Архів за Вересень, 2013

Новини: персональні дані, служба по боротьбі з кіберзлочинністю та Java

22:47 28.09.2013

За повідомленням www.xakep.ru, персональні дані всіх американців можна купити.

Брайан Кребс після семи місяців розслідування здійснив чергове голосне викриття. Він знайшов, що на підпільних хакерських форумах можна купити інформацію про будь-якого американця, включаючи номер соціального страхування, день народження, номер водійського посвідчення і т.д. Ціни різняться від 50 центів до $2,50 за персональну інформацію і від $5 до $15 за перевірку кредитної історії і більш докладні біографічні дані.

Брайан перевірив, що інформація дійсно правдива, і продавець під ніком SSNDOB реально має доступ до справжніх державних і комерційних баз даних про резидентів США.

За повідомленням www.bbc.co.uk, у Британії створять нову службу по боротьбі з кіберзлочинністю.

Міністр оборони Великобританії заявив, що для того, щоб зміцнити національну безпеку, у країні буде створена нова служба, що буде бороти з кіберзлочинністю.

При створенні нового Об’єднаного відділу по боротьбі з кіберзлочинністю, сотні резервістів, що є фахівцями з комп’ютерних технологій, будуть залучені до роботи разом зі штатними працівниками.

За повідомленням www.opennet.ru, небажання користувачів мігрувати на Java 7 стає серйозною загрозою безпеки.

Компанія Trend Micro опублікувала попередження про виникнення небезпечної ситуації, пов’язаної з припиненням випуску оновлень для Java 6. Незважаючи на те, що гілка Java 6 досягла кінця свого життєвого циклу в лютому і публічні оновлення більше не виходять, біля половини користувачів продовжують користуватися Java 6. З моменту останнього оновлення уже виявлено декілька критичних уразливостей, які торкаються Java 6, що створює серйозну загрозу для сотень мільйонів користувачів, що не поспішають виконати оновлення до Java 7.

Найкращий варіант оновлення старих версій Java - це оновлення не до версії 7, а до ніякої версії :-) . Тобто повне видалення з системи. Бо в Java 7 також знаходять уразливості, тому відмова від неї (зокрема від плагіна до браузера) є найбільш безпечним варіантом. Сам використовую цей підхід багато років і всім раджу.

Веб додатки на інфікованих сайтах в 1 півріччі 2013 року

20:14 28.09.2013

В своєму звіті про хакерську активність в Уанеті в 1 півріччі 2013, я згадував, що в першому півріччі було інфіковано 130 сайтів (з них 5 державних сайтів).

Сьогодні я провів дослідження сайтів, що були інфіковані в першому півріччі 2013 року, і на 73 сайтах вдалося виявити движки. Частина з 130 сайтів вже не працювала, частина використовує html (при цьому деякі з них ховають php-додатки за розширенням html), а ще частина використовували власні php-скрипти.

На перевірених сайтах використовуються наступні движки:

Joomla - 28
WordPress - 9
DataLife Engine - 7
Drupal - 4
CNCat - 2
eM&IS-manager - 2
Elite-Board - 2
Gloowi Engine - 2
I-Soft Bizness - 2
ocStore - 2
UGCS CMS - 2
ArtDesign CMS - 1
Artefact St. CMS - 1
Bitrix Site Manager - 1
CMS - 1
CMS Danneo - 1
CMS IT-Project - 1
PHP-Fusion - 1
SmallNuke - 1
vBulletin - 1
Vivvo CMS - 1
WebAsyst Shop-Script - 1

Тобто майже всі інфіковані сайти, з числа працюючих, використовували (за станом на сьогодні) опенсорс веб додатки.

