Архів за Червень, 2014

Уразливості в плагінах для WordPress №146

23:51 25.06.2014

Продовжуючи тему уразливостей в плагінах для WordPress, пропоную вам інформацію про дірки в інших плагінах для WP.

Цього разу повідомляю про уразливості в плагінах DT Chocolate, Global Flash Galleries та Social Ring. Для котрих з’явилися експлоіти. DT Chocolate - це тема Chocolate WP, про уразливості в якій я вже писав, Global Flash Galleries - це плагін для створення фото галереї, Social Ring - це плагін для розміщення кнопок для поширення інформації в соціальних мережах.

  • WordPress DT Chocolate Cross Site Scripting (деталі)
  • WordPress Global Flash Galleries File Upload (деталі)
  • WordPress Social Ring 1.1.9 Cross Site Scripting (деталі)

Користувачам даних плагінів варто або оновити їх, або власноруч виправити дірки. В якості тимчасового рішення, поки не будуть виправлені чи оновлені плагіни, можна їх виключити в адмінці.

Численні уразливості в OpenSSL

22:49 25.06.2014

Виявлені численні уразливості безпеки в OpenSSL.

Уразливі версії: OpenSSL 1.0.

Атаки на зниження рівня захисту, численні помилки в DTLS, DoS.

Вийшов Mozilla Firefox 30

20:17 25.06.2014

У червні, 10.06.2014, вийшов Mozilla Firefox 30. Нова версія браузера вийшла через півтора місяці після виходу Firefox 29.

Mozilla офіційно випустила реліз веб-браузера Firefox 30, а також мобільну версію Firefox 30 для платформи Android. Відповідно до шеститижневого циклу розробки, реліз Firefox 31 намічений на 22 липня, а Firefox 32 на 2 вересня.

Також був випущений Seamonkey 2.26.1 та оновлені гілки із тривалим терміном підтримки Firefox 24.6.0 і Thunderbird 24.6.0.

Окремо варто відзначити, що крім нововведень і виправлення помилок у Firefox 30.0 усунуто 7 уразливостей, серед яких 5 позначені як критичні, що можуть привести до виконання коду зловмисника при відкритті спеціально оформлених сторінок. Причому ця кількість - це саме патчі (Mozilla типово виправляє по декілька дір за один патч).

Добірка експлоітів

17:28 25.06.2014

В даній добірці експлоіти в веб додатках:

  • Fritz!Box - Remote Command Execution Exploit (деталі)
  • NETGEAR DGN2200 1.0.0.29_1.7.29_HotS - Stored XSS Vulnerability (деталі)
  • Crime24 Stealer Panel <= Multiple Vulnerabilities (деталі)
  • HP Laser Jet - JavaScript Persistent XSS via PJL Directory Traversal (деталі)
  • NETGEAR DGN2200 1.0.0.29_1.7.29_HotS - CSRF Vulnerability (деталі)
  • Seagate BlackArmor NAS - Multiple Vulnerabilities (деталі)
  • Fortiweb 5.1.x Cross Site Request Forgery Vulnerability (деталі)
  • JIRA Issues Collector Directory Traversal Exploit (деталі)
  • Linksys E-Series TheMoon Remote Command Injection Exploit (деталі)
  • OpenSSL TLS Heartbeat Extension - Memory Disclosure (деталі)

XSS та CSRF уразливості в ADSL модемі Zyxel P660RT2 EE

23:56 24.06.2014

12.04.2014

У квітні, 01.04.2013, я виявив численні уразливості в ADSL модемі Zyxel P660RT2 EE. Це Cross-Site Scripting та Cross-Site Request Forgery уразливості. Раніше я писав про інші уразливості в ADSL модемі Zyxel P660RT2 EE.

Детальна інформація про уразливості з’явиться пізніше. Спочатку повідомлю розробникам пристрою.

24.06.2014

Cross-Site Scripting (WASC-08):

Атака відбувається через довільне параметр (як існуючий, так і видуманий, як з іменем “1″ в даному прикладі).

Zyxel P660RT2 EE XSS-2.html

XSS атаку можна провести як через POST, так і через GET запит:

http://192.168.1.1/Forms/home_1?=%3Cbody%20onload=alert(document.cookie)%3E

Cross-Site Request Forgery (WASC-09):

Відсутність захисту від Brute Force (такого як капча) також призводить до можливості проведення CSRF атаки, про що я писав в статті Атаки на незахищені логін форми. Це дозволяє проводити віддалений логін.

Zyxel P660RT2 EE CSRF.html

Для атаки потрібно знати пароль (який можна отримати через XSS). А без знання пароля можна провести Remote Login with ClickJacking атаку на логін форму.

