Архів за Вересень, 2013

Добірка експлоітів

17:21 26.09.2013

В даній добірці експлоіти в веб додатках:

  • Good for Enterprise 2.2.2.1611 - XSS Vulnerability (деталі)
  • Kwok Information Server 2.7.3 / 2.8.4 SQL Injection Vulnerability (деталі)
  • Sophos Web Protection Appliance sblistpack Arbitrary Command Execution (деталі)
  • D-Link Devices UPnP SOAP Telnetd Command Execution (деталі)
  • HP ProCurve Manager SNAC UpdateCertificatesServlet File Upload (деталі)

Уразливості в плагінах для WordPress №118

23:53 25.09.2013

Продовжуючи тему уразливостей в плагінах для WordPress, пропоную вам інформацію про дірки в інших плагінах для WP.

Цього разу повідомляю про уразливості в плагінах IndiaNIC Testimonia, NextGen Smooth Gallery та Event Easy Calendar. Для котрих з’явилися експлоіти. IndiaNIC Testimonia - це плагін для написання рецензій, NextGen Smooth Gallery - це плагін для створення галереї зображень, Event Easy Calendar - це плагін для створення календаря на сайті.

  • WordPress IndiaNIC Testimonial 2.2 XSS / CSRF / SQL Injection (деталі)
  • WordPress NextGen Smooth Gallery Cross Site Scripting (деталі)
  • WordPress Event Easy Calendar 1.0.0 XSS / CSRF / Input Validation (деталі)

Користувачам даних плагінів варто або оновити їх, або власноруч виправити дірки. В якості тимчасового рішення, поки не будуть виправлені чи оновлені плагіни, можна їх виключити в адмінці.

Уразливості в різних Ruby Gem

22:46 25.09.2013

Виявлені уразливості безпеки в різних Ruby Gem.

Уразливі продукти: Ruby Gem kelredd-pruview 0.3, Ruby Gem ldoce 0.0, Ruby Gem fastreader 1.0, Ruby Gem ftpd 0.2, Ruby gem Rgpg 0.2.

Уразливості в різних бібліотеках.

  • Rgpg 0.2.2 Ruby Gem Remote Command Injection (деталі)
  • Remote command execution for Ruby Gem ftpd-0.2.1 (деталі)
  • Curl Ruby Gem Remote command execution (деталі)
  • MiniMagic ruby gem remote code execution (деталі)
  • Remote command execution in fastreader ruby gem (деталі)
  • Remote command execution in Ruby Gem Command Wrap (деталі)
  • Remote command execution in Ruby Gem ldoce 0.0.2 (деталі)
  • Remote command injection in Ruby Gem kelredd-pruview 0.3.8 (деталі)

П’ятий масовий взлом сайтів на сервері Besthosting

20:07 25.09.2013

В серпні відбувся новий масовий взлом сайтів на сервері Besthosting. Він тривав на протязі 22.10.2012-12.08.2013. Четвертий масовий взлом сайтів на сервері Besthosting відбувся раніше.

Був взломаний сервер української компанії Besthosting. Взлом складався з багатьох невеликих дефейсів і трьох крупних дефейсів сайтів.

Всього було взломано 89 сайтів на сервері хостера Besthosting (IP 194.28.172.166). Перелік сайтів можете подивитися на www.zone-h.org. Серед них українські державні сайти vinjust.gov.ua (в 2012 році) і www.miroraj.gov.ua (в 2013 році).

Якщо невеликі дефейси по одному або кілька сайтів явно були зроблені при взломах окремих сайтів, то стосовно великих дефейсів NeT.Defacer, Donnazmi та gbs можна сказати, що враховуючи дефейс великої кількості сайтів за один день, немає сумнівів, що вони були взломані через взлом серверу хостінг провайдера. Коли через взлом одного сайта, був отриманий root доступ до сервера (через уразливості в програмному забезпеченні самого сервера) та атаковані інші сайти на даному сервері.

Нові уразливості в InstantCMS

17:27 25.09.2013

30.07.2013

У липні, 14.07.2013, я знайшов Login Enumeration, Cross-Site Scripting та Content Spoofing уразливості в InstantCMS. Про що найближчим часом повідомлю розробникам системи.

Раніше я вже писав про уразливості в InstantCMS.

Детальна інформація про уразливості з’явиться пізніше. Спочатку повідомлю розробникам.

24.09.2013

Login Enumeration (WASC-42):

http://site/users/login

Можна виявляти логіни по профілям користувачів. А також логіни користувачів виводяться в багатьох розділах сайта (сторінці користувачів та інших), бо розробники зовсім не переживають за витоки логінів користувачів.

Cross-Site Scripting (WASC-08):

http://site/includes/swfupload/swfupload.swf?movieName=%22]);}catch(e){}if(!self.a)self.a=!alert(document.cookie);//
http://site/includes/swfupload/swfupload.swf?buttonText=%3Ca%20href=%27javascript:alert(document.cookie)%27%3EClick%20me%3C/a%3E

Content Spoofing (WASC-12):

http://site/includes/swfupload/swfupload.swf?buttonText=test%3Cimg%20src=%27http://demo.swfupload.org/v220/images/logo.gif%27%3E
http://site/includes/swfupload/swfupload.swf?buttonImageURL=http://demo.swfupload.org/v220/images/logo.gif

Вразливі InstantCMS 1.10.2 та попередні версії.

