Websecurity - Веб безпека

16.05.2013

У грудні, 20.12.2012, я знайшов Cross-Site Scripting та Brute Force уразливості на сайті http://nrcu.gov.ua. Про що найближчим часом сповіщу адміністрацію сайта.

Стосовно державних сайтів в останнє я писав про уразливості на zpd.gov.ua.

Детальна інформація про уразливості з’явиться пізніше.

26.10.2013

XSS:

• alert(document.cookie)
• цікавий

Brute Force:

http://nrcu.gov.ua/admin/

Дані уразливості досі не виправлені. Що типово для українських державних сайтів.

За повідомленням www.opennet.ru, підтверджено факт взлому інфраструктури проекту PHP.

Після взлому мережі Adobe, про що я писав на початку місяця, настала черга проекту PHP, чиї сервери були взломані. Вбудований антивірус в пошуковці Google виявив шкідливий код на сайті www.php.net. Спочатку представники проекту PHP відмахувалися від цього, зписуючи не неточність антивірусу Гугла, але пізніше підтвердили факт взлому серверів проекту.

Після проведення детального аналізу причин позавчорашнього потрапляння сайта php.net у чорні списки Google, представники проекту PHP підтвердили інформацію про одержання зловмисниками контролю над деякими серверами в інфраструктурі проекту. Зокрема, сліди взлому виявлені на двох серверах, що забезпечують роботу сайтів www.php.net, static.php.net, git.php.net і bugs.php.net.

У даний момент зазначені сервери виведені з роботи, а працюючі на них сервіси перенесені на нові сервери, налаштовані з оглядкою на підвищену безпеку. Спосіб, використаний нападниками для одержання доступу до серверів, поки не ясний, але представники проекту працюють над покращенням безпеки (зокрема оновили старі версії веб сервера та PHP на серверах).

За повідомленням www.xakep.ru, SQL ін’єкція принесла 100 тисяч доларів.

Хакерська група TeamB3rS3rK опублікувала 20-хвилинне відео з демонстрацією SQLi-атаки, що вони провели на сайт американського провайдера Sebastian.

Заволодівши поштовими скриньками, у них був проведений повнотекстовий пошук по слову Paypal для пошуку інформації про грошові перекази. Крім того, хакери перевірили ті ж самі облікові дані в онлайн-банкінгу Citibank - і теж знайшли чимало збігів.

Зловмисники стверджують, що одержали доступ до банківських рахунків багатьох користувачів і зняли з них у цілому $100 тис. Таким чином, простенька SQL ін’єкція принесла їм дуже великий прибуток.

За повідомленням bugtraq.ru, бекдор в роутерах D-Link.

У прошивці v1.13 роутера D-Link DIR-100 виявилася забавна перевірка, що дозволяє одержати повний доступ до адмінки без жодних паролів. Досить установити в якості UserAgent свого браузера рядок “xmlset_roodkcableoj28840ybtide” (при зворотному прочитанні виходить “edіtby04882joelbackdoor”). Швидше за все, зачеплені й інші моделі, що використовують ту ж прошивку.

Раніше я писав, що D-Link випускає діряві маршрутизатори (сам знаходив уразливості в їхніх пристроях), а зараз вони почали додавати бекдори в свої пристрої.

Виявлені уразливості безпеки в Microsoft SharePoint.

Уразливі продукти: SharePoint Server 2007, SharePoint Server 2010, Office Web Apps 2010.

Пошкодження пам’яті при розборі файлів Microsoft Excel, міжсайтовий скриптінг.

• Microsoft Security Bulletin MS13-084 - Important Vulnerabilities in Microsoft SharePoint Server Could Allow Remote Code Execution (2885089) (деталі)

В даній добірці експлоіти в веб додатках:

• Microsoft Internet Explorer SetMouseCapture Use-After-Free (деталі)
• ClipBucket Remote Code Execution Vulnerability (деталі)
• Ice Cold Apps Servers Ultimate 6.0.2(12) Remote Command Execution (деталі)
• Oracle Java lookUpByteBI - Heap Buffer Overflow Vulnerability (деталі)
• GreenBrowser 6.4.0515 - Heap Overflow Vulnerability (деталі)

Після попереднього дослідження похаканих сайтів, приведу нову інформацію про взломані сайти. З числа українських сайтів.

• http://rokytne-mvs.gov.ua (хакером Hmei7) - 16.09.2013 - похаканий державний сайт, зараз сайт вже виправлений адмінами
• http://gpsworld.com.ua (хакером Hmei7) - 17.09.2013, зараз сайт вже виправлений адмінами
• http://www.svityaz.net (хакером redspy)
• http://aeit.com.ua (хакером Xonny.h4ck)
• http://bankruptcy.net.ua (хакером NeoX) - причому спочатку сайт 03.08.2013 був взломаний NeoX, а 31.08.2013 він був взломаний Virus. Схоже, що сайт постійно хакається, як і деякі інші сайти в Уанеті

17.09.2013

Виявлені численні уразливості безпеки в Microsoft SharePoint Server.

