Websecurity - Веб безпека

Продовжуючи тему уразливостей в плагінах для WordPress, пропоную вам інформацію про дірки в інших плагінах для WP.

Цього разу повідомляю про уразливості в темах Trinity та плагінах Photo Album Plus, Wordfence, Slideshow Gallery, Login Widget With Shortcode. Для котрих з’явилися експлоіти.

• WordPress Trinity Theme Arbitrary File Download (деталі)
• WordPress Photo Album Plus 5.4.4 Cross Site Scripting (деталі)
• WordPress Wordfence 5.2.3 Cross Site Scripting / Bypass (деталі)
• WordPress Slideshow Gallery 1.4.6 Shell Upload (деталі)
• WordPress Login Widget With Shortcode 3.1.1 CSRF / XSS (деталі)

Користувачам даних плагінів варто або оновити їх, або власноруч виправити дірки. В якості тимчасового рішення, поки не будуть виправлені чи оновлені плагіни, можна їх виключити в адмінці.

У травні, 14.05.2015, вийшли PHP 5.4.41, PHP 5.5.25 і PHP 5.6.9. У версії 5.4.41 виправлено 7 уразливостей, у версіях 5.5.25 і 5.6.9 виправлено декілька багів і декілька уразливостей.

Дані релізи направлені на покращення безпеки і стабільності гілок 5.4.x, 5.5.x і 5.6.x.

У PHP 5.4.41, 5.5.25 і 5.6.9 виправлено:

• Виправлено 7 уразливостей.
• Уразливість в бібліотеці OpenSSL (в PHP 5.5.25 і 5.6.9).
• Бібліотека pcrelib оновлена до версії 8.37, в якій виправлені 2 уразливості (в PHP 5.4.41 і 5.6.9).

По матеріалам http://www.php.net.

Виявлені уразливості в cURL.

Уразливі продукти: cURL 7.41, libcurl 7.41.

Витік інформації, DoS.

• curl vulnerabilities (деталі)
• Vulnerabilities in cURL (деталі)

В даній добірці уразливості в веб додатках:

• Sonicwall GMS v7.x - Filter Bypass & Persistent Vulnerability (0Day) (деталі)
• MEHR Automation System Arbitrary File Download Vulnerability (persian portal) (деталі)
• CSRF protection bypass in “KonaKart” Java eCommerce product (деталі)
• mantis security update (деталі)
• ES746 DELL Support-Bulletin - EMS Vulnerability Resolved (деталі)

У серпні, 17.08.2013, я знайшов Insufficient Anti-automation та інші уразливості на сайті https://partner.privatbank.ua. На відміну від дірок на інших сайтах, ПБ не став оплачувати ці уразливості, бо не побачив ризику в них.

Стосовно ПриватБанка я вже писав про уразливості в LiqPAY для Android та iOS та уразливості на privatbank.ua.

Insufficient Anti-automation:

В скрипті https://partner.privatbank.ua/auth.php не булоє захисту від автоматизованих атак. Що дозволяло спамити смс-ками з OTP на довільні номери.

Дана уразливість та деякі інші не були виправлені в 2013 році. Але вже через рік банк прикрив цей сайт і встановив редирект на Приват24.

Після попереднього дослідження інфікованих сайтів, приведу нову інформацію про заражені сайти. З числа українських сайтів.

• http://hot-girls.kiev.ua - інфекція була виявлена 30.03.2015. Зараз сайт входить до переліку підозрілих.
• http://posulka.at.ua - інфекція була виявлена 26.03.2015. Зараз сайт не входить до переліку підозрілих.
• http://autoimage.com.ua - інфекція була виявлена 27.04.2015. Зараз сайт входить до переліку підозрілих.
• http://towadojo.kiev.ua - інфекція була виявлена 04.03.2015. Зараз сайт не входить до переліку підозрілих.
• http://naturpharm.com.ua - інфекція була виявлена 06.04.2015. Зараз сайт не входить до переліку підозрілих.

Виявлені численні уразливості безпеки в Mozilla Firefox, Thunderbird, Seamonkey.

Уразливі продукти: Mozilla Firefox ESR 31.5, Firefox 36, Thunderbird 31.5, SeaMonkey 2.34.

