Websecurity - Веб безпека

Продовжуючи тему уразливостей в плагінах для WordPress, пропоную вам інформацію про дірки в інших плагінах для WP.

Цього разу повідомляю про уразливості в плагінах Woopra Analytics, Simple Flash Video та WordPress Pingback Port Scanner. Для котрих з’явилися експлоіти. Woopra Analytics - це плагін для ведення статистики, Simple Flash Video - це відео-плеєр, WordPress Pingback Port Scanner - це експлоіт для сканування портів через pingback функціонал в WP 3.5. У версії 3.5.1 цю уразливість виправили.

• WordPress Woopra Remote Code Execution (деталі)
• WordPress Simple Flash Video 1.7 Cross Site Scripting (деталі)
• Wordpress Pingback Port Scanner (деталі)

Користувачам даних плагінів варто або оновити їх, або власноруч виправити дірки. В якості тимчасового рішення, поки не будуть виправлені чи оновлені плагіни, можна їх виключити в адмінці.

Раніше я писав про три обхідних методи виконання коду через аплоадери. Які дозволяють обходити захисні механізми веб додатків і проводити Code Execution атаки.

Коли файл містить дозволене розширення (не скриптове), але при доступі до нього виконується код скрипта. Це атака “через ;” в імені файла та атака “через .asp” в імені папки на IIS та атака через подвійні розширення в Apache. А зараз розповім про новий метод атаки, що працює на nginx.

Нещодавно була оприлюднена уразливість в nginx (CVE-2013-4547), яка вже виправлена у версіях nginx 1.4.4 і 1.5.7. Уразливість призводить до розкриття інформації та до виконання довільного коду (якщо завантажити файл з пробілом в імені через аплоадер). До цієї атаки вразливі версії nginx 0.8.41 - 1.5.6.

Code Execution атака на nginx:

1. Завантажити через аплоадер файл з пробілом в кінці "file ". Наприклад, php-скрипт.

2. Зробити запит до цього файла на сайті наступним чином: "http://site/file \0.php". Це призведе до виконання php-скрипта.

Атака спрацює лише при відповідних налаштуваннях веб сервера. Зокрема для зв’язки nginx + php5-fpm значення fastcgi_param PATH_TRANSLATED повинно бути виду $document_root/$fastcgi_script_name та в конфігурації fpm pool значення security.limit_extensions повинно пропускати будь-які файли (що відмінно від значення по замовчуванню).

Окрім попередніх уразливостей, є ще багато дірок на stopthehacker.com. Це секюріті сервіс, що є конкурентом моїм Web VDS та SecurityAlert.

Торік, зокрема 15.12.2012, я знайшов численні уразливості на сайті http://stopthehacker.com. Серед них Brute Force та Insufficient Anti-automation уразливості. Ще у лютому 2012 я звертав увагу розробників цього сервісу на наявність багатьох інших дірок окрім тих, про які я повідомив їм, але вони проігнорували це. І не провели жодних аудитів безпеки і не виправили жодних нових уразливостей (а з попередніх дірок виправили лише одну дірку).

Brute Force:

https://panel.stopthehacker.com/login/

Insufficient Anti-automation:

https://panel.stopthehacker.com/login/signup

Ці та багато інших уразливостей досі не виправлені.

Продовжуючи розпочату традицію, після попереднього відео про викрадення кукісів в Internet Explorer, пропоную нове відео на веб секюріті тематику. Цього разу відео про виконання коду в Mozilla Firefox. Рекомендую подивитися всім хто цікавиться цією темою.

CVE-2011-0065 : Mozilla Firefox mChannel use after free vulnerability

В даному відео ролику демонструється використання Metasploit Framework для проведення атаки на уразливість в Mozilla Firefox 3.5.18, 3.6.16 та попередніх версіях. В Metasploit створюється і запускається експлоіт, який призводить до віддаленого виконання коду в Firefox при відкритті сторінки з кодом експлоіту. Що дозволяє нападнику отримати контроль над атакованим комп’ютером.

Атака відбувається при відвідуванні в Firefox спеціально створеного веб сайта, що містить код експлоіту. Рекомендую подивитися дане відео для розуміння векторів атак на браузери.

Після попереднього дослідження похаканих сайтів, приведу нову інформацію про взломані сайти. З числа українських сайтів.

