Websecurity - Веб безпека

У січні, 28.01.2014, я знайшов Login Enumeration, Brute Force та Insufficient Anti-automation уразливості на http://grytsenko.com.ua - сайті Анатолія Гриценка, одного з кандидатів в президенти. А також багато інших уразливостей. Про що найближчим часом сповіщу адміністрацію сайта.

В жовтні 2009 року хакери вже ламали сайт Гриценка, як раз під час попередньої президентської компанії. Тому не дивно, що в цьому році він також використовував діряву CMS в себе на сайті - це в нього давня практика.

Login Enumeration:

http://grytsenko.com.ua/admin/login.php

Brute Force:

http://grytsenko.com.ua/admin/login.php

Insufficient Anti-automation:

http://grytsenko.com.ua/messageadmin.html

Дані уразливості досі не виправлені. На сайті використовується Catapulta I.W. Edition, тому він має всі уразливості цієї CMS, а також багато інших дірок. Зокрема це Information Leakage уразливості, що призводять до витоків персональних даних користувачів сайту.

В світі та зокрема в Україні все більшого поширення набувають платіжні карти. Сам багато років користуюся ними. Платіжними картами (дебітними або кредитними) серед іншого можна розплачуватися за покупки в торговій мережі та в Інтернеті.

Але в торговій мережі, в тих же супермаркетах, іноді трапляються збої терміналів. Тоді карткою не можна розплатитися. Хто користувався пластиковими картками, той знає (сам неодноразово з цим стикався). В таких випадках доводиться або платити за покупки готівкою, якщо вона є, або ж йти до банкомату, щоб зняти готівку. Для тих, хто звик до електронної безготівкової форми оплати (карткою), подібні інциденти дуже не приємні. Вони витрачають час і нерви, щоб оплатити готівкою, коли в тебе є картка, але термінал не працює. Тобто технічні збої в роботі мережі терміналів в різних закладах торгівлі створюють значні незручності для покупців і для самих магазинів.

Окрім технічних збоїв в окремих чи всіх терміналах в магазині також можливий варіант цілеспрямованої атаки. Це блокування платіжних карт. Через уразливості в Інтернет-банкінгу можна буде отримати доступ в акаунт користувача і заблокувати його карту, як то Visa чи MasterCard. В даному випадку відбувається повне блокування карти, доки користувач не пройде процедуру активації карти (що зазвичай складніше, ніж процедура блокування, особливо якщо в конкретному Інтернет-банкінгу є функція блокування, але немає функції розблокування карти, а такі банки я зустрічав). Таким чином користувач не зможе не тільки розплатися картою, а навіть зняти гроші з банкомату.

Я неодноразово зустрічав функціонал блокування карт в Інтернет-банкінгах українських банків. Більш того, в останні роки я знаходив багато уразливостей в Інтернет-банкінгах, що дозволяли отримати несанкціонований доступ в акаунт і провести блокування карт користувача. Навіть якщо функціонал такого сайта не дозволяв вкрасти гроші (через відсутність транзакцій між рахунками), функціонал блокування може зацікавити зловмисників. І щоб напакостити даному користувачу, вони заблокують його платіжні картки. Тому за безпекою Інтернет-банкінгів потрібно слідкувати.

В травні було багато інцидентів безпеки в Уанеті, як то взломи та інфікування сайтів і DDoS атаки, про які я пишу щотижня, а також були DDoS атаки та взломи політичного характеру, про які я написав в окремій публікації. Вони були пов’язані з проведенням президентських і місцевих виборів в Україні.

Окрім раніше згаданих інцидентів також виділю DDoS атаки на офіційні сайти ДНР і ЛНР - самопроголошених Донецької і Луганської республік, які ГПУ визнала терористичними організаціями. Цього місяця на дані сайти були проведені DDoS атаки.

DDoS на lugansk-online.info - 20.05.2014
DDoS на donetsk-gov.su - 28-31.05.2014

У середу я провів DDoS атаку на сайт ДНР, після чого інші активісти DDoSили його декілька днів - всі ці дні сайт працював повільно. А вже 31.05.2014 хостер закрив donetsk-gov.su, явно через постійні DDoS атаки на сайт.

Таким чином українські хакери висловили протест проти цих незаконних організацій на їх сайтах. Один з яких припинив роботу.

Виявлені численні уразливості безпеки в Apache Tomcat.

Уразливі версії: Apache Tomcat 6.0, Tomcat 7.0, Tomcat 8.0.

Витоки інформації, DoS.

• CVE-2014-0119 Apache Tomcat information disclosure (деталі)
• CVE-2014-0097 Apache Tomcat information disclosure (деталі)
• CVE-2014-0096 Apache Tomcat information disclosure (деталі)
• CVE-2014-0095 Apache Tomcat denial of service (деталі)
• CVE-2014-0075 Apache Tomcat denial of service (деталі)

28.02.2014

У січні, 28.01.2014, я знайшов Login Enumeration, Brute Force та Insufficient Anti-automation уразливості в Catapulta I.W. Edition. Це українська комерційна CMS. Про що найближчим часом повідомлю розробникам системи.