Обхід перевірки сертифіката, виконання коду, обхід обмежень, пошкодження пам’яті, перехоплення курсору.

• MFSA 2015-30 Miscellaneous memory safety hazards (деталі)
• MFSA 2015-31 Use-after-free when using the Fluendo MP3 GStreamer plugin (деталі)
• MFSA 2015-32 Add-on lightweight theme installation approval bypassed through MITM attack (деталі)
• MFSA 2015-33 resource:// documents can load privileged pages (деталі)
• MFSA 2015-34 Out of bounds read in QCMS library (деталі)
• MFSA 2015-35 Cursor clickjacking with flash and images (деталі)
• MFSA 2015-36 Incorrect memory management for simple-type arrays in WebRTC (деталі)
• MFSA 2015-37 CORS requests should not follow 30x redirections after preflight (деталі)
• MFSA 2015-38 Memory corruption crashes in Off Main Thread Compositing (деталі)
• MFSA 2015-39 Use-after-free due to type confusion flaws (деталі)
• MFSA 2015-40 Same-origin bypass through anchor navigation (деталі)
• MFSA 2015-41 PRNG weakness allows for DNS poisoning on Android (деталі)
• MFSA 2015-42 Windows can retain access to privileged content on navigation to unprivileged pages (деталі)
• MFSA 2015-43 Loading privileged content through Reader mode (деталі)
• MFSA 2015-44 Certificate verification bypass through the HTTP/2 Alt-Svc header (деталі)
• MFSA 2015-45 Memory corruption during failed plugin initialization (деталі)

У квітні, 27.04.2015, вийшла нова версія WordPress 4.2.1.

WordPress 4.2.1 це секюріті випуск нової 4.2 серії. В якому розробники виправили одну уразливість. Це критична Cross-Site Scripting уразливість в коментарях.

Також в цей день вийшли WordPress 4.0.4 і 4.1.4. Версії 4.0.4 і 4.1.4 це секюріті випуски 4.0 і 4.1 серії, в яких виправлені дані уразливості й баги.

17.10.2014

У жовтні, 11.10.2014, я знайшов уразливості в Hikvision DS-7108HWI-SH. Це DVR - відеореєстратор (пристрій подібний до веб камери). Зокрема XML Injection, Brute Force та Abuse of Functionality уразливості.

Стосовно веб камер та відеореєстраторів Hikvision раніше я писав про уразливості в Hikvision DS-2CD2012-I.

Детальна інформація про уразливості з’явиться пізніше. Спочатку повідомлю розробникам пристрою.

16.05.2015

XML Injection (WASC-23):

http://site/ISAPI/%3C/requestURL%3E%3Clink%3Ehttp://site%3C/link%3E%3CrequestURL%3E/

Її можна використати для XML Injection та XSS атак.

Abuse of Functionality (WASC-42):

Логін постійний: admin. Що спрощує Brute Force атаки.

Brute Force (WASC-11):

В формі логіна http://site/doc/page/login.asp немає захисту від Brute Force атак. Дані відправляється через GET запит з Basic Authorization.

Відсутність захисту від Brute Force (такого як капча) також призводить до можливості проведення CSRF атаки, про що я писав в статті Атаки на незахищені логін форми. Це дозволяє проводити віддалений логін. Але вони захистилися від CSRF атаки через використання Basic Authorization.

Всі ці уразливості наявні в різних камерах Hikvision. Розробники вже виправили XML Injection та Brute Force.

В серпні відбувся новий масовий взлом сайтів на сервері Goodnet. Він тривав на протязі 2012 - 2015 років: з 18.10.2012 по 01.03.2015. Перший масовий взлом сайтів на сервері Goodnet відбувся раніше.

Був взломаний сервер української компанії Goodnet. Взлом, що складався з декількох масових дефейсів та багатьох окремих дефейсів по одному або декількох сайтах, відбувся в той же період, що і згаданий масовий взлом сайтів на сервері Delta-X.

Всього було взломано 287 сайтів на сервері хостера Goodnet (IP 91.203.147.240). Перелік сайтів можете подивитися на www.zone-h.org. Серед них українські державні сайти bogodukhivrda.gov.ua і new.bogodukhivrda.gov.ua.

Під час взломів хакