Websecurity - Веб безпека

В даній добірці уразливості в веб додатках:

• RSA BSAFE SSL-J Multiple Vulnerabilities (деталі)
• horde3 security update (деталі)
• SQL Injection in doorGets CMS (деталі)
• Multiple SQL Injection Vulnerabilities in AuraCMS (деталі)
• RSA BSAFE Micro Edition Suite Security Update for SSL/TLS Plaintext Recovery (aka “Lucky Thirteen”) Vulnerability (деталі)

Раніше я писав про травневі DDoS атаки та взломи в Україні, а зараз розповім про ситуацію в червні.

В зв’язку з сепаратистськими і терористичними акціями на сході України в цьому місяці хакерська активність була значною. Відбулися наступні DDoS атаки та взломи в Інтернеті.

Проросійськими та іноземними хакерами були атаковані наступні сайти:

torum.org (захоплений ДНР) - 07.06.2014
DDoS на www.rusradio.ua - 26.06.2014

Іноземними хакерами були проведені неполітичні взломи державний сайтів:

www.grad.gov.ua - 01.06.2014
mrada-baranivka.gov.ua - 25.06.2014
perechyn-rada.gov.ua - 29.06.2014

Проукраїнськими хакерами були атаковані наступні сайти:

DDoS на сайти ДНР і ЛНР (dnr24.org, donetsk-gov.su, bolotov-lg.ru)
DDoS на kharkov-resp.su - 27-30.06.2014

Сайти ДНР і ЛНР були атаковані неодноразово на протязі червня. При цьому donetsk-gov.su атакувався також і в травні.

Українські Кібер Війська закрили наступні сайти:

Заритий сайт dnrespublika.info (через скаргу хостеру) - 27.06.2014
Закриті сайти novoros.ucoz.com, antimaidan.ucoz.com і dnr.ucoz.com (через скаргу хостеру) - 30.06.2014

У липні, 22.07.2014, вийшов Mozilla Firefox 31. Нова версія браузера вийшла через півтора місяці після виходу Firefox 30.

Mozilla офіційно випустила реліз веб-браузера Firefox 31, а також мобільну версію Firefox 31 для платформи Android. Відповідно до шеститижневого циклу розробки, реліз Firefox 32 намічений на 2 вересня, а Firefox 33 на 14 жовтня.

Також були випущені Seamonkey 2.27 і Thunderbird 31 та оновлені гілки із тривалим терміном підтримки Firefox 24.7.0 і Thunderbird 24.7.0.

В цій версії є покращення безпеки. Було інтегровано систему блокування завантаження файлів, що містять шкідливе ПЗ. Для одержання інформації про відоме шкідливе ПЗ використовується Google Safe Browsing API. Тобто вона працює аналогічно функції блокування шкідливих сайтів.

Окремо варто відзначити, що крім нововведень і виправлення помилок у Firefox 31.0 усунуто 11 уразливостей, серед яких 3 позначені як критичні, що можуть привести до виконання коду зловмисника при відкритті спеціально оформлених сторінок. Причому ця кількість - це саме патчі (Mozilla типово виправляє по декілька дір за один патч).

• Релиз Firefox 31 (деталі)

В даній добірці експлоіти в веб додатках:

• Plesk 10.4.4/11.0.9 - SSO XXE/XSS Injection Exploit (деталі)
• Motorola SBG901 Wireless Modem - CSRF Vulnerability (деталі)
• ZTE WXV10 W300 - Multiple Vulnerabilities (деталі)
• SAP Router - Timing Attack Password Disclosure (деталі)
• NRPE <= 2.15 - Remote Command Execution Vulnerability (деталі)

Продовжуючи розпочату традицію, після попереднього відео про виконання коду в Adobe Flash, пропоную нове відео на веб секюріті тематику. Цього разу відео про викрадення файлів в Google Chrome. Рекомендую подивитися всім хто цікавиться цією темою.

FileJacking google chrome

В даному відео ролику демонструється атака на викрадення файлів в Google Chrome (автор назвав її FileJacking). Проведення атаки на дану уразливість в браузері Google Chrome дозволяє нападнику отримати файли з комп’ютера користувача.

Атака відбувається при відвідуванні в Chrome спеціально створеного веб сайта, що містить код експлоіту. Рекомендую подивитися дане відео для розуміння векторів атак на браузери.

Виявлені численні уразливості безпеки в Microsoft Internet Explorer.

Уразливі продукти: Microsoft Internet Explorer 6, 7, 8, 9, 10, 11 під Windows XP, Windows 2003 Server, Windows Vista, Windows 2008 Server, Windows 7, Windows 8, Windows 2012 Server, Windows 8.1.

Численні пошкодження пам’яті.

• Microsoft Internet Explorer “ShowSaveFileDialog()” Sandbox Bypass (Pwn2Own 2014) (деталі)
• Microsoft Internet Explorer “Request” Object Confusion Sandbox Bypass (Pwn2Own 2014) (деталі)
• Microsoft Internet Explorer CSS @import Memory Corruption (Pwn2Own 2014) (деталі)
• Microsoft Security Bulletin MS14-037 - Critical Cumulative Security Update for Internet Explorer (2975687) (деталі)
• Microsoft Security Bulletin MS14-035 - Critical Cumulative Security Update for Internet Explorer (2969262) (деталі)

Після попереднього дослідження похаканих сайтів, приведу нову інформацію про взломані сайти. З числа українських сайтів.

• http://kras-sov.gov.ua (хакером kwgdeface) - 20.02.2014 - похаканий державний сайт, зараз сайт вже виправлений адмінами
• http://vrada.gov.ua (хакером Gabby) - 07.04.2014 - похаканий державний сайт, зараз сайт вже виправлений адмінами
• http://blog.sweetflowers.com.ua (хакером Erfan Nikotin) - 02.03.2014, зараз сайт вже виправлений адмінами
• http://blog.bezposrednikov.com.ua (хакером Erfan Nikotin) - 02.03.2014, зараз сайт вже виправлений адмінами
• http://forum.bezposrednikov.com.ua (хакером Erfan Nikotin) - 02.03.2014, зараз сайт вже виправлений адмінами

25.03.2014

У січні, 30.01.2014, я знайшов Denial of Service та Cross-Site Scripting уразливості на сайті Генеральної прокуратури України - http://www.gp.gov.ua. Про що найближчим часом сповіщу адміністрацію сайта.

Стосовно державних сайтів в останнє я писав про уразливості на dsmsu.gov.ua та president.gov.ua.

Детальна інформація про уразливості з’явиться пізніше.

25.07.2014

DoS:

http://www.gp.gov.ua/ua/search.html?q=%25%25%25

XSS:

http://www.gp.gov.ua/ua/search.html?q=1&sort=%22%3E%3Cbody%20onload=alert(document.cookie)%3E

Дані уразливості вже виправлені. Адмінам державних сайтів лише потрібно не забувати дякувати за повідомлення про уразливості на їхніх сайтах.

У липні, 13.07.2014, я знайшов уразливості в Dahua IP Camera (веб камера). Зокрема Brute Force та Abuse of Functionality уразливості.

Раніше я писав про уразливості у веб камерах, зокрема в D-Link DCS-2103.

Детальна інформація про уразливості з’явиться пізніше. Спочатку повідомлю розробникам пристрою.

Виявлена некоректна робота із сертифікатами в Perl модулі LWP::Protocol::https.

Уразливі версії: liblwp-protocol-https-perl 6.04.

При дозволеній розбіжності імені сертифіката сертифікат цілком не перевіряється.

• LWP::Protocol::https vulnerability (деталі)