Websecurity - Веб безпека

Пертурбації з сайтом Президента України www.president.gov.ua. Після кривавих подій 18-20 лютого, президент утік, а в суботу в Верховній Раді обрали нового спікера та оголосили відставку президента. А в неділю спікера обрали в.о. президента.

Вже 18.02 почалася DDoS атака на www.president.gov.ua. А 22.02 почалася більш активна DDoS атака на офіційне представництво Президента України. З суботи сайт зовсім не відповідав (можливо, що сайт зовсім відключили, бо сам сервер працював). А вже 25.02.2014 сайт запрацював в оновленому вигляді, на якому зазначається, що зараз це представництво в.о. президента. Таким чином Янукович був остаточно відсторонений.

За повідомленням www.xakep.ru, браслет з електрокардіографом як універсальний пароль і гаманець.

Канадська компанія Bionym розробила браслети Nymi. Це дуже цікавий пристрій, що дозволяє здійснити трьохфакторну біометричну авторизацію. Щоб підтвердити свою особистість, користувач повинний 1) мати персональний браслет; 2) мати смартфон з персональним кодом у додатку Nymi; 3) мати пульс.

Розробники пропонують використовувати браслет не тільки як універсальний ключ від усіх пристроїв і пароль для комп’ютера, але і як гаманець. Програмне забезпечення підтримує роботу з Bitcoin.

За повідомленням threatpost.ru, хакери взломали Kickstarter.

У середині лютого адміністрація сервісу Kickstarter заявила про факт взлому їх сайта хакерами. Відповідна запис з’явився в корпоративному блозі компанії відразу після події.

У результаті атаки хакерам стали доступні імена, фізичні й електронні адреси, номери телефонів, а також авторизаційні дані користувачів. Цього рорку це черговий значний взлом після Yahoo.

У січні, 01.01.2014, я знайшов численні уразливості в Joomla-Base. Це Denial of Service, XML Injection, Cross-Site Scripting, Full path disclosure та Insufficient Anti-automation уразливості. Про що найближчим часом повідомлю розробникам веб додатку.

Joomla-Base - це сбірка Joomla. Яка містить різні плагіни, в тому числі Google Maps плагін для Joomla, і тому має всі його уразливості. Що я оприлюднив в 2013-2014 роках.

Всі дірки мають місце в файлі plugin_googlemap2_proxy.php. Ось опис DoS та XSS уразливостей, опис інших дірок в попередніх записах.

Denial of Service (WASC-10):

http://site/plugins/system/plugin_googlemap2/plugin_googlemap2_proxy.php?url=google.com

Cross-Site Scripting (WASC-08):

http://site/plugins/system/plugin_googlemap2/plugin_googlemap2_proxy.php?url=%3Cbody%20onload=alert(document.cookie)%3E

Уразливі всі версії пакета Joomla-Base.

В даній добірці уразливості в веб додатках:

• HP Networking Products including H3C and 3COM Routers and Switches, OSPF Remote Information Disclosure and Denial of Service (деталі)
• Vulnerability in Roundcube (деталі)
• GTX CMS 2013 Optima - Multiple Web Vulnerabilities References (деталі)
• Olat CMS 7.8.0.1 - Persistent Calender Web Vulnerability (деталі)
• HP ProCurve Switches, Remote Unauthorized Information Disclosure (деталі)

У січні, 01.01.2014, я знайшов численні уразливості в JoomLeague плагіні для Joomla. Це Denial of Service, XML Injection, Cross-Site Scripting, Full path disclosure та Insufficient Anti-automation уразливості. Про що найближчим часом повідомлю розробникам веб додатку.

Цей плагін містить Google Maps плагін для Joomla і тому має всі його уразливості. Що я оприлюднив в 2013-2014 роках.

Всі дірки мають місце в файлі plugin_googlemap3_proxy.php. Ось опис DoS уразливості, опис інших дірок в попередніх записах.

Denial of Service (WASC-10):

http://site/components/com_joomleague/plugins/system/plugin_googlemap3/plugin_googlemap3_proxy.php?url=google.com

Уразливі плагін JoomLeague 2.1.12 для Joomla та попередні версії. Та пакет joomleague-2-komplettpaket, що містить цей плагін.

Після попереднього дослідження похаканих сайтів, приведу нову інформацію про взломані сайти. З числа українських сайтів.

• http://mriya.pz.gov.ua (хакером JoKeR_StEx) - 08.01.2014 - похаканий державний сайт, зараз сайт вже виправлений адмінами
• http://pz.gov.ua (хакером JoKeR_StEx) - 08.01.2014 - похаканий державний сайт, зараз сайт вже виправлений адмінами
• http://hansaukr.com.ua (хакером fallag tnx hani xavi) - 09.12.2013, зараз сайт вже виправлений адмінами
• http://gazcomp.com.ua (хакером fallag tnx hani xavi) - 09.12.2013, зараз сайт вже виправлений адмінами
• http://schooldance.com.ua (хакером WildClique) - 17.02.2014, зараз сайт вже виправлений адмінами

Виявлені численні уразливості безпеки в Google Chrome та Chromium.

Уразливі продукти: Google Chrome 32.0, Chromium 32.0.

Численні пошкодження пам’яті, use-after-free, витік інформації.

• chromium-browser security update (деталі)

В даній добірці експлоіти в веб додатках:

• Seagate BlackArmor NAS sg2000-2000.1331 - Multiple Persistent Cross Site Scripting Vulnerabilities (деталі)
• Apache Archiva 1.3.6 => Remote Command Execution Vulnerability (деталі)
• Stem Innovation IZON Hardcoded Password Vulnerability (деталі)
• OpenSIS ‘modname’ PHP Code Execution Vulnerability (деталі)
• EasyFTP Server Remote Exploit (деталі)

Продовжуючи розпочату традицію, після попереднього відео про виконання коду в Adobe Flash Player, пропоную нове відео на веб секюріті тематику. Цього разу відео про 0day уразливість в Internet Explorer. Рекомендую подивитися всім хто цікавиться цією темою.

CVE-2014-0322 IE 9/10 CMarkup Use-After-Free 0day Exploitation & Mitigation Demo

В даному відео ролику демонструється віддалене виконання коду в Internet Explorer версій 9 і 10. Використовується експлоіт для проведення атаки на 0day уразливість в Internet Explorer при відкритті сторінки з кодом експлоіту. Що дозволяє нападнику отримати контроль над атакованим комп’ютером.

Атака відбувається при відвідуванні в IE спеціально створеного веб сайта, що містить код експлоіту. Рекомендую подивитися дане відео для розуміння векторів атак на браузери.

Після попереднього дослідження інфікованих сайтів, приведу нову інформацію про заражені сайти. З числа українських сайтів.

• http://zetozyx.pp.ua - інфекція була виявлена 18.02.2014. Зараз сайт входить до переліку підозрілих.
• http://ukrtel.net - інфекція була виявлена 02.02.2014. Зараз сайт не входить до переліку підозрілих.
• http://uritek.com.ua - інфекція була виявлена 10.01.2014. Зараз сайт входить до переліку підозрілих.
• http://kms-ua.com - інфекція була виявлена 26.11.2013. Зараз сайт не входить до переліку підозрілих.
• http://feyerverki.kiev.ua - інфекція була виявлена 19.12.2013. Зараз сайт не входить до переліку підозрілих.

Слабкі дозволи в Perl модулі Proc::Daemon.

Уразливі версії: Perl Proc::Daemon 0.14.

Слабкі дозволи на pid-файл.

• Vulnerability in perl-Proc-Daemon (деталі)