Websecurity - Веб безпека

У грудні, 31.12.2013, я виявив численні уразливості в плагіні VideoWhisper Live Streaming Integration для WordPress. Це Cross-Site Scripting та Code Execution через Arbitrary File Uploading. Про що найближчим часом повідомлю розробникам веб додатку.

Стосовно плагінів для WordPress раніше я писав про уразливості в Contact Form 7 для WordPress.

Детальна інформація про уразливості з’явиться пізніше.

Після попереднього дослідження інфікованих сайтів, приведу нову інформацію про заражені сайти. З числа українських сайтів.

• http://xekaxoz.pp.ua - інфекція була виявлена 06.02.2014. Зараз сайт входить до переліку підозрілих.
• http://coagulant.com.ua - інфекція була виявлена 24.01.2014. Зараз сайт не входить до переліку підозрілих.
• http://xoloxyz.pp.ua - інфекція була виявлена 25.12.2013. Зараз сайт входить до переліку підозрілих.
• http://qww.com.ua - інфекція була виявлена 06.02.2014. Зараз сайт не входить до переліку підозрілих.
• http://tetra.zp.ua - інфекція була виявлена 02.02.2014. Зараз сайт не входить до переліку підозрілих.

Продовжуючи розпочату традицію, після попереднього відео про виконання коду в Internet Explorer, пропоную нове відео на веб секюріті тематику. Цього разу відео про DoS експлоіт для WordPress. Рекомендую подивитися всім хто цікавиться цією темою.

В травні 2009 в записі Атака на Abuse of Functionality в WordPress я розповів про уразливість в WordPress та представив атаку через пошкодження таблиць в базах даних в СУБД MySQL. А в 2012 році я опублікував статтю Атака через пошкодження таблиць в MySQL.

На минулому тижні я зробив експлоіт для цієї уразливості та відео з його використанням, що демонструє дану атаку в дії. Яке 08.02.2014 виклав на YouTube. Це відео є доказом даної уразливості в WP та атаки описаної в моїй статті.

В даному відео ролику демонструється використання Denial of Service уразливості в WordPress, яка дозволяє пошкодити таблицю в БД сайта, що призведе до DoS-атаки на сайт.

В даній добірці уразливості в веб додатках:

• HP StoreOnce D2D Backup System, Remote Unauthorized Access and Modification (деталі)
• Critical vulnerabilities discovered in Gazelle and TBDEV.net (деталі)
• openSIS <= 5.2 (ajax.php) PHP Code Injection Vulnerability (деталі)
• Opencart Multiple Vulnerabilities (деталі)
• Re: HP StoreOnce D2D Backup System, Remote Unauthorized Access and Modification (деталі)

У січні, 01.01.2014, я знайшов Denial of Service та Insufficient Anti-automation уразливості в Google Maps плагіні для Joomla. Про що найближчим часом повідомлю розробникам веб додатку.

Раніше я вже писав про DoS і XSS уразливості в Googlemaps для Joomla. Розробник виправив численні уразливості, про які я повідомив його торік. Але, як я перевірив, в плагіні є нові уразливості.

Denial of Service (WASC-10):

Уразливість наявна у захисному фільтрі плагіна. Можна проводити атаки на цільові сайти, де в якості піддомену використовується домен сайту з плагіном Google Maps.

Для старих версій плагіна використовувається plugin_googlemap2_proxy.php, а для нових використовувається plugin_googlemap3_kmlprxy.php. Наприклад, запит для атаки на сайт wordpress.com через скрипт на сайті site:

http://site/plugins/system/plugin_googlemap2_proxy.php?url=site.wordpress.com
http://site/plugins/system/plugin_googlemap3/plugin_googlemap3_kmlprxy.php?url=site.wordpress.com

Це необхідно для обходу захисного фільтру, якщо він увімкнений. Таким чином можна атакувати сайти, що дозволяють довільні піддомени.

Insufficient Anti-automation (WASC-21):

Як я писав раніше, у версії 3.2 плагіна розробник зробив захист від автоматизований атак, але він не ефективний. І використання вищезгаданої перевірки на домен, яка може бути обійдена, не вирішує ситуації.

В даному функціоналі плагіна немає надійного захисту від автоматизованих запитів. Для обходу захисту для доступу до скрипта потрібно вказати реферер (що рівний поточному сайту), кукіс (сесійний, що встановлюється Джумлою) і токена (що береться зі сторінки сайта з плагіном і встановлюється в URL). Ці дані можуть бути взяті з сайту автоматично.

Уразливі Google Maps plugin v3.2 для Joomla та попередні версії. За виключенням версій 2.19, 2.20, 3.1 де вимкнений функціонал проксі.

Враховуючи накопичену мною за 2001-2013 роки інформацію про хакерську активність в Уанеті, я вирішив навести підсумкову інформацію про атаки gov.ua сайти. Наведу порівняльну статистику взломів і DDoS атак на державні сайти України за останні 13 років.

Статистика буде за 2001 - 2013 роки. За ці роки всього було атаковано 568 українських державних сайтів (включаючи взломи сайтів та DDoS атаки). Це без врахування інфікованих gov.ua сайтів, яких було виявлено чимало за час моїх досліджень інфікованих сайтів в Уанеті.

За весь 2001 рік в Уанеті було атаковано 2 веб сайти.

За весь 2002 рік в Уанеті було атаковано 2 веб сайти.

За весь 2003 рік в Уанеті було атаковано 1 веб сайт.

За весь 2004 рік в Уанеті було атаковано 3 веб сайти.

За весь 2005 рік в Уанеті було атаковано 10 веб сайти.

За весь 2006 рік в Уанеті було атаковано 23 веб сайти.

За весь 2007 рік в Уанеті було атаковано 13 веб сайтів.

За весь 2008 рік в Уанеті було атаковано 18 веб сайтів.

За весь 2009 рік в Уанеті було атаковано 24 веб сайти.

За весь 2010 рік в Уанеті була атаковано 48 веб сайтів.

За весь 2011 рік в Уанеті була атаковано 104 веб сайти.

За весь 2012 рік в Уанеті була атаковано 171 веб сайтів.

За весь 2013 рік в Уанеті була атаковано 149 веб сайтів.

Як видно зі статистики, починаючи з 2008 року кількість атак на державні сайти постійно зростає.

P.S.

Звіт був оновлений після виявлення нових даних за друге півріччя 2013 року.

18.12.2013

Виявлена можливість підміни сертифікатів в cURL.

Уразливі продукти: cURL 7.33, libcurl 7.33.

При виключеному CURLOPT_SSL_VERIFYPEER також не перевіряється ім’я хоста.

• Vulnerability in curl (деталі)

01.02.2014

Додаткова інформація.

• curl vulnerability (деталі)

В даній добірці експлоіти в веб додатках:

• Franklin Fueling TS-550 evo 2.0.0.6833 - Multiple Vulnerabilities (деталі)
• Ability Mail Server 2013 - Password Reset CSRF from Stored XSS (Web UI) (деталі)
• EMC Data Protection Advisor DPA Illuminator EJBInvokerServlet RCE (деталі)
• Adobe ColdFusion 9 Administrative Login Bypass Vulnerability (деталі)
• HP LoadRunner EmulationAdmin Web Service Directory Traversal (деталі)