Дані уразливості досі не виправлені.

Insufficient Process Validation уразливість в Приват24

22:43 24.09.2013

Продовжуючи розпочату традицію, після попереднього відео про виконання коду в Mozilla Firefox, пропоную нове відео на веб секюріті тематику. Цього разу відео про Insufficient Process Validation уразливість в Приват24. Рекомендую подивитися всім хто цікавиться цією темою.

Раніше я писав про уразливість в Приват24 для Android та iOS. Нещодавно, 22.09.2013, я зробив відео для цієї уразливості (на прикладі свого Android-плантшета, для iOS дірка аналогічна, що я перевірив на своєму iOS-девайсі), яке виклав на YouTube.

В даному відео ролику демонструється використання уразливості в Privat24, яка дозволяє отримати доступ до акаунтів користувачів без введення OTP та викрасти їх гроші.

Інфіковані сайти №172

20:08 24.09.2013

Після попереднього дослідження інфікованих сайтів, приведу нову інформацію про заражені сайти. З числа українських сайтів.

  • http://crimea-pfu.gov.ua - інфікований державний сайт - інфекція була виявлена 02.07.2013. Зараз сайт не входить до переліку підозрілих.
  • http://brokservis.zp.ua - інфекція була виявлена 12.07.2013. Зараз сайт не входить до переліку підозрілих.
  • http://advocard.odessa.ua - інфекція була виявлена 27.06.2013. Зараз сайт входить до переліку підозрілих.
  • http://euroavto.in - інфекція була виявлена 07.09.2013. Зараз сайт не входить до переліку підозрілих.
  • http://sommer.kiev.ua - інфекція була виявлена 16.07.2013. Зараз сайт не входить до переліку підозрілих.

Добірка експлоітів

17:29 24.09.2013

В даній добірці експлоіти в веб додатках:

  • Western Digital Arkeia Appliance 10.0.10 - Multiple Vulnerabilities (деталі)
  • freeFTPd 1.0.10 PASS Command SEH Overflow (msf) (деталі)
  • HP SiteScope Remote Code Execution Vulnerability (деталі)
  • MS13-055 Microsoft Internet Explorer CAnchorElement Use-After-Free (деталі)
  • eM Client e-mail client v5.0.18025.0 Stored XSS vulnerability (деталі)

Уразливості на pravex.com

23:54 21.09.2013

27.04.2013

У січні, 11.01.2013, я знайшов Cross-Site Scripting та Information Leakage уразливості на http://pravex.com - сайті Правекс Банка. Про що найближчим часом сповіщу адміністрацію сайта.

Стосовно уразливостей на сайтах банків останній раз я писав про уразливості на kredobank.com.ua.

Детальна інформація про уразливості з’явиться пізніше. Треба дати час адмінам на реакцію з цього приводу.

21.09.2013

XSS:

http://pravex.com:8088/queryacc.jsp?acc=%22%3E%3Cscript%3Ealert(document.cookie)%3C/script%3E

Information Leakage:

http://pravex.com:8088/queryacc.jsp

Витік інформації про рахунки клієнтів.

Адміни зупинили роботу цього веб додатку (чи внесли баг, тому він перестав працювати). І тим самим “виправили” дві вищезгадані уразливості, але додали нову Information Leakage дірку. Тепер на сторінці виводиться інформація про веб сервер, про Java пакети на сервері та про SQL запит до СУБД.

Новини: бекдор без букв, бот-мережа з 200000 пристроїв на Android та дірявий Django

22:49 21.09.2013

За повідомленням www.xakep.ru, бекдор без букв.

Адміністратор одного з веб сайтів поскаржився, що його сайт взломали. Він знайшов PHP-шел, у коді якого не було ні однієї букви чи цифри.

Як відомо суть бекдорів у максимальній скритності, тому їхні автори часто прибігають до незвичних методів обфускації. Даний шел можна вважати одним з найбільш прихованих PHP-бекдорів.

За повідомленням digit.ru, Доктор Веб знайшов мережу з 200000 заражених пристроїв на Android.

Компанія Доктор Веб знайшла найбільшу бот-мережу з 200 тисяч інфікованих мобільних пристроїв на базі ОС Android.

Смартфони, за даними Доктора Веб, були заражені шкідливими програмами сімейства Android.SmsSend. Основними джерелами зараження визнані приналежні зловмисникам чи взломані ними інтернет-ресурси.

Торік я писав про ботнет з Android-пристроїв. Цього разу ботнет значно більший.

За повідомленням www.xakep.ru, довгими паролями можна задосити сервери на Django.

15 вересня розробники вільного фреймворка Django у терміновому порядку випустили обновлені версії Django 1.4.8, Django 1.5.4 і Django 1.6 beta 4, щоб закрити уразливість, що була публічно оприлюднена ранком того ж дня.

У нових версіях Django закривається дірка у фреймворку аутентифікації django.contrib.auth, що дозволяє здійснювати атаку типу відмова в обслуговуванні (DoS). Вона базується на споживанні ресурсів при обробці довгих паролів, в зв’язку з використанням повільного алгоритму хешування - це так звані DoS атаки через алгоритмічну складність.

Подібна уразливість була знайдена у червні в WordPress і оперативно виправлена в WP 3.5.2. Розробники Django три місяці напружувалися щоб зрозуміти, що аналогічна дірка є в їхньому веб додатку. Нарешті, хоч у вересні вони її виправили.