Детальна інформація про уразливості з’явиться пізніше. Спочатку повідомлю розробникам.

30.05.2014

Login Enumeration (WASC-42):

http://site/admin/login.php

Різні відповіді при вірному і невірному логіні.

Brute Force (WASC-11):

http://site/admin/login.php

Немає захисту від BF атак.

Insufficient Anti-automation (WASC-21):

В контактній формі (http://site/messageadmin.html) немає захисту від автоматизованих запитів (капчі).

Вразливі всі версії Catapulta I.W. Edition.

Після попереднього дослідження похаканих сайтів, приведу нову інформацію про взломані сайти. З числа українських сайтів.

• http://biomed.nas.gov.ua (хакером d3b~X) - 14.03.2014 - похаканий державний сайт, зараз сайт вже виправлений адмінами
• http://112.gov.ua (хакером d3b~X) - 15.03.2014 - похаканий державний сайт, зараз сайт вже виправлений адмінами
• http://topolyok-info.com.ua (хакерами AlFeRoX і AnonPhantom) - 25.05.2014, зараз сайт вже виправлений адмінами
• http://oil-shop.com.ua (хакерами WildClique і U Mad Bro)
• http://barsuk.kiev.ua (хакерами з Bermud Team) - 30.05.2014, зараз сайт вже виправлений адмінами

Виявлені уразливості безпеки в Apache mod-wsgi.

Уразливі версії: Apache mod_wsgi 4.5.

Підвищення привілеїв, витік інформації.

• mod-wsgi security update (деталі)

Продовжуючи розпочату традицію, після попереднього відео про переповнення буфера в Adobe Flash Player, пропоную нове відео на веб секюріті тематику. Цього разу відео про виконання коду в Internet Explorer. Рекомендую подивитися всім хто цікавиться цією темою.

MS13-008/CVE-2012-4792 Win7-IE8-EMET NoSpray

В даному відео ролику демонструється віддалене виконання коду в Internet Explorer 8 під Windows 7. Проведення атаки на дану уразливість через Internet Explorer дозволяє нападнику отримати контроль над атакованим комп’ютером.

Атака відбувається при відвідуванні в IE спеціально створеного веб сайта, що містить код експлоіту. Рекомендую подивитися дане відео для розуміння векторів атак на браузери.

У грудні 2012 року я розробив приклад простого веб додатку з вбудованим бекдором - Backdoored Web Application. Він призначений для перевірки систем пошуку бекдорів. Це еталонний тест сканерів бекдорів.

Торік у травні я провів порівняльне тестування різних сканерів бекдорів - Тестування сканерів бекдорів серед плагінів для WordPress. В якому я перевірив сканери за допомогою мого BWA.

Сьогодні я випустив нову версію додатку - Backdoored Web Application v.1.0.1. В якій я до PHP-версії додав Perl-версію BWA. Це дозволить ще краще тестувати сканери бекдорів.

Скачати: bwa_v.1.0.1.rar.

Раніше я писав про квітневі DDoS атаки в Україні, а зараз розповім про ситуацію в травні.

В зв’язку з сепаратистськими і терористичними акціями на сході України, а особливо в зв’язку з президентськими і місцевими виборами, в цьому місяці хакерська активність збільшилася. Відбулися наступні DDoS атаки та взломи в Інтернеті.

Проросійськими та іноземними хакерами були атаковані наступні сайти:

espreso.tv - 04.05.2014 - взломали за об’єктивне висвітлення інформації
Взлом FB-аккаунта Володимира Бондаренко - 20.05.2014
www.orto.com.ua - 24.05.2014 - взломали і розмістили рекламу Порошенко
www.mediaport.ua - 24.05.2014 - взломали і розмістили рекламу Порошенко
avakov.com - 24.05.2014 - взломали сайт Авакова і розмістили дезінформацію
DDoS атака на дзеркало сайта cvk.gov.ua - 25.05.2014

Іноземними хакерами були проведені неполітичні взломи державний сайтів:

kremjust.gov.ua - 16.02.2014
www.dabksumy.gov.ua - 25.05.2014
uns.adm-pl.gov.ua - 27.05.2014
www.grad.gov.ua - 27.05.2014
www.zakarpatlis.gov.ua - 27.05.2014
www.fabrika.gov.ua - 27.05.2014 - це вже другий взлом в цьому році
ivankiv-rda-rada.gov.ua - 27.05.2014

Проукраїнськими хакерами були атаковані наступні сайти:

DDoS на www.rada.crimea.ua - 01-31.05.2014 (сайт працював з перервами)
DDoS на www.crimea-portal.gov.ua - 01-31.05.2014
DDoS на www-ki.rada.crimea.ua - 01-31.05.2014 (сайт працював з перервами)
DDoS на сайти ДНР і ЛНР (lugansk-online.info, donetsk-gov.su)

Проукраїнськими хакерами були взломані наступні сайти:

ptn.nr2.ru - 17.05.2014