Добірка експлоітів

17:21 28.09.2013

В даній добірці експлоіти в веб додатках:

  • Hewlett-Packard 2620 Switch Series Admin Account CSRF Vulnerability (деталі)
  • HP ProCurve Manager SNAC UpdateDomainControllerServlet File Upload (деталі)
  • Oracle Java ShortComponentRaster.verify() Memory Corruption (деталі)
  • PCMAN FTP 2.07 STOR Command - Stack Overflow Exploit (MSF) (деталі)
  • OpenEMR 4.1.1 Patch 14 SQLi Privilege Escalation Remote Code Execution (деталі)

FPD уразливості в WordPress

23:57 27.09.2013

У версії WordPress 3.6 розробники виправили декілька уразливостей. Але про них розробники WP навмисно не повідомили (для применшення офіційної кількості виправлених дірок).

В цьому місяці я дослідив зміни в версії 3.6 движка і виявив Full path disclosure уразливості в адмінці. Про які не згадали в описі релізу WP 3.6, але згадали про них в Codex серед виправлених багів (при тому, що вони іноді згадують про FPD в анонсах релізів). Що типово для розробників WP - ще з 2007 року вони часто приховують виправлені уразливості.

Раніше я вже писав про уразливості в WordPress та Akismet.

Full path disclosure (WASC-13):

В Media Library якщо атачмент не має батька.
В функції parent_dropdown().
В функції wp_new_comment().
В функції mb_internal_encoding().
При обробці метаданих зображень.
В функції get_post_type_archive_feed_link().
В функції WP_Image_Editor::multi_resize().
В функції wp_generate_attachment_metadata().
При видаленні або відновленні елемента, що вже не існує.

Уразливі WordPress 3.5.2 та попередні версії.

Атаки через Flash

22:49 27.09.2013

Через Flash можна проводити різноманітні атаки, зокрема Cross-Site Scripting та Content Spoofing атаки. В 2010 році в статті Content Spoofing атаки: Link Injection та Text Injection та в 2012 році в статті Content Spoofing атаки: Content Injection та Site Injection я розповідав про різні CS атаки, що я досліджував останні 5 років, частина з яких стосувалася флеша.

Зараз наведу перелік можливих атак на користувачів та відвідувачів сайтів через флеш плагін, що я розробив ще у грудні 2009 року.

  • Remote Flash Inclusion - як на www.banner.kiev.ua.
  • Remote Flash Injection - як на search.ua.
  • Cross-Site Scripting - XSS уразливості в різних флешках, через Flash Inclusion або Flash Injection та через завантаження swf-файлів (в FCKeditor, CKEditor та інших аплоадерах).
  • Link Injection - в банерах та різних флешках, зокрема tagcloud.swf (WP-Cumulus).
  • Text Injection - в банерах, капчах та різних флешках, зокрема tagcloud.swf (WP-Cumulus).
  • Remote Audio Inclusion - зокрема в аудіо плеєри.
  • Remote Video Inclusion - зокрема в відео плеєри.
  • Remote Image Inclusion - зокрема в відео плеєри.
  • Remote XML Inclusion - зокрема в аудіо та відео плеєри.
  • Denial of Service - через DoS уразливості у флеш-плагіні.
  • Remote Code Execution - через уразливості у флеш-плагіні.
  • User tracking - через флеш кукіси (класи SharedObject та Cookie).
  • Redirection - через Flash Inclusion або Flash Injection та через розміщення флешек з редиректорами, про що я розповідав в статті Редиректори через Flash.
  • Malware spreading та phishing - через XSS або редиректори.

Атаку для включення аудіо, відео та зображень я назвав одним терміном Content Injection. А Remote XML Inclusion може використовуватися як для Content Injection, так і для Site Injection. Про що я написав у вищезгаданій статті.

Так що Flash-плагін у браузері, що наявний в 99% користувачів Інтернет (серед настільних комп’ютерів, серед мобільних пристроїв інша статистика), може бути використаний для багатьох атак.

Виконання коду в Adobe Flash Player

20:04 27.09.2013

Продовжуючи розпочату традицію, після попереднього відео про Insufficient Process Validation уразливість в Приват24, пропоную нове відео на веб секюріті тематику. Цього разу відео про виконання коду в Adobe Flash Player. Рекомендую подивитися всім хто цікавиться цією темою.

