Websecurity - Веб безпека

Після початку революційних подій в Україні наприкінці листопада, в Уанеті відбулося багато DoS і DDoS атак, про які я писав. Також в грудні відбулося чимало взломів сайтів та акаунтів в соціальних мережах, що безпосередньо пов’язані з політичними подіями в Україні.

Серед грудневих взломів:

Хакери Anonymous взломали сайти: economy.cg.gov.ua, cg.gov.ua, bahadm.cg.gov.ua, borzadm.cg.gov.ua, bobradm.cg.gov.ua, varadm.cg.gov.ua, koradm.cg.gov.ua, pladm.cg.gov.ua, goradm.cg.gov.ua, ichadm.cg.gov.ua, kozadm.cg.gov.ua, kpadm.cg.gov.ua, kuladm.cg.gov.ua, meadm.cg.gov.ua, neadm.cg.gov.ua, novgadm.cg.gov.ua, nosadm.cg.gov.ua, rpadm.cg.gov.ua, semadm.cg.gov.ua, sosadm.cg.gov.ua, sribadm.cg.gov.ua, taladm.cg.gov.ua, schorsadm.cg.gov.ua, chadm.cg.gov.ua.

Anonymous compromised several Ukrainian government servers in retaliation to the government brutality toward its people.

Взлом хакерами Anonymous поштового сервера mail.voladm.gov.ua і великої кількості поштових скриньок працівників державних органів. Після того, як вони отримали доступ до Єдиного Державного Реєстру Виборців України (наприкінці 2012 року).

Ukraine government emails leaked! @gov.ua accounts and gov databases.

Ці хакери зробили багато різних взломів (поштових скриньок і серверів та мобільних пристроїв таких високопосадовців як Рибак і Захарченко) на замовлення Ігоря Калетника - першого заступника Голови Верховної Ради України. Але той їх кинув і не оплатив роботу, тому вини вирішили оприлюднити цю інформацію.

Також були взломані Twitter акаунт Юрія Луценка (@Lutsenko_Yuri) та пошта, твіттер і ФБ-акаунт його прес-секретаря Лариси Сарган.

Виявлена Cross-Site Scripting уразливість у бібліотеці Microsoft SignalR.

Уразливі продукти: Microsoft ASP.NET SignalR 2.0, Visual Studio Team Foundation Server 2013.

Міжсайтовий скриптінг в транспорті Forever Frame.

• Microsoft Security Bulletin MS13-103 - Important Vulnerability in ASP.NET SignalR Could Allow Elevation of Privilege (2905244) (деталі)

В даній добірці експлоіти в веб додатках:

• D-Link DSR Router Series - Remote Root Shell Exploit (деталі)
• Cisco EPC3925 - Cross Site Request Forgery (деталі)
• vBulletin v4.x.x and 5.х.x Shell Upload / Remote Code Execute (0day) (деталі)
• Supermicro Onboard IPMI close_window.cgi Buffer Overflow Vulnerability (деталі)
• DeepOfix 3.3 SMTP Authentication Bypass Vulnerability (деталі)

У лютому, 02.02.2013, я виявив Content Spoofing та Cross-Site Scripting уразливості в плагінах для WordPress, Joomla і Plone, що містять Dewplayer. Раніше я писав про уразливості в Dewplayer.

Це дуже поширена флешка, що знаходиться на сотнях тисяч веб сайтів і яка використовується в багатьох веб додатках. При стандартному пошуку Dewplayer через Гугл дорки виводиться 422000 сайтів (і це лише для флешки dewplayer.swf, а ще інші імена файлів цього плеєра).

Цей флеш медіа плеєр в наступних плагінах: Dewplayer WordPress plugin, JosDewplayer і mosdewplayer для Joomla та collective.dewplayer для Plone. Також можуть бути інші плагіни з Dewplayer.

Наявність конкретної CS та XSS уразливості залежить від версії плеєра, що постачається з конкретним плагіном. При цьому адмін сайта може встановити більш нову версію флешки ніж та, що постачається з плагіном.

Dewplayer для WordPress:

З плагіном постачаються наступні флешки: dewplayer.swf, dewplayer-mini.swf, dewplayer-multi.swf. Вони всі мають CS дірки.

Content Spoofing (Content Injection) (WASC-12):

http://site/wp-content/plugins/dewplayer-flash-mp3-player/dewplayer.swf?mp3=1.mp3
http://site/wp-content/plugins/dewplayer-flash-mp3-player/dewplayer.swf?file=1.mp3
http://site/wp-content/plugins/dewplayer-flash-mp3-player/dewplayer.swf?sound=1.mp3
http://site/wp-content/plugins/dewplayer-flash-mp3-player/dewplayer.swf?son=1.mp3

Full path disclosure (WASC-13):

http://site/wp-content/plugins/dewplayer-flash-mp3-player/dewplayer.php

JosDewplayer і mosdewplayer:

Плагін JosDewplayer базується на mosdewplayer, тому дірки в них мають збігатися.

З плагіном постачаються наступні флешки: dewplayer.swf, dewplayer-multi.swf, dewplayer-playlist.swf, dewplayer-rect.swf. Вони всі мають CS дірки.

http://site/plugins/content/josdewplayer/dewplayer.swf

collective.dewplayer:

З плагіном постачаються наступні флешки: dewplayer-mini.swf, dewplayer.swf, dewplayer-multi.swf, dewplayer-rect.swf, dewplayer-playlist.swf, dewplayer-bubble.swf, dewplayer-vinyl.swf. Всі ці флешки мають CS, а dewplayer-vinyl.swf ще і XSS дірки.

