Архів за Жовтень, 2013

Добірка експлоітів

17:21 24.10.2013

В даній добірці експлоіти в веб додатках:

  • Imperva SecureSphere Web Application Firewall MX Blind SQL Injection (деталі)
  • Astium Remote Code Execution Vulnerability (деталі)
  • freeFTPd PASS Command Buffer Overflow (деталі)
  • Firefox For Android Same-Origin Bypass (деталі)
  • AVTECH DVR Firmware 1017-1003-1009-1003 - Multiple Vulnerabilities (деталі)

Уразливості в плагінах для WordPress №120

22:44 23.10.2013

Продовжуючи тему уразливостей в плагінах для WordPress, пропоную вам інформацію про дірки в інших плагінах для WP.

Цього разу повідомляю про уразливості в плагінах Complete Gallery Manager, Comment Attachment та Cart66. Для котрих з’явилися експлоіти. Complete Gallery Manager - це плагін для створення галерей зображень, Comment Attachment - це плагін для додавання вкладень до коментарів, Cart66 - це плагін для створення онлайн-магазину.

  • WordPress Complete Gallery Manager 3.3.3 File Upload (деталі)
  • WordPress Comment Attachment 1.0 Cross Site Scripting (деталі)
  • Wordpress Cart66 Plugin 1.5.1.14 Multiple Vulnerabilities (деталі)

Користувачам даних плагінів варто або оновити їх, або власноруч виправити дірки. В якості тимчасового рішення, поки не будуть виправлені чи оновлені плагіни, можна їх виключити в адмінці.

Численні уразливості в Microsoft Internet Explorer

20:12 23.10.2013

Виявлені численні уразливості безпеки в Microsoft Internet Explorer.

Уразливі продукти: Microsoft Internet Explorer 6, 7, 8, 9, 10, 11 під Windows XP, Windows 2003 Server, Windows Vista, Windows 2008 Server, Windows 7, Windows 8, Windows 2012 Server.

Численні пошкодження пам’яті.

  • Microsoft Security Bulletin MS13-080 - Critical Cumulative Security Update for Internet Explorer (2879017) (деталі)

Добірка уразливостей

17:25 23.10.2013

В даній добірці уразливості в веб додатках:

  • Alt-N MDaemon’s WorldClient Disclosure of Authentication Credentials Vulnerability (деталі)
  • Joomseller “Events Booking Pro” and “JSE Event” reflected XSS (деталі)
  • Alt-N MDaemon’s WebAdmin Remote Code Execution Vulnerability (деталі)
  • Multiple Vulnerabilities in BigTree CMS (деталі)
  • Alt-N MDaemon’s WorldClient Username Enumeration Vulnerability (деталі)
  • Apache CloudStack Cross-site scripting (XSS) vulnerability (деталі)
  • EMC Smarts Network Configuration Manager - RCE Vulnerability (деталі)
  • Trustport Webfilter Remote File Access Vulnerability (деталі)
  • EMC Smarts Product - Cross Site Scripting Vulnerability (деталі)
  • PHPFox v3.6.0 (build3) Multiple SQL Injection vulnerabilities (деталі)

Редиректори на популярних сайтах №7

23:52 22.10.2013

Продовжую розповідати вам про редиректори на популярних сайтах. Редиректори - це окремий різновид уразливостей в веб додатках, котрий відноситься до класу Abuse of Functionality. Дані уразливості можуть використовуватися зловмисниками для переадресації на небезпечні та фішинг сайти.

До наведених в попередньому записі, приведу ще декілька прикладів редиректорів на популярних веб сайтах.

Редиректори на популярних сайтах:

Liveinternet.ru (до раніше згаданих редиректорів на Liveinternet.ru):

http://liveinternet.ru/click?websecurity.com.ua

http://li.ru/click?websecurity.com.ua

Odnoklassniki.ru:

Редиректор на Однокласніках

Виконання коду в Adobe Flash Player

22:46 22.10.2013

Продовжуючи розпочату традицію, після попереднього відео про виконання коду в Internet Explorer, пропоную нове відео на веб секюріті тематику. Цього разу відео про виконання коду в Adobe Flash Player. Рекомендую подивитися всім хто цікавиться цією темою.

Adobe Flash CVE-2013-0634 Exploitation Demo

В даному відео ролику демонструється використання експлоіта для проведення атаки на уразливість в Adobe Flash Player 11.5. Який призводить до віддаленого виконання коду в браузері з Flash плагіном (показано на прикладі браузера IE9) при відкритті сторінки з кодом експлоіту. Що дозволяє нападнику отримати контроль над атакованим комп’ютером.

Атака відбувається при відвідуванні в браузері з флеш плагіном спеціально створеного веб сайта, що містить код експлоіту. Рекомендую подивитися дане відео для розуміння векторів атак на браузери.

Інфіковані сайти №174

20:07 22.10.2013

Після попереднього дослідження інфікованих сайтів, приведу нову інформацію про заражені сайти. З числа українських сайтів.

