Архів за Січень, 2014

Уразливості в плагінах для WordPress №132

23:51 31.01.2014

Продовжуючи тему уразливостей в плагінах для WordPress, пропоную вам інформацію про дірки в інших плагінах для WP.

Цього разу повідомляю про уразливості в плагінах ThisWay, Gallery Bank та Kernel. Для котрих з’явилися експлоіти. ThisWay - це тема движка, Gallery Bank - це плагін для створення галерей зображень, Kernel - це тема движка.

Користувачам даних плагінів варто або оновити їх, або власноруч виправити дірки. В якості тимчасового рішення, поки не будуть виправлені чи оновлені плагіни, можна їх виключити в адмінці.

Виконання коду в Internet Explorer

22:44 31.01.2014

Продовжуючи розпочату традицію, після попереднього відео про Insufficient Process Validation уразливість в LiqPAY, пропоную нове відео на веб секюріті тематику. Цього разу відео про виконання коду в Internet Explorer. Рекомендую подивитися всім хто цікавиться цією темою.

MS12-063 Microsoft Internet Explorer execCommand Vulnerability Metasploit Demo

В даному відео ролику демонструється віддалене виконання коду в Internet Explorer версій 7, 8 і 9. Використовується експлоіт для проведення атаки на уразливість в Internet Explorer (показано на прикладі IE8) при відкритті сторінки з кодом експлоіту. Що дозволяє нападнику отримати контроль над атакованим комп’ютером.

Атака відбувається при відвідуванні в IE спеціально створеного веб сайта, що містить код експлоіту. Рекомендую подивитися дане відео для розуміння векторів атак на браузери.

Denial of Service проти PHP

20:17 31.01.2014

Виявлена можливість проведення DoS атаки проти PHP.

Уразливі версії: PHP 5.5.

Відмова при обробці інтервалів дат.

Похакані сайти №251

17:26 31.01.2014

Після попереднього дослідження похаканих сайтів, приведу нову інформацію про взломані сайти. З числа українських сайтів.

  • http://www.golovderzhkarantyn.gov.ua (хакером Dr.SHA6H) - 18.08.2013 - похаканий державний сайт, зараз сайт вже виправлений адмінами
  • http://www.korosten-rayrada.in.ua (хакером Hmei7) - 23.08.2013 - похаканий державний сайт, зараз сайт вже виправлений адмінами
  • http://revizor911.com (хакером Sejeal) - 16.08.2013, зараз сайт вже виправлений адмінами
  • http://www.creativeschool.com.ua (хакером M05L3K) - 07.01.2014, зараз сайт вже виправлений адмінами
  • http://chehly.com.ua (хакером Ayyildiz tim) - 11.01.2014, зараз сайт вже виправлений адмінами

Уразливості на www.ipay.ua

23:52 30.01.2014

18.06.2013

Сьогодні я знайшов Cross-Site Scripting уразливості на сайті http://www.ipay.ua. Про що найближчим часом сповіщу адміністрацію сайта.

iPay.ua - це електронна платіжна система, причому з PCI DSS сертифікатом, але дірява.

Стосовно дірок на сайтах електронних платіжних систем в останнє я писав про уразливості на www.payu.ua. Дірки на сайтах ЕПС з PCI DSS сертифікатами мені доводилося знаходити не раз, зокрема на easypay.ua та www.payu.ua. А також в 2011 і 2012 роках я проводив аудити безпеки двох ЕПС (які були PCI DSS сертифіковані), в яких я виявив чимало уразливостей. Всі ці випадки демонструють якість PCI DSS аудитів, проведених на цих сайтах.

Детальна інформація про уразливості з’явиться пізніше.

30.01.2014

XSS:

В старих браузерах, де можна використовувати одинарні лапки:

https://www.ipay.ua/ru/bills/popolnit-schet-life-cherez-internet/?a=';alert(document.cookie)//

Друга дірка виправлена, але перша дірка досі не виправлена. Також в цій EPS є багато інших уразливостей.

Insufficient Process Validation уразливість в LiqPAY

22:43 30.01.2014

Продовжуючи розпочату традицію, після попереднього відео про цікаву уразливість в Mozilla Firefox, пропоную нове відео на веб секюріті тематику. Цього разу відео про Insufficient Process Validation уразливість в LiqPAY. Також відео демонструє Insufficient Session Expiration уразливість (сесія діє необмежений час), бо на момент запису відео сесія тривала вже 1,5 місяці. Рекомендую подивитися всім хто цікавиться цією темою.