Уразливі продукти: SharePoint Server 2007, SharePoint Server 2010, SharePoint Server 2013, SharePoint Portal Server 2003, SharePoint Portal Server 2007, SharePoint Portal Server 2010, SharePoint Portal Server 2013.

DoS, міжсайтовий скриптінг, пошкодження пам’яті, виконання коду.

• Microsoft Security Bulletin MS13-067 - Critical Vulnerabilities in Microsoft SharePoint Server Could Allow Remote Code Execution (2834052) (деталі)

25.10.2013

Додаткова інформація.

• Microsoft SharePoint 2013 (Cloud) - Persistent Exception Handling Web Vulnerability (деталі)

В даній добірці уразливості в веб додатках:

• Alt-N MDaemon Email Body HTML/JS Injection Vulnerability (деталі)
• Joomla! redSHOP component v1.2 SQL Injection (деталі)
• Alt-N MDaemon’s WorldClient Predictable Session ID Vulnerability (деталі)
• ReviewBoard Vulnerabilities (деталі)
• Alt-N MDaemon’s WorldClient & WebAdmin Cross-Site Request Forgery Vulnerability (деталі)
• Struts2 Prefixed Parameters OGNL Injection Vulnerability (деталі)
• libxslt vulnerability (деталі)
• Struts2 Prefixed Parameters Open Redirect Vulnerability (деталі)
• Virtual Access Monitor Multiple SQL Injection Vulnerabilities (деталі)
• CakePHP AssetDispatcher Local File Inclusion Vulnerability (деталі)

20.09.2013

У вересні, 12.09.2013, я знайшов Arbitrary File Uploading та Information Leakage уразливості в Uploadify. Про що найближчим часом повідомлю розробникам веб додатку.

Раніше я вже писав про уразливості в Uploadify.

Детальна інформація про уразливості з’явиться пізніше. Спочатку повідомлю розробникам.

24.10.2013

Arbitrary File Uploading (WASC-31):

Code Execution атака через AFU. Для виконання коду можна використати “;” в імені файла (1.asp;.jpg) на IIS або використати подвійні розширення (1.php.jpg) на Apache.

Information Leakage (WASC-13):

Перевірка наявності довільного файла на сервері.

Uploadify IL.html

Уразливі Uploadify v3.2.1 та попередні версії.

У цьому році, з 28.02.2013 по 12.08.2013, відбувся другий масовий взлом сайтів на сервері Hetzner. Нещодавно я вже розповідав про інші масові взломи.

Був взломаний сервер німецької компанії Hetzner, на якому хостилися українські та російські сайти. Взлом складався з декількох дефейсів сайтів. Раніше я писав про масовий взлом сайтів на сервері Hetzner Online.

Всього було взломано 46 сайтів на сервері компанії Hetzner (IP 5.9.146.42). Це наступні сайти: ooo-amd.com, archivzp.gov.ua, traveldyvosvit.com.ua, domik.in, entry.in.ua, www.shark.in.ua, cheeez.com.ua, araks-service.com.ua, apartmentservice.com.ua, hotstars.worldinterest.ru, gifs.worldinterest.ru, www.teatr-teremok.com.ua, avtoadvokat.zp.ua, 7744992.ru, admokulovka.ru, ale-ksander.ru, barvashov.ru, bdk.liastudio.ru, bordekor.ru, borgarant.ru, borovichi-beton.ru, borzabor.liastudio.ru, cso-borovichi.ru, culture-kulotino.ru, di-zhelezkovo.ru, domzakaz.su, eco-gorod.ru, evak-econom.ru, evak-ekonom.ru, fotosuv.ru, geoti.ru, gidromechanic.ru, jeans-borovichi.ru, laguna.borovichi.ru, luzh1n.ru, luzh1n31.hosting-test.org.ua, nov-business.ru, okulovkaadm.ru, pmmebel.ru, podarki53.ru, sev-company.ru, skazka-53.ru, su53.ru, zodchestvo53.ru, www.beldomokomplekt.ru, odikalone.com.ua. Серед них український державний сайт archivzp.gov.ua. Це черговий державний сайт, що хоститься закордоном.

Якщо невеликі дефейси по одному або кілька сайтів явно були зроблені при взломах окремих сайтів, то стосовно дефейсу sahrawihacker можна сказати, що враховуючи дефейс великої кількості сайтів за один день, немає сумнівів, що вони були взломані через взлом серверу хостінг провайдера. Коли через взлом одного сайта, був отриманий root доступ до сервера (через уразливості в програмному забезпеченні самого сервера) та атаковані інші сайти на даному сервері.

Нещодавно, 16 і 17 жовтня, вийшли PHP 5.4.21 і PHP 5.5.5. У версії 5.5.5 виправлено біля 20 багів, а у версії 5.4.21 виправлено біля 10 багів. Дані релізи направлені на покращення стабільності гілок 5.4.x і 5.5.x.

Жодних уразливостей в цих версіях PHP виправлено не було.

По матеріалам http://www.php.net.