Шлях на сайті може бути різним:

http://site/files/++resource++collective.dewplayer/dewplayer.swf

Content Spoofing (Content Injection) (WASC-12):

http://site/path/dewplayer.swf?mp3=1.mp3

XSS (WASC-08):

http://site/path/dewplayer-vinyl.swf?xml=xss.xml

Вразливі наступні веб додатки: Dewplayer WordPress plugin 1.2 і попередні версії, JosDewplayer 2.0 і попередні версії, всі версії mosdewplayer, collective.dewplayer 1.2 і попередні версії.

Вразливі веб додатки, що використовують Dewplayer 2.2.2 і попередні версії.

Виявлені численні уразливості безпеки в Google Chrome та Chromium.

Уразливі продукти: Google Chrome 31.0, Chromium 31.0.

Підміна адреси, пошкодження пам’яті, переповнення буфера.

• chromium-browser security update (деталі)

Після попереднього дослідження інфікованих сайтів, приведу нову інформацію про заражені сайти. З числа українських сайтів.

• http://tvds.org.ua - інфекція була виявлена 24.10.2013. Зараз сайт не входить до переліку підозрілих.
• http://terrawoman.com - інфекція була виявлена 21.10.2013. Зараз сайт не входить до переліку підозрілих.
• http://terrawoman.ua - інфекція була виявлена 21.10.2013. Зараз сайт не входить до переліку підозрілих.
• http://terrawoman.com.ua - інфекція була виявлена 21.10.2013. Зараз сайт не входить до переліку підозрілих.
• http://vsekommentarii.com - інфекція була виявлена 24.12.2013. Зараз сайт не входить до переліку підозрілих.

Виявлена можливість виконання коду в Microsoft SharePoint.

Уразливі продукти: Microsoft SharePoint 2010, SharePoint 2013, Office Web Apps 2013.

Можливе виконання коду при можливості впровадження даних у сторінку SharePoint.

• Microsoft Security Bulletin MS13-100 - Important Vulnerabilities in Microsoft SharePoint Server Could Allow Remote Code Execution (2904244) (деталі)

За повідомленням www.xakep.ru, огляд ринку 0day-експлоітів.

Останнім часом ринок 0day-експлоітів став об’єктом суспільного інтересу. Хоча найбільші ІТ-компанії почали платити хакерам за виявлення уразливостей у своїх продуктах, але на чорному ринку експлоіти можна продати набагато дорожче. Про цей чорний ринок відомо небагато, тому компанія NSS Labs провела дослідження.

Причому компанія переважно розповіла та навела статистику публічного ринку експлоітів. А про чорний ринок лише зробила деякі припущення.

За повідомленням www.facebook.com, витік інформації на сайті Укрзалізниці.

Наслідки витоку інформації можуть бути сумними. Контент-редактора сайта Укрзалізниці було звільнено, після того як на сайті оприлюднили інформацію (причому приблизну) про кількість потягів з мітингувальниками на Антимадайн. Яких влада привезла у Київ для акції на свою підтримку. Коли ця інформація була оприлюднена на Facebook активістами Євромайдану і про це стало відомо керівництву Укрзалізниці, даного працівника звільнили.

Тому в наших реаліях навіть така незначна інформація для влади може вважатися конфіденційною. Так що окрім DDoS атак, грудень виявився насиченим в Україні в контексті ІБ.

За повідомленням www.xakep.ru, ботнет використовує Fіrefox для взлому сайтів.

Був виявлений дуже незвичний ботнет. Шкідлива програма поширювалася під виглядом розширення для Firefox. За півроку з травня 2013 розширення встановили як мінімум 12500 разів, якщо вірити скріншоту адміністративної панелі.

Після встановлення програма намагалася здійснити SQL-ін’єкції практично на всіх сайтах, що відвідував користувач. Надалі зловмисники використовували заражені сайти для атак типу drive-by, тобто для подальшого збільшення армії ботів.

Стосовно шкідливого коду під виглядом розширення для Firefox я вже писав раніше. Але це перший випадок, коли така malware використовувалася для пошуку уразливостей на сайтах.

Продовжуючи розпочату традицію, після попереднього відео про виконання коду в Internet Explorer, пропоную нове відео на веб секюріті тематику. Цього разу відео про виконання коду в Google Chrome. Рекомендую подивитися всім хто цікавиться цією темою.

Google Chrome Web Browser 0Day Download & Run

В даному відео ролику демонструється віддалене виконання коду в Google Chrome 31. Використовується експлоіт для проведення атаки на нову уразливість в Chrome при відкритті сторінки з кодом експлоіту. Що дозволяє нападнику отримати контроль над атакованим комп’ютером.

Атака відбувається при відвідуванні в Chrome спеціально створеного веб сайта, що містить код експлоіту. Рекомендую подивитися дане відео для розуміння векторів атак на браузери.

Після попереднього дослідження похаканих сайтів, приведу нову інформацію про взломані сайти. З числа українських сайтів.

• http://brovary-region.gov.ua (хакерами з clash hackrz) - 09.12.2013 - похаканий державний сайт, зараз сайт вже виправлений адмінами
• http://comp-ok.com.ua (хакером Cellatreis)
• http://tower.net.ua (хакером dr.m1st3r) - 16.12.2013, зараз сайт вже виправлений адмінами
• http://ravenna.com.ua (хакером VipEr)
• http://www.buller.net.ua (хакерами з 1923Turk Grup)