Websecurity - Веб безпека

У серпні, 22.08.2013, вийшли версії PHP 5.4.19 і PHP 5.5.3. В яких виправлені один баг (збій при компіляцїї з включеним ZTS) та одна уразливість. Дані релізи направлені на покращення безпеки та стабільності гілок 5.4.x і 5.5.x.

Серед секюріті виправлень в PHP 5.4.19 і PHP 5.5.3:

• Виправлений UMR в патчі для уразливості в OpenSSL модулі (CVE-2013-4248), що був зроблений в версіях PHP 5.4.18 і 5.5.2.

По матеріалам http://www.php.net.

06.06.2013

У березні, 14.03.2013, я знайшов уразливості в Privat24 для Android та iOS. Але про ці уразливості я розповім трохи згодом (ПриватБанк все ще відмовляється їх виправляти, після багатьох місяців роздумів над цими уразливостями, і я все ще продовжую переконувати ПБ в необхідності їх виправлення). А зараз розповім про нову уразливість, що я виявив сьогодні. Це Insufficient Process Validation уразливість, що дозволяє обійти OTP в Приват24 для Android. Перевіряв у цій версії, а пізніше підтвердив те саме у версії для iOS.

Про що вже повідомив розробникам системи. Бо ця уразливість дозволяє легко отримати доступ до акаунтів користувачів (при наявності номера телефону і статичного пароля, без введення OTP) та викрасти їх гроші. На що ПБ відповів, що вони в курсі цієї проблеми і працюють над нею. Але як я перевірив на наступний день, вони досі не виправили цієї уразливості.

Детальна інформація про уразливість з’явиться після її виправлення. Спочатку дам ПриватБанку можливість її виправити.

13.09.2013

Враховуючи, що більше трьох місяців ПриватБанк не може виправити дану уразливість в мобільній версії Приват24, то я оприлюднюю її деталі. При тому, що після мого повідомлення 06.06.2013, за цей час я ще декілька разів нагадував ПБ про цю уразливість. Більше схоже, що банк просто не хоче цього роботи, вважаючи новий алгоритм роботи мобільного Приват24 “більш зручним” для користувачів (за рахунок погіршення безпеки).

Insufficient Process Validation (WASC-40):

При вході в Приват24 через клієнти для Android та iOS не запитується OTP (як це було до червня цього року). Тобто без підтвердження одноразовим паролем, який приходить по SMS, можна увійти в акаунт - на відміну від веб сайта Приват24, де OTP завжди запитується і цей функціонал нормально працює увесь час.

Єдиний раз, коли смс-ка з OTP приходить - це на новому пристрої, для прив’язки його до акаунту. Після цього більше жодних OTP не приходить. Це можна обійти або при доступі до телефону чи плантшету жертви або використовуючи першу уразливість, зі знайдених мною в Приват24 раніше. Що цікаво, від одного клієнта ПриватБанка я дізнався, що на початку червня (коли виникла ця проблема), був невеликий період часу, коли в Приват24 можна було входити навіть без паролю, лише запустивши мобільний додаток.

Таким чином для атаки потрібно лише знати логін і статичний пароль користувача Приват24. Які можна отримати за допомогою вірусу на мобільному пристрої, або за допомогою вірусу на персональному комп’ютері, або через фішинг атаку в Інтернеті. Фішинг атаку можна зробити як на окремому сайті, так і через XSS уразливості на будь-яких сайтах ПБ, приклад подібної атаки я навів 08.02.2008 в своїй доповіді про Інтернет безпеку. Якщо через веб сайт у Приват24 не зайдеш без OTP, знаючи лише логін і пароль, то це можна зробити через мобільні додатки Приват24.

Перевірено в Privat24 3.27.2 для Android та Privat24 4.8.6 для iOS.

Дана уразливість досі не виправлена.

P.S.

Розмістив демонстраційне відео Vulnerability in Privat24.

Після попереднього дослідження похаканих сайтів, приведу нову інформацію про взломані сайти. З числа українських сайтів.

• http://yalta-gs.gov.ua (хакером NeT-DeViL) - 26.08.2013 - похаканий державний сайт, зараз сайт вже виправлений адмінами
• http://monuments-crimea.gov.ua (хакером Dr-TaiGaR) - 26.08.2013 - похаканий державний сайт, зараз сайт вже виправлений адмінами
• http://www.vdenergy.com.ua (хакером SeCuR!TY DR@G0N) - 19.08.2013, зараз сайт вже виправлений адмінами
• http://www.tip-top-club.com (хакером Erreur 404) - 29.08.2013, зараз сайт вже виправлений адмінами
• http://portfolio.lg.ua (хакером RBG HomS) - 29.08.2013, зараз сайт вже виправлений адмінами

Виявлені численні уразливості безпеки в Microsoft Internet Explorer.

