Websecurity - Веб безпека

У січні, 23.01.2014, вийшла нова версія WordPress 3.8.1.

WordPress 3.8.1 це багфікс випуск нової 3.8 серії. В якому розробники виправили 31 баг.

Офіційно жодних уразливостей не виправлено, лише баги. Але треба враховувати, що розробники WP полюбляють виправляти дірки приховано. Лише в минулому році я виявив десятки приховано виправлених уразливостей в WP, про що я писав раніше.

09.10.2013

У вересні, 17.09.2013, я виявив нові уразливості в плагіні Contact Form 7 для WordPress. Про що найближчим часом повідомлю розробникам веб додатку.

Раніше я вже писав про Code Execution в Contact Form 7 для WordPress.

Детальна інформація про уразливості з’явиться пізніше. Спочатку повідомлю розробникам.

28.01.2014

Code Execution (WASC-31):

Атака відбувається через аплоадер. Для виконання коду треба використати обхідні методи для IIS і Apache. Можна використати “;” в імені файла (1.asp;.txt) на IIS або подвійні розширення (1.php.txt) на Apache.

В контактній формі потрібно, щоб був тег аплоадера.

[file file-423]

Файли завантажуються в папку:

http://site/wp-content/uploads/wpcf7_uploads/

При створенні цієї папки створюється файл .htaccess (Deny from all).

Це можна обійти або при використанні інших веб серверів окрім Apache (де .htaccess ігнорується), або на Апачі можна використати уразливості в WP для видалення файлів, або через LFI уразливість включити файл з цієї папки.

Уразливі Contact Form 7 3.5.3 та попередні версії. В версії 3.5.3 розробник виправив попередню CE уразливість, але не ці дві. Тому що атаки можливі на більш ранніх версіях WordPress, а в останніх версіях код самого WP блокує атаки через “крапку з комою” та подвійні розширення, тому розробник не хоче реалізовувати захист в своєму плагіні й радить використовувати останні версії движка.

Після попереднього дослідження інфікованих сайтів, приведу нову інформацію про заражені сайти. З числа українських сайтів.

• http://parpar.com.ua - інфекція була виявлена 15.01.2014. Зараз сайт входить до переліку підозрілих.
• http://dctel.net.ua - інфекція була виявлена 11.01.2014. Зараз сайт не входить до переліку підозрілих.
• http://zen.in.ua - інфекція була виявлена 04.12.2013. Зараз сайт входить до переліку підозрілих.
• http://misto.zp.ua - інфекція була виявлена 22.01.2014. Зараз сайт не входить до переліку підозрілих.
• http://megalit.net.ua - інфекція була виявлена 10.01.2014. Зараз сайт не входить до переліку підозрілих.

Виявлені численні уразливості безпеки в OpenSSL.

Уразливі версії: OpenSSL 0.9, OpenSSL 1.0.

Переповнення буфера, звертання по нульовому вказівнику, DoS.

• Multiple issues in OpenSSL - BN (multiprecision integer arithmetics) (деталі)

В даній добірці уразливості в веб додатках:

• RSA Authentication Agent Cross-Site Scripting (XSS) Vulnerability (деталі)
• Security Advisory for Bugzilla 4.4.1, 4.2.7 and 4.0.11 (деталі)
• Zikula CMS v1.3.5 - Multiple Web Vulnerabilities (деталі)
• MODx 2.2.10 Reflected Cross Site Scripting (деталі)
• telepathy-idle vulnerability (деталі)

За повідомленням tyzhden.ua, СБУ затримала хакера, підозрюваного у викраденні з банків понад $9 млн.

Служба безпеки України встановила особу киянина, причетного до викрадення коштів з рахунків клієнтів іноземних та вітчизняних фінансових установ. Хакер був відомий в Мережі під псевдонімами “4х4″ і “Stalin”.

