Websecurity - Веб безпека

В липні відбувся новий масовий взлом сайтів на сервері HostPro. Він тривав 24.12.2011, 14.06.2012-17.09.2012 і 16.01.2013-24.08.2013. Десятий масовий взлом сайтів на сервері HostPro відбувся раніше.

Був взломаний сервер української компанії HostPro. Взлом складався з багатьох невеликих дефейсів і трьох крупних дефейсів сайтів.

Спочатку було взломано 132 сайти, а потім ще 56 - всього 188 сайтів на сервері хостера HostPro (IP 194.28.85.190). Перелік сайтів можете подивитися на www.zone-h.org. Серед них українські державні сайти www.police.gov.ua, dndc-uz.gov.ua та www.manrayrada.gov.ua, який був взломаний двічі (в 2012 і 2013 роках).

З зазначених 188 сайтів 7 сайтів були взломані хакерами з holy lycans, 45 сайтів хакерами з Lopht Crews, 3 сайти хакером CoupDeGrace, 4 сайти хакером Hmei7, 1 сайт хакером Moroccan Hassan, 3 сайти хакером Kurd007, 74 сайти хакером NeT.Defacer, 10 сайтів хакерами з P4kurd-TeaM, 8 сайів хакером Harez Kurdstan, 2 сайти хакером ghost-dz, 2 сайти хакером misafir, 25 сайтів хакерами з AHS-CREW та 1 сайт хакером WeWe ArAr.

Якщо невеликі дефейси по одному або кілька сайтів явно були зроблені при взломах окремих сайтів, то стосовно великих дефейсів Lopht Crews, NeT.Defacer, P4kurd-TeaM та AHS-CREW можна сказати, що враховуючи дефейс великої кількості сайтів за один день, немає сумнівів, що вони були взломані через взлом серверу хостінг провайдера. Коли через взлом одного сайта, був отриманий root доступ до сервера (через уразливості в програмному забезпеченні самого сервера) та атаковані інші сайти на даному сервері.

У вересні, 11.09.2013, вийшла нова версія WordPress 3.6.1.

WordPress 3.6.1 це секюріті та багфікс випуск нової 3.6 серії. В якому розробники виправили декілька уразливостей і 13 багів. Причому окрім трьох дірок, вони зробили одне покращення безпеки (security hardening) в аплоадері, не зараховуючи його до виправлень уразливостей (як це вони полюбляють робити), хоча це також уразливість. До того ж виправлення в аплоадері лише часткові: вони передовсім стосуються обмежених акаунтів, а через акаунт адміна все ще можна проводити атаки.

Стосовно покращення безпеки, то були виправлені наступні уразливості: Remote Code Execution через небезпечну десеріалізацію PHP, Link Injection (Open Redirect) та Privilege Escalation. А також оновлені секюріті обмеження в аплоадері для протидії Cross-Site Scripting атакам.

В даній добірці експлоіти в веб додатках:

• Synology DiskStation Manager (DSM) 4.3-3776 - Multiple Vulnerabilities (деталі)
• Router ONO Hitron CDE-30364 - CSRF Vulnerability (деталі)
• Belkin G Wireless Router Firmware 5.00.12 - RCE PoC (деталі)
• SPIP connect Parameter PHP Injection Vulnerability (деталі)
• Firefox XMLSerializer Use After Free Vulnerability (деталі)

17.07.2013

У липні, 14.07.2013, я знайшов Cross-Site Scripting та Redirector уразливості в InstantCMS. Про що найближчим часом повідомлю розробникам системи.

Детальна інформація про уразливості з’явиться пізніше. Спочатку повідомлю розробникам.

17.09.2013

Cross-Site Scripting (WASC-08):

GET запит до http://site/modules/mod_template/set.php з вказанням заголовку Referer.

Referer: data:text/html;base64,PHNjcmlwdD5hbGVydChkb2N1bWVudC5jb29raWUpPC9zY3JpcHQ%2B

Redirector (URL Redirector Abuse) (WASC-38):

GET запит до http://site/modules/mod_template/set.php з вказанням заголовку Referer.

Referer: http://websecurity.com.ua

Вразливі InstantCMS 1.10.2 та попередні версії.

Дані уразливості досі не виправлені.

Після попереднього дослідження інфікованих сайтів, приведу нову інформацію про заражені сайти. З числа українських сайтів.

• http://donpfu.gov.ua - інфікований державний сайт - інфекція була виявлена 02.07.2013. Зараз сайт не входить до переліку підозрілих.
• http://poiskuha.com.ua - інфекція була виявлена 02.07.2013. Зараз сайт не входить до переліку підозрілих.
• http://real1.com.ua - інфекція була виявлена 02.07.2013. Зараз сайт не входить до переліку підозрілих.
• http://papovs.com.ua - інфекція була виявлена 03.07.2013. Зараз сайт не входить до переліку підозрілих.
• http://informax.kiev.ua - інфекція була виявлена 02.07.2013. Зараз сайт не входить до переліку підозрілих.

