Websecurity - Веб безпека

Продовжуючи розпочату традицію, після попереднього відео про атаки на інтерфейс користувача браузера, пропоную нове відео на веб секюріті тематику. Цього разу відео про атаку на OpenSSL. Рекомендую подивитися всім хто цікавиться цією темою.

OpenSSL CVE-2014-0160 (Heartbleed)

В даному відео ролику демонструється атака на OpenSSL через Heartbleed уразливість. Використання даної уразливості в OpenSSL дозволяє нападнику отримати секретний ключ шифрування на веб сервері і розшифрувати SSL трафік.

Атака відбувається при відвідуванні в браузері HTTPS сервера, що використовує OpenSSL (а таких серверів сотні мільйонів - OpenSSL дуже поширений в Інтернеті). Рекомендую подивитися дане відео для розуміння векторів атак на SSL.

Після попереднього дослідження похаканих сайтів, приведу нову інформацію про взломані сайти. З числа українських сайтів.

• http://zakarpat-rada.gov.ua (хакером Gabby) - 07.04.2014 - похаканий державний сайт, зараз сайт вже виправлений адмінами
• http://zak-rada.gov.ua (хакером Gabby) - 07.04.2014 - похаканий державний сайт, зараз сайт вже виправлений адмінами
• http://buksport.cv.ua (хакером nuki)
• http://zfiz.nau.edu.ua (хакером Leon)
• http://www.flowers-dp.com (хакером Hmei7) - 02.03.2014, зараз сайт вже виправлений адмінами

Виявлені численні уразливості безпеки в Ruby on Rails в компонентах Actionpack і Actionmailer.

Уразливі версії: Ruby on Rails 3.2, Ruby on Rails 4.0.

DoS, міжсайтовий скриптінг.

• ruby-actionpack-3.2 security update (деталі)
• ruby-actionmailer-3.2 security update (деталі)

В даній добірці експлоіти в веб додатках:

• Ubee EVW3200 - Cross Site Request Forgery Vulnerability (деталі)
• Array Networks vxAG 9.2.0.34 and vAPV 8.3.2.17 - Multiple Vulnerabilities (деталі)
• Dlink DIR-600L Hardware Version AX Firmware Version 1.00 - CSRF Vulnerability (деталі)
• InterWorx Web Control Panel Cross Site Scripting Vulnerability (деталі)
• InterWorx 5.0.13 Build 574 SQL Injection Vulnerability (деталі)
• Mini HTTPD 1.21 - Stack Buffer Overflow POST Exploit (деталі)
• SolidWorks Workgroup PDM 2014 SP2 - Arbitrary File Write Vulnerability (деталі)
• IBM BPMS 8.0.0.1 Privilege Escalation / Disclosure (деталі)
• Python socket.recvfrom_into() remote buffer overflow exploit (деталі)
• Symantec Endpoint Protection Manager Remote Command Execution Exploit (деталі)

21.11.2012

У вересні, 25.09.2012, відбувся масовий взлом сайтів на сервері OIAC. Нещодавно я вже розповідав про інші масові взломи.

Був взломаний сервер української компанії OIAC - Обласного інформаційно-аналітичного центру. На якому хостилося 34 gov.ua сайти. Масовий дефейс відбувся після згаданого масового взлому сайтів на сервері HostPro.

Всього було взломано 37 сайтів на сервері OIAC (IP 193.200.212.35). Це наступні сайти: reports.esco.od.ua, okv.esco.od.ua, siaz.odessa.gov.ua, ananiev-rada.odessa.gov.ua, tarutino-rada.odessa.gov.ua, tatarbunar-rada.odessa.gov.ua, shiryaivo-rada.odessa.gov.ua, sarata-rada.odessa.gov.ua, reni-rada.odessa.gov.ua, rozdilna-rada.odessa.gov.ua, mikolaivka-rada.odessa.gov.ua, lybashivka-rada.odessa.gov.ua, savran-rada.odessa.gov.ua, ovidiopol-rada.odessa.gov.ua, krasnookn-rada.odessa.gov.ua, orsf.odessa.gov.ua, iac.odessa.gov.ua, customs.odessa.gov.ua, invest.odessa.gov.ua, oblrada.odessa.gov.ua, ved.odessa.gov.ua, oda.odessa.gov.ua, kotovsk-rada.odessa.gov.ua, v-mihailivka-rada.odessa.gov.ua, komintern-rada.odessa.gov.ua, frunzivka-rada.odessa.gov.ua, kodima-rada.odessa.gov.ua, bolgrad-rada.odessa.gov.ua, bd-rada.odessa.gov.ua, arciz-rada.odessa.gov.ua, ivanivka-rada-t.odessa.gov.ua, bilyaivka-rada.odessa.gov.ua, berezivka-rada.odessa.gov.ua, izmail-rada.odessa.gov.ua, kiliya-rada.odessa.gov.ua, balta-rada-t.odessa.gov.ua, esco.od.ua. Всі вони - це українські державні сайти (34 в зоні gov.ua та 3 в зоні od.ua).

