design.com.ua, imagedesign.dn.ua, jeremy-grand.com.ua, kudinov.com.ua, kumovya.ru, massage.donetsk.ua, masterlevsha.com.ua, mebeldonetsk.dn.ua, milliontut.ru, napravo.com.ua, organicpro.com.ua, oriflame-kym.ru, promteh.dn.ua, rime.com.ua, textile-plus.com.ua, tsk-comfort.com.ua, uglekachestvo.com.ua, www.master-levsha.dn.ua та dance-land.com (в 2012 і повторно в 2013). Серед них український державний сайт olevsk-rada.gov.ua.

З зазначених 28 сайтів 2 сайти були взломані хакером Hmei7, 20 сайтів хакером Jack Riderr та по 1 сайту хакерами s13doeL, erreur404, Cloudx, Sejeal, KaraCeri та kosovali16.

У випадку крупного дефейса Jack Riderr, сайти могли бути атаковані хакером через взлом серверу хостінг провайдера. А всі невеликі дефейси по одному або декілька сайтів явно були зроблені при взломах окремих сайтів. Також не виключена можливість використання уразливостей на сервері для доступу до інших сайтів.

Виявлена можливість проведення DoS атаки проти Apache mod_dav_svn.

Уразливі продукти: mod_dav_svn для Apache в Subversion 1.7 і 1.8.

Відмова при обробці команд COPY, DELETE, MOVE.

• Vulnerability in mod_dav_svn Apache HTTPD server module in Subversion (деталі)

15.01.2010

У березні, 04.03.2009, я знайшов Insufficient Anti-automation та SQL Injection уразливості на секюріті сайті http://ufrnsb.kiev.ua - сайті УФРНСБ (Українська федерація професіоналів безпеки). Про що найближчим часом сповіщу адміністрацію сайта.

Детальна інформація про уразливості з’явиться пізніше. Треба дати час адмінам на реакцію з цього приводу.

13.08.2013

Insufficient Anti-automation:

http://ufrnsb.kiev.ua/gostevaja_komnata.html

SQL Injection:

http://ufrnsb.kiev.ua/uscr/stand_forms.asp?form_type=-1%20or%20version()=5

SQL Injection уразливість вже виправлена, але IAA дірка досі не виправлена.

Після попереднього дослідження інфікованих сайтів, приведу нову інформацію про заражені сайти. З числа українських сайтів.

• http://crimea.gov.ua - інфікований державний сайт - інфекція була виявлена 03.07.2013. Зараз сайт не входить до переліку підозрілих.
• http://s-format.com.ua - інфекція була виявлена 04.08.2013. Зараз сайт входить до переліку підозрілих.
• http://windelectric.ua - інфекція була виявлена 12.06.2013. Зараз сайт входить до переліку підозрілих.
• http://windelectric.kiev.ua - інфекція була виявлена 08.06.2013. Зараз сайт входить до переліку підозрілих.
• http://vestrum.com.ua - інфекція була виявлена 02.07.2013. Зараз сайт не входить до переліку підозрілих.

Продовжуючи розпочату традицію, після попереднього відео про виконання коду в Firefox, пропоную нове відео на веб секюріті тематику. Цього разу відео про CRIME проти HTTPS. Рекомендую подивитися всім хто цікавиться цією темою.

CRIME vs startups

В даному відео ролику розповідається про використання CRIME-атаки. Compression Ratio Info-leak Made Easy (CRIME) - це інструментарій для атаки на SSL/TLS та SPDY протоколи, що дозволяє організувати перехоплення переданого в рамках зашифрованого з’єднання Cookie з параметрами аутентифікації користувацької сесії.

У відео показане використання CRIME для отримання кукісів на популярних сайтах. Даний інструментарій дешифрує переданий в рамках https-з’єднання сесійний кукіс. Рекомендую подивитися дане відео для розуміння векторів атак через уразливість в SSL/TLS та SPDY протоколах.

В даній добірці експлоіти в веб додатках:

• Karotz Smart Rabbit 12.07.19.00 - Multiple Vulnerabilities (деталі)
• Oracle Hyperion 11 - Directory Traversal (деталі)
• TP-Link TL-SC3171 IP Cameras - Multiple Vulnerabilities (деталі)
• PineApp Mail-SeCure ldapsyncnow.php Arbitrary Command Execution (деталі)
• PineApp Mail-SeCure test_li_connection.php Arbitrary Command Execution (деталі)

За повідомленням www.xakep.ru, четверо росіян і один українець здійснили найбільший взлом в історії за допомогою SQL-ін’єкцій.

Міністерство юстиції США повідомляє про найбільший взлом в історії, що вдалося розкрити правоохоронним органам. У федеральному суді Ньюарка (Нью-Джерсі) пред’явлене обвинувачення п’яти хакерам, що несуть відповідальність за крадіжку більше 160 мільйонів “дампів” платіжних карт, що привело до збитку в сотні мільйонів доларів.

Жертвами взломів у 2005-2012 роках сталі компанії фінансового сектора, банки і торгові мережі. Слідчі пояснюють, що за аферою стоять п’ять чоловік - четверо росіян і один українець - у кожного з який була специфічна роль в організації.

За повідомленням bugtraq.ru, HP визнала існування бекдорів у двох лінійках своїх продуктів.

HP визнала існування недокументованих бекдорів у StoreOnce D2D Backup і StoreVirtual Storage, що забезпечують адміністраторський доступ до керуючої системи. Зокрема у випадку StoreOnce досить увійти по SSH користувачем HPSupport і паролем badg3r5 (який підібрали по SHA1 хешу).

Про бекдори у веб додатках, мережевих пристроях та серверних програмах я вже писав неодноразово. Зараз це актуальна тема.

За повідомленням ko.com.ua, нова уразливість дозволяє обійти HTTPS-захист за 30 секунд.

На проведеній у Лас-Вегасі конференції Black Hat була анонсована BREACH - нова техніка атаки на TLS і SSL. Вона продовжує традиції таких технік як BEAST і CRIME.

Як було показано у доповіді на конференції, протокол HTTPS має серйозну уразливість, що дозволяє в багатьох випадках обійти криптографічний захист усього за 30 секунд. Експлоіт BREACH дає можливість одержувати адреси електронної пошти, кукіси та інші дані користувачів із зашифрованих сторінок.