  • http://newsru.com.ua - інфекція була виявлена 21.10.2013. Зараз сайт входить до переліку підозрілих.
  • http://newsru.ua - інфекція була виявлена 21.10.2013. Зараз сайт не входить до переліку підозрілих.
  • http://emoney-expert.com - інфекція була виявлена 16.10.2013. Зараз сайт не входить до переліку підозрілих.
  • http://weblog.com.ua - інфекція була виявлена 21.10.2013. Зараз сайт не входить до переліку підозрілих.
  • http://ukr.net - інфекція була виявлена 21.10.2013. Зараз сайт не входить до переліку підозрілих.

Добірка експлоітів

17:25 22.10.2013

В даній добірці експлоіти в веб додатках:

  • Openfire 3.8.2 server new admin password/add new admin Exploit (деталі)
  • MS13-069 Microsoft Internet Explorer CCaret Use-After-Free (деталі)
  • Raidsonic NAS Devices Unauthenticated Remote Command Execution (деталі)
  • Nodejs js-yaml load() Code Execution Vulnerability (деталі)
  • mod_accounting 0.5 Blind SQL Injection Vulnerability (деталі)

Уразливості на www.odnoklassniki.ru

23:53 12.10.2013

У серпні соціальна мережа “Одноклассники” проводила конкурс на пошук уразливостей “Нация тестирует!” (з виплатою винагород за уразливості). Тоді я вирішив прийняти участь в цьому конкурсі, бо неодноразово знаходив дірки в різних соціальних мережах і в різних проектах Mail.ru (таких як drive.mail.ru, top.mail.ru, gogo.ru, rb.mail.ru і blogs.mail.ru).

Тоді я знайшов чимало різних уразливостей, деякі з яких вислав Однокласникам. Зокрема декілька знайдених 17.08.2013 уразливостей на http://www.odnoklassniki.ru. Для початку - щоб оцінити, як вони сприймають і оплачують дірки. Ось дві з них: Redirector та Information Leakage. На свого листа я отримав “автоматичну” відповідь, що мого листа отримано і все. Жодної відповіді представників компанії та виправлення уразливостей - ці та інші дірки досі не виправлені.

Redirector (URL Redirector Abuse):

odnoklassniki.ru Redirector.html

Information Leakage:

Витік інформації про Java пакети і версію веб сервера.

odnoklassniki.ru Information Leakage.html

Що дуже типово для соціальних мереж. Які забивають на безпеку, не відповідають на листи і не виплачують винагород за уразливості (навіть якщо і заявляють про проведення подібних виплат), а якщо й виправляють повідомленні дірки, то втихаря, без подяки дослідникам безпеки. Як я мав досвід з MySpace, Facebook і Яндекс в попередні роки.

Інфіковані хостери в 1 півріччі 2013 року

22:48 12.10.2013

В підсумках хакерської активності в Уанеті в 1 півріччі 2013 я зазначав, що всього за цей період я виявив 130 інфікованих сайтів в Уанеті. Дані сайти хостилися на серверах різних хостінг провайдерів, як українських, так і закордонних.

Пропоную вам звіт про результати мого дослідження хостінгів, які розміщували інфіковані сайти в першому півріччі 2013 року. Багато з цих хостінг провайдерів робили це і минулого року. Щоб і хостери і Інтернет користувачі знали найбільших розповсюджувачів шкідливого програмного забезпечення (через інфіковані сайти).

В першому півріччі цього року наступні хостінг провайдери розміщували на своїх серверах інфіковані сайти: 1GB LLC, Avguro Technologies, Besthosting, Bizland, Choopa, Cityhost, Colocall, Compubyte Limited, Confluence Networks, DCTeL, Datagroup, Delta-X, Digiq Net, Dream Line, eServer.ru, Freehost, Goodnet, Hetzner, HostBizUa, HostLife, HostPro, Hosting.ua, Hvosting, Info-center, Infocom, Intelex, LNUA, Majorhost, MiroHost, Modus, Navigator Online, Net Access Corporation, Relink, Rusonyx, Server.ua, ServerSnab, Service Online, Shantyr, TeNeT, The First, The Planet, TimeWeb Co., TutHost, UARNet, Ukrainian Internet Names Center, Unlim, Uteam, VPS.ua, Velton Telecom, Vizor, Volia, Wnet, Xirra, XServer, iPROsrv, iWeb, Мета, Укртелеком.

Найбільші інфіковані хостери (TOP-10):

  • Compubyte Limited - 11 сайтів
  • HostPro - 10 сайтів
  • Freehost - 9 сайтів
  • Delta-X - 8 сайтів
  • Hetzner - 5 сайтів
  • MiroHost - 5 сайтів
  • Volia - 4 сайтів
  • Besthosting - 3 сайтів
  • Hvosting - 3 сайтів
  • TeNeT - 3 сайтів

Всього було виявлено хостінги 122 сайта з 130. У випадку інших 8 сайтів визначити хостінги не вдалося, тому що в даний момент ці сайти вже не працювали (вони явно були закриті через розміщення malware на цих ресурсах).