В даній добірці уразливості в веб додатках:

• Multiple vulnerabilities in BMC SERVICE DESK EXPRESS (SDE) Version 10.2.1.95 (деталі)
• XSS Vulnerabilities in OpenCms (деталі)
• Little CMS vulnerability (деталі)
• Verax NMS Password Replay Attack (деталі)
• Verax NMS Authenication Bypass (деталі)

Продовжуючи тему уразливостей в плагінах для WordPress, пропоную вам інформацію про дірки в інших плагінах для WP.

Цього разу повідомляю про уразливості в плагінах VideoWhisper, Post-Gallery та Simple Login Registration. Для котрих з’явилися експлоіти. VideoWhisper - це плагін для трансляції відео, Post-Gallery - це плагін для створення галерей, Simple Login Registration - це форма реєстрації та логіна.

• WordPress Video Whisper Cross Site Scripting (деталі)
• WordPress Post-Gallery Cross Site Scripting (деталі)
• WordPress Simple Login Registration 1.0.1 Cross Site Scripting (деталі)

Користувачам даних плагінів варто або оновити їх, або власноруч виправити дірки. В якості тимчасового рішення, поки не будуть виправлені чи оновлені плагіни, можна їх виключити в адмінці.

За повідомленням www.xakep.ru, Google знає майже всі WiFi-паролі у світі.

Якщо ваш Android-пристрій (смарфтон чи планшет) коли-небудь авторизувався в якому-небудь WiFi-хотспоті, то з великою імовірністю пароль від хотспота став відомий також і компанії Google. З огляду на те, як багато “андроїдів” ходить по світу, можна припустити, що в Google є доступ практично до всіх запаролених точок доступу у світі.

Починаючи з версії Android 2.2 операційна система сконфігурована за замовчуванням на автоматичний бекап налаштувань системи. Серед налаштувань на сервери Google передаються також паролі від точок доступу в незашифрованому вигляді.

За повідомленням www.opennet.ru, більше 10% з мільйона найбільших веб сайтів небезпечні.

Компанія, що спеціалізується в області комп’ютерної безпеки, Sucuri опублікувала результати дослідження безпеки мільйона найбільших сайтів Мережі, представлених у рейтингу Alexa. Проаналізувавши дані сайти дослідники виявили, що 108781 з них (10,9%) мають явні проблеми з безпекою чи вже уражені шкідливим ПЗ.

Зокрема, 2% сайтів (18557) виявилися внесені у відомі чорні списки антивірусних компаній і пошукових систем. Цікаво, що Yandex заблокував помітно більше сайтів (2154 сайта), чим Google (357 сайтів). З антивірусних компаній з великим відривом лідирує McAfee, що заблокував 11 тисяч сайтів.

За повідомленням www.xakep.ru, ментальне стомлення: користувачі ігнорують до 70% попереджень у браузері.

Учені з університету Берклі разом з розробниками з Google опублікували результати дослідження зі статистикою по 25,4 мільйонів попереджень про загрози безпеки, показаних у браузерах Google Chrome і Mozilla Firefox у травні-червні 2013 року.

Як з’ясувалося, 15,1% користувачів не реагують на повідомлення про присутність шкідливого коду на сайті (7,1% аудиторії Firefox і 23,5% аудиторії Chrome).

Для попереджень про фішинг CTR складає 20,4%, тут найменш обережні користувачі під Linux (32,9%).

Найчастіше користувачі ігнорують попередження про невідповідність SSL-сертифіката: залишено без уваги 70,2% попереджень у Chrome і 33,0% попереджень у Firefox.

Продовжуючи розпочату традицію, після попереднього відео про BREACH проти HTTPS, пропоную нове відео на веб секюріті тематику. Цього разу відео про виконання коду в Internet Explorer. Рекомендую подивитися всім хто цікавиться цією темою.

MS13-009 Microsoft Internet Explorer SLayoutRun UAF Metasploit Demo

В даному відео ролику демонструється використання Metasploit Framework для проведення атаки на уразливість в Internet Explorer 8 (CVE-2013-0025). В Metasploit створюється і запускається експлоіт для IE, який призводить до віддаленого виконання коду в Internet Explorer 8 при відкритті сторінки з кодом експлоіту. Що дозволяє нападнику отримати контроль над атакованим комп’ютером.

Атака відбувається при відвідуванні в IE спеціально створеного веб сайта, що містить код експлоіту. Рекомендую подивитися дане відео для розуміння векторів атак на браузери.

В даній добірці експлоіти в веб додатках:

• D-Link Dir-505 devices Multiple Vulnerabilities (деталі)
• D-Link DSL-2740B Multiple CSRF Vulnerabilities (деталі)
• freeFTPd 1.0.10 (PASS Command) - SEH Buffer Overflow Vulnerability (деталі)
• dreamMail e-mail client v4.6.9.2 Stored XSS Vulnerability (деталі)
• Oracle Endeca Server Remote Command Execution Vulnerability (деталі)