Раніше я писав про уразливості в LiqPAY для Android та iOS. 19.07.2013 я зробив відео для Insufficient Process Validation уразливості (на прикладі свого Android-планшета, для iOS дірка аналогічна), яке 16.01.2014 виклав на YouTube.

В даному відео ролику демонструється використання уразливості в LiqPAY, яка дозволяє отримати доступ до акаунтів користувачів без введення OTP, лише при натисканні іконки LiqPAY клієнта.

DoS проти Microsoft Dynamics AX

20:09 30.01.2014

Виявлена можливість проведення DoS атаки проти Microsoft Dynamics AX.

Уразливі версії: Microsoft Dynamics AX 4.0, Dynamics AX 2009, Dynamics AX 2012, Dynamics AX 2012 R2.

Зависання при обробці запиту.

  • Microsoft Security Bulletin MS14-004 - Important Vulnerability in Microsoft Dynamics AX Could Allow Denial of Service (2880826) (деталі)

Добірка уразливостей

17:25 30.01.2014

В даній добірці уразливості в веб додатках:

  • Linksys EA - 2700, 3500, 4200, 4500 w/ Lighttpd 1.4.28 Unauthenticated Remote Administration Access (деталі)
  • HTTP Response Splitting Vulnerability in WebCollab <= v3.30 (деталі)
  • WebTester 5.x Multiple Vulnerabilities (деталі)
  • Elite Graphix ElitCMS 1.01 & PRO - Multiple Web Vulnerabilities (деталі)
  • Linksys EA2700, EA3500, E4200v2, EA4500 Unspecified unauthenticated remote access (деталі)

Сайти, що заробляють на розповсюдженні malware

23:58 29.01.2014

В статті Партнерки, що платять за розміщення вірусів я писав про партнерські програми, які виплачують винагороду власникам сайтів за розміщення шкідливого коду на своїх сайтах і зараження користувачів. В тому числі серед них є українські сайти.

До таких партнерок відноситься iframepay.com. Як я писав два роки тому, malware з цього сайту тоді було розміщено на 891 сайті, в тому числі я виявив один український сайт.

За станом на сьогодні за інформацією від Safe Browsing для iframepay.com цей сайт був інфікований останній раз 05.12.2013. Також він інфікував 169 сайтів (це та кількість учасників цієї партнерки, що була виявлена Гуглом).

Серед них наступні сайти в Уанеті:

  • http://forus.at.ua - інфекція була виявлена 17.11.2013. Зараз сайт входить до переліку підозрілих.
  • http://fito-market.com.ua - інфекція була виявлена 05.12.2013. Зараз сайт не входить до переліку підозрілих.
  • http://labsoft.at.ua - інфекція була виявлена 28.12.2013. Зараз сайт входить до переліку підозрілих
  • http://beezy.at.ua - інфекція була виявлена 28.09.2013. Зараз сайт не входить до переліку підозрілих.
  • http://se-ua.net - інфекція була виявлена 27.01.2014. Зараз сайт не входить до переліку підозрілих.

Січневий вівторок патчів від Microsoft

22:42 29.01.2014

У січні місяці Microsoft випустила 7 патчів. Що менше ніж і у грудні.

У січневому “вівторку патчів” Microsoft випустила черговий пакет оновлень, до якого увійшло 7 бюлетенів по безпеці. Що закривають численні уразливості в програмних продуктах компанії. Два патчі закривають критичні уразливості та п’ять патчів закривають важливі уразливості.

Дані патчі стосуються всіх поточних операційних систем компанії Microsoft - Windows XP, 2003, Vista, 2008, 7, 2008 R2, 8, 2012, RT, 8.1 та RT 8.1. А також Microsoft Office, SharePoint та Dynamics AX.

Зазначу, що наприкінці грудня 2013 року компанія випустила позачерговий патч для Internet Explorer (бо уразливість в браузері активно використовувалася для атак на користувачів в Інтернеті). Тому немає патча для IE безпосередньо у “вівторку патчів”.