Всі зазначені сайти були взломані хакером HighTech.

Враховуючи велику кількість сайтів на одному сервері та короткий проміжок часу для дефейсу всіх 37 сайтів, то вони могли бути атаковані хакером HighTech через взлом серверу хостінг провайдера. Коли через взлом одного сайта, через уразливості в програмному забезпеченні самого сервера, атаковані інші сайти на даному сервері. Або вони могли бути атаковані через взлом одного сайта та подальшого взлому всіх сайтів в акаунті.

08.05.2014

У листопаді, 12.11.2013, відбувся повторний масовий взлом сайтів на сервері OIAC. До 37 сайтів дефейснутих раніше додалися ще 14 сайтів.

Було взломано 14 сайтів (всього 51 сайтів) на сервері 193.200.212.35 компанії OIAC. Це наступні сайти: touregion.odessa.gov.ua, reklama.odessa.gov.ua, customs.odessa.gov.ua, balta.odessa.gov.ua, reports.esco.od.ua, okv.esco.od.ua, esco.od.ua, iac.odessa.gov.ua, oblrada.odessa.gov.ua, orsf.odessa.gov.ua, siaz.odessa.gov.ua, ved.odessa.gov.ua, oda.odessa.gov.ua, invest.odessa.gov.ua. Всі вони - це українські державні сайти (в зонах gov.ua та od.ua).

Всі зазначені сайти були взломані хакером zerobyte.

У березні, 25.03.2014, вийшов Mozilla Firefox 28.0.1. Нова версія браузера вийшла лише через сім днів після виходу Firefox 28. І в ній виправлені баги та одна уразливість допущені в останньому релізі.

Mozilla представила коригувальний випуск Firefox 28.0.1 у якому усунута наступна уразливість:

• Mozilla Foundation Security Advisory 2014-33 - лінки протоколу file: зкачуються до SD карти по замовчуванню.

Виявлені численні уразливості безпеки в Adobe Flash Player.

Уразливі продукти: Adobe Flash Player 13.0, Air 13.0.

Використання пам’яті після звільнення, переповнення буфера, обхід обмежень, міжсайтовий скриптінг.

• Adobe Flash ExternalInterface Use-After-Free Code Execution (Pwn2Own) (деталі)
• Security updates available for Adobe Flash Player (деталі)
• Security updates available for Adobe Flash Player (деталі)
• Security updates available for Adobe Flash Player (деталі)
• Security updates available for Adobe Flash Player (деталі)
• Security updates available for Adobe Flash Player (деталі)
• Security updates available for Adobe Flash Player (деталі)

У січні, 06.01.2012, я знайшов Information Leakage уразливості в БНК Клієнт-банк - це система інтернет-банкінгу від АКБ “Національний кредит”. Про що найближчим часом повідомлю розробникам системи.

Стосовно уразливостей на сайтах банків останній раз я писав про уразливості на privatbank.ua.

Information Leakage (WASC-13):

При генерації секретного ключа мають місце наступні уразливості:

По замовчуванню створюється файл з іменем ПІБ користувача та розширенням key. Що полегшує пошук ключа при доступі до комп’ютера користувача чи носія даних, де він зберігається.

Прізвище_Ім’я_Побатькові.key

1. Розширення .key (типово для ключів систем клієнт-банк). Можна змінити.
2. В імені файлу ключа вказано ПІБ. Можна змінити.
3. В тексті файлу ключа вказано ПІБ. Не можна змінити.

Це гірше ніж в системах клієнт-банка Аваля та інших систем на основі Ibank від БИФИТ та систем інших банків, з якими мені доводилося стикатися.

Виявлені race condition уразливості в OpenSSL.

Уразливі версії: OpenSSL 1.0.

Короткочасні умови приводять до DoS чи можливості ін’єкції даних.

• OpenSSL vulnerabilities (деталі)
• FreeBSD Security Advisory FreeBSD-SA-14:09.openssl (деталі)

Після попереднього дослідження інфікованих сайтів, приведу нову інформацію про заражені сайти. З числа українських сайтів.

• http://moemisto.com.ua - інфекція була виявлена 29.04.2014. Зараз сайт входить до переліку підозрілих.
• http://donline.dn.ua - інфекція була виявлена 10.03.2014. Зараз сайт не входить до переліку підозрілих.
• http://moemisto.kiev.ua - інфекція була виявлена 29.04.2014. Зараз сайт входить до переліку підозрілих.
• http://vicoil.com.ua - інфекція була виявлена 05.05.2014. Зараз сайт не входить до переліку підозрілих.
• http://meteoprog.ua - інфекція була виявлена 09.04.2014. Зараз сайт не входить до переліку підозрілих.