Cross-Site Request Forgery (DoS через CSRF) (WASC-09):

Zyxel P660RT2 EE CSRF-2.html

Включити рефреш кожні 5 секунд POST або GET запитом:

http://192.168.1.1/Forms/home_1?Sys_Refrash=00000001&sysSubmit=Apply

http://192.168.1.1/SystStatusFrame.html (по замовчуванню рефреш включений кожні 5 секунд, потрібно лише викликати цю сторінку)

Уразлива версія Zyxel P660RT2 EE. ZyNOS Firmware Version: V3.40 (AXN.1). Дана модель з іншими прошивками також повинна бути вразливою. Компанія Zyxel проігнорувала усі уразливості в цьому пристрої й досі їх не виправила.

Інфіковані сайти №197

22:48 24.06.2014

Після попереднього дослідження інфікованих сайтів, приведу нову інформацію про заражені сайти. З числа українських сайтів.

  • http://sm.gov.ua - інфікований державний сайт - інфекція була виявлена 28.03.2014. Зараз сайт не входить до переліку підозрілих.
  • http://lebedinrda.info - інфікований державний сайт - інфекція була виявлена 28.03.2014. Зараз сайт не входить до переліку підозрілих.
  • http://sana-travel.com.ua - інфекція була виявлена 24.06.2014. Зараз сайт входить до переліку підозрілих.
  • http://generatory-kiev.com.ua - інфекція була виявлена 27.03.2014. Зараз сайт не входить до переліку підозрілих.
  • http://obzor.zp.ua - інфекція була виявлена 20.06.2014. Зараз сайт не входить до переліку підозрілих.

Обхід захисту в Apache mod_security

20:13 24.06.2014

Виявлена можливість обходу захисту в Apache mod_security.

Уразливі версії: Apache mod_security 2.7.

Обхід захисту через chunked-кодування.

Добірка уразливостей

17:24 24.06.2014

В даній добірці уразливості в веб додатках:

  • Vodafone EasyBox Default WPS PIN Algorithm Weakness (деталі)
  • Reflected cross-site scripting (XSS) vulnerability in Mediatrix Web Management Interface login page (деталі)
  • Cross Site Scripting (XSS) in Drupal Event calendar module (деталі)
  • Multiple Reflected XSS vulnerabilities in JAMon v2.7 (деталі)
  • Hikvision IP Cameras Multiple Vulnerabilities (деталі)

Новини: дослідження шкідливого ПЗ, витоки на мобільних платформах та паролі до серверів

22:41 21.06.2014

За повідомленням www.opennet.ru, оцінка схильності користувачів до запуску потенційно шкідливих програм за гроші.

Група дослідників з Національного інституту стандартів і технологій США (NIST), університету Карнегі-Меллон і університету штату Пенсільванія провели цікавий експеримент, метою якого була оцінка, наскільки жадібність користувачів переважає над здоровим глуздом у питаннях комп’ютерної безпеки і скільки потрібно заплатити, щоб користувач добровільно запустив потенційно шкідливе ПЗ.

Автори експерименту пропонували заплатити користувачу невелику суму в обмін на те, що він запустить на своєму комп’ютері пропоновану для завантаження програму і введе в ній спеціальний код активації.

Всього з пропозицією ознайомилося 2854 користувачів, було завантажено 1714 копій програми, зафіксовано 965 запусків.

За повідомленням threatpost.ru, Gartner про загрозу витоків на мобільних платформах.

Згідно з прогнозом Gartner, до 2017 року основним вогнищем витоків з кінцевого устаткування стануть планшети і смартфони. При цьому в 75% випадків причиною порушення безпеки мобільного пристрою будуть погано налаштовані додатки.

В даний час Gartner спостерігає стійке скорочення продажів ПК, тоді як попит на портативні пристрої знаходиться на підйомі. У той же час атаки на мобільні пристрої стають усе більш витонченими.

За повідомленням www.xakep.ru, уразливість у материнських платах Supermicro видає паролі до серверів.

Як мінімум 32000 веб серверів з материнськими платами Supermicro як і раніше відкриті для несанкціонованого доступу через Інтернет, незважаючи на те, що вийшов патч, який закриває уразливість.

Наявність веб сервера в материнській платі, що відкритий для доступу з Інтернету, відносить її до категорії мережевих пристроїв. Про уразливості в яких пишуть десятиліттями.

Численні уразливості в Mozilla Firefox, Thunderbird, Seamonkey

20:09 21.06.2014

Виявлені численні уразливості безпеки в Mozilla Firefox, Thunderbird, Seamonkey.

Уразливі продукти: Mozilla Firefox 29.0, Firefox 24.5, Thunderbird 24.5, Seamonkey 2.26.

Переповнення буфера, пошкодження пам’яті, Clickjacking.

  • Mozilla Foundation Security Advisory 2014-48 (деталі)
  • Mozilla Foundation Security Advisory 2014-49 (деталі)
  • Mozilla Foundation Security Advisory 2014-50 (деталі)
  • Mozilla Foundation Security Advisory 2014-51 (деталі)
  • Mozilla Foundation Security Advisory 2014-52 (деталі)
  • Mozilla Foundation Security Advisory 2014-53 (деталі)
  • Mozilla Foundation Security Advisory 2014-54 (деталі)
  • Mozilla Foundation Security Advisory 2014-55 (деталі)