CVE-2012-1535 Adobe Flash Player Vulnerability Metasploit Demo

В даному відео ролику демонструється використання Metasploit Framework для проведення атаки на уразливість в Adobe Flash Player 11.3. В Metasploit створюється і запускається експлоіт, який призводить до віддаленого виконання коду в браузері з Flash плагіном (показано на прикладі браузера IE9) при відкритті сторінки з кодом експлоіту. Що дозволяє нападнику отримати контроль над атакованим комп’ютером.

Атака відбувається при відвідуванні в браузері з флеш плагіном спеціально створеного веб сайта, що містить код експлоіту. Рекомендую подивитися дане відео для розуміння векторів атак на браузери.

Добірка уразливостей

17:29 27.09.2013

В даній добірці уразливості в веб додатках:

  • Varnish 2.1.5 DoS in fetch_straight() while parsing Content-Length header (деталі)
  • Basic Forum by JM LLC - Multiple Vulnerabilities (деталі)
  • Xymon Systems and Network Monitor - remote file deletion vulnerability (деталі)
  • Cross-Site Scripting (XSS) in Magnolia CMS (деталі)
  • Varnish 2.1.5, 3.0.3 DoS in http_GetHdr() while parsing Vary header (деталі)

Похакані сайти №241

23:54 26.09.2013

Після попереднього дослідження похаканих сайтів, приведу нову інформацію про взломані сайти. З числа українських сайтів.

  • http://www.nsj.gov.ua (хакерами з @Df Brazil Hack Team) - 11.09.2013 - похаканий державний сайт, зараз сайт вже виправлений адмінами
  • http://www.tsdazu.gov.ua (хакером Error7rB) - 13.09.2013 - похаканий державний сайт, зараз сайт вже виправлений адмінами
  • http://ekonomics.com.ua (хакером dr.m1st3r)
  • http://ecopsycholog.com (хакерами Arddzz і A’Rui)
  • http://isol-pack.com.ua (хакером Hmei7) - 16.09.2013, зараз сайт вже виправлений адмінами

Нові уразливості на kredobank.com.ua

22:48 26.09.2013

15.06.2013

У лютому, 22.02.2013, я знайшов нові уразливості на http://kredobank.com.ua - сайті банка КРЕДОБАНК. Цього разу це Cross-Site Scripting дірки. Про що найближчим часом сповіщу адміністрацію сайта.

Раніше я вже писав про уразливості на kredobank.com.ua.

Детальна інформація про уразливості з’явиться пізніше. Треба дати час адмінам на реакцію з цього приводу.

26.09.2013

XSS:

На сайті ще є багато інших уразливостей.

Дані уразливості досі не виправлені.

Вийшов Mozilla Firefox 24

20:12 26.09.2013

У вересні, 17.09.2013, вийшов Mozilla Firefox 24. Нова версія браузера вийшла через півтора місяця після виходу Firefox 23.

Mozilla офіційно випустила реліз веб-браузера Firefox 24, а також мобільну версію Firefox 24 для платформи Android. Відповідно до шеститижневого циклу розробки, реліз Firefox 25 намічений на 29 жовтня, а Firefox 26 на 10 грудня. Випуск віднесений до категорії гілок із тривалим терміном підтримки (ESR), оновлення для яких випускаються протягом року. Одночасно вийшов Thunderbird 24, що також віднесений до випусків із тривалим терміном підтримки.

Також був випущений Seamonkey 2.20 та оновлений коригувальний реліз гілки із тривалим терміном підтримки Firefox 17.0.9.

Окремо варто відзначити, що крім нововведень і виправлення помилок у Firefox 24.0 усунуто 17 уразливостей, серед яких 7 позначені як критичні, що можуть привести до виконання коду зловмисника при відкритті спеціально оформлених сторінок. Причому ця кількість - це саме патчі (Mozilla типово виправляє по декілька дір за один патч).