СБУ стверджує, що киянин був причетний до несанкціонованого втручання в роботу комп’ютерних систем однієї з іноземних банківських установ, в результаті чого в 2008 році було викрадено понад 9 мільйонів доларів.

За повідомленням www.xakep.ru, Snapchat передбачувано взломали.

24 грудня австралійські хакери з компанії Gibson Security опублікували у відкритому доступі інформацію про недокументовані виклики API в програмі Snapchat, а також код двох експлоітів. Усі ці відомості хакери ще в серпні передали в компанію Snapchat, але “імовірно, вона була занадто зайнята, щоб відхиляти неадекватно великі пропозиції про покупку з боку Facebook і Google, щоб відповісти на наш лист”, - говорять вони.

Не дивно, що деякі зловмисники негайно скористалися цими експлоітами. Прямо на Новий рік відкрився сайт SnapchatDB.info, на якому викладена інформація про 4,6 млн. користувачів.

Це звісно менше ніж 130 млн. паролів користувачів Adobe, але теж значний витік персональних даних.

За інформацією МВС, статистика шахрайства, зробленого за допомогою інформаційних технологій, має наступний вигляд:

Статистика по кіберзлочинам, що були виявлені МВС:

Продовжуючи розпочату традицію, після попереднього відео про виконання коду в Internet Explorer, пропоную нове відео на веб секюріті тематику. Цього разу відео про цікаву уразливість в Mozilla Firefox. Рекомендую подивитися всім хто цікавиться цією темою.

Mozilla Firefox theme installation vulnerability / spoofing vulnerability

В даному відео ролику демонструється використання уразливості в Mozilla Firefox. Що дозволяє проводити встановлення теми в браузери. Для локального виконання коду і для проведення XSS та Content Spoofing атак.

Атака відбувається при відвідуванні в Firefox спеціально створеного веб сайта, що містить код експлоіту. Рекомендую подивитися дане відео для розуміння векторів атак на браузери.

Після попереднього дослідження похаканих сайтів, приведу нову інформацію про взломані сайти. З числа українських сайтів.

• http://gtea.snigurivka-rda.gov.ua (хакером HambaAllah) - 27.12.2013 - похаканий державний сайт, зараз сайт вже виправлений адмінами
• http://policier.snigurivka-rda.gov.ua (хакером HambaAllah) - 27.12.2013 - похаканий державний сайт, зараз сайт вже виправлений адмінами
• http://www.media-plus.com.ua (хакером SuL6an Hacker)
• http://ptv.com.ua (хакером HasTurk) - 07.01.2014, зараз сайт вже виправлений адмінами
• http://excom.crimea.ua (хакером HasTurk) - 09.01.2014, зараз сайт вже виправлений адмінами

В даній добірці експлоіти в веб додатках:

• Stem Innovation IZON Hardcoded Password Vulnerability (деталі)
• ASUS RT-N56U - Remote Root Shell Buffer Overflow (ROP) (деталі)
• Microsoft Tagged Image File Format (TIFF) Integer Overflow (деталі)
• FireFox Use after Free Exploit (деталі)
• D-Link RTSP Authentication Bypass (деталі)

Продовжуючи тему уразливостей в плагінах для WordPress, пропоную вам інформацію про дірки в інших плагінах для WP.

Цього разу повідомляю про уразливості в плагінах Curvo, WP-Checkout та Think Responsive. Для котрих з’явилися експлоіти. Curvo - це тема движка, WP-Checkout - це плагін для створення онлайн-магазину, Think Responsive - це тема движка.

• WordPress Curvo Shell Upload (деталі)
• WordPress WP-Checkout Cross Site Scripting / Shell Upload (деталі)
• WordPress Think Responsive 1.0 Shell Upload (деталі)

Користувачам даних плагінів варто або оновити їх, або власноруч виправити дірки. В якості тимчасового рішення, поки не будуть виправлені чи оновлені плагіни, можна їх виключити в адмінці.