Уразливі продукти: Microsoft Internet Explorer 6, 7, 8, 9, 10 під Windows XP, Windows 2003 Server, Windows Vista, Windows 2008 Server, Windows 7, Windows 8, Windows 2012 Server.

Численні пошкодження пам’яті.

• Microsoft Security Bulletin MS13-069 - Critical Cumulative Security Update for Internet Explorer (2870699) (деталі)

12.06.2013

У квітні, 14.04.2013, я знайшов Arbitrary File Uploading, Arbitrary File Deletion та Cross-Site Scripting уразливості в Uploadify. Про що найближчим часом повідомлю розробникам веб додатку.

Детальна інформація про уразливості з’явиться пізніше. Спочатку повідомлю розробникам.

12.09.2013

Arbitrary File Uploading (WASC-31):

Uploadify AFU.html

Code Execution атака через AFU.

Arbitrary File Deletion (WASC-42):

Uploadify AFD.html

Cross-Site Scripting (WASC-08):

Uploadify XSS.html

Uploadify XSS-2.html

Друга атака проводиться через XSS код в розширенні файла. Вона може бути проведена на Linux/Unix системах, де кутові дужки можна використовувати в іменах файлів, або через підробку заголовків.

Вразливі Uploadify v2.1.4 та потенційно інші версії. Зокрема версія в aCMS. Версії Uploadify 3.x не вразливі.

У серпні, 20.08.2013, майже через два місяці після виходу Google Chrome 28, вийшов Google Chrome 29.

В браузері зроблено декілька нововведень та виправлені помилки. А також виправлено 25 уразливостей, 5 з яких позначені як небезпечні. Це більше ніж у попередній версії браузера. І це майже рекорд, більше було лише у версії Chrome 22 (в якій було виправлено 26 уразливостей).

З виправлених проблем безпеки відзначаються проблеми звертання до вже звільнених блоків пам’яті (Use-after-free), при роботі з XSLT і при обробці вмісту елемента media, цілочислене переповнення у ANGLE і недостатнє очищенням шляхів у коді роботи з файлами.

• Релиз web-браузера Chrome 29 (деталі)

Виявлені уразливості безпеки в бібліотеках Python.

Уразливі продукти: Python 3, python-setuptools, python-virtualenv.

DoS через SSL-сертифікати, обхід захисту.

• DoS vulnerability in SSL module implementation of Python 3 (деталі)
• Vulnerability in python-setuptools and python-virtualenv (деталі)

В даній добірці експлоіти в веб додатках:

• Zoom Telephonics ADSL Modem/Router - Multiple Vulnerabilities (деталі)
• Sophos Web Protection Appliance Command Injection Vulnerability (деталі)
• Mozilla Firefox 3.6 - Integer Overflow Exploit (деталі)
• PCMAN FTP 2.07 STOR Command - Buffer Overflow Exploit (деталі)
• Graphite Web Unsafe Pickle Handling Exploit (деталі)

В серпні, 01.08.2013, вийшла нова версія WordPress 3.6.

WordPress 3.6 це перший випуск нової 3.6 серії. В ній додано чимало покращень порівняно з попередніми версіями движка, а також виправлено чимало багів.

Серед головних покращень зокрема можна відзначити нову тему Twenty Thirteen по замовчуванню, покращені ревізії, закріплення постів та налаштовуване автозбереження. А також вбудований HTML5 медіа плеєр та покращений редактор меню.

Окрім покращень для користувачів також були зроблені численні покращення для розробників. А також були виправлені деякі уразливості, про які умисно не згадали в анонсі нової версії WP. Що розробники роблять дуже часто (приховуючи виправлені дірки).

Зокрема виправлені Full path disclosure уразливості в адмінці та покращене виведення помилок БД: тепер помилки виводяться якщо включені обидва WP_DEBUG і WP_DEBUG_DISPLAY.

Продовжуючи традицію, пропоную вашій увазі цікаві секюріті статті. Щоб ви поповнювали свої знання з веб безпеки.

Добірка цікавого чтива на тему безпеки, в тому числі web security (статті з Вікіпедії):

• CRIME (security exploit)
• Cyberwarfare
• Cyber-collection
• Industrial espionage
• Information warfare