• http://www.poltav-oblosvita.gov.ua (хакером Dr.SHA6H) - 15.11.2013 - похаканий державний сайт, зараз сайт закритий адмінами
• http://neoclima.ua (хакером Cyber-turk) - 03.08.2013, зараз сайт вже виправлений адмінами
• http://web.optim.ua (хакером Cyber-turk) - 03.08.2013, зараз сайт вже виправлений адмінами
• http://hodovka.com.ua (хакером 4SH4BUL K4HFI) - 22.11.2013, зараз сайт закритий хостером
• http://diana-secret.com (хакерами з White Lotus Brotherhood) - 03.11.2013, зараз сайт вже виправлений адмінами

В даній добірці експлоіти в веб додатках:

• Dahua DVR 2.608.0000.0 and 2.608.GV00.0 - Authentication Bypass (деталі)
• Ruckus Wireless Zoneflex 2942 Wireless Access Point - Authentication Bypass (деталі)
• Apache + PHP 5.x - Remote Code Execution Vulnerability (деталі)
• OpenMediaVault Cron Remote Command Execution Vulnerability (деталі)
• Moodle Remote Command Execution Vulnerability (деталі)

28.09.2013

У вересні, 17.09.2013, я виявив Code Execution уразливість в плагіні Contact Form 7 для WordPress. Про що найближчим часом повідомлю розробникам веб додатку.

Стосовно плагінів для WordPress раніше я писав про уразливості в численних плагінах для WordPress з VideoJS.

Детальна інформація про уразливість з’явиться пізніше. Спочатку повідомлю розробникам.

21.11.2013

Code Execution (WASC-31):

Атака відбувається через аплоадер. Для виконання коду потрібно завантажити phtml (на веб серверах з PHP) чи asp/aspx (на IIS) файли.

В контактній формі потрібно, щоб був тег аплоадера, для якого потрібно вказати дозволені розширення (бо окрім списку заборонених розширень, плагін має ще й список дозволених, серед яких немає скриптів).

[file file-423 filetypes:phtml]

Файли завантажуються в папку:

http://site/wp-content/uploads/wpcf7_uploads/

При створенні цієї папки створюється файл .htaccess (Deny from all).

Це можна обійти або при використанні інших веб серверів окрім Apache (де .htaccess ігнорується), або на Апачі можна використати уразливості в WP для видалення файлів, або через LFI уразливість включити файл з цієї папки.

Уразливі Contact Form 7 3.5.2 та попередні версії. В версії 3.5.3 розробник вже виправив дану уразливість.

Після попереднього дослідження інфікованих сайтів, приведу нову інформацію про заражені сайти. З числа українських сайтів.

• http://www.menr.gov.ua - інфікований державний сайт - інфекція була виявлена 09.10.2013. Зараз сайт не входить до переліку підозрілих.
• http://all.zp.ua - інфекція була виявлена 14.11.2013. Зараз сайт не входить до переліку підозрілих.
• http://vrazrabotke.com.ua - інфекція була виявлена 13.11.2013. Зараз сайт входить до переліку підозрілих.
• http://utro.ua - інфекція була виявлена 13.11.2013. Зараз сайт не входить до переліку підозрілих.
• http://ytro.ua - інфекція була виявлена 28.10.2013. Зараз сайт не входить до переліку підозрілих.

У листопаді, 15.11.2013, вийшов Mozilla Firefox 25.0.1. Нова версія браузера вийшла лише через шістнадцять днів після виходу Firefox 25. І в ній виправлені один баг та декілька уразливостей допущених в останньому релізі.

Mozilla представила коригувальний випуск Firefox 25.0.1 у якому усунуті наступні проблеми:

• 5 уразливостей в бібліотеці Network Security Services (NSS), що використовується в програмах Мозіли.
• помилка, яка приводить до того, що в деяких ситуаціях сторінка не завантажується доти доки не зрушиться курсор.

В даній добірці уразливості в веб додатках:

• Denial of Service vulnerabilities in Subversion (деталі)
• Django vulnerabilities (деталі)
• Multiple Vulnerabilities in X2CRM (деталі)
• joomla com_zimbcomment Components Local File Include vulnerability (деталі)
• Remote Code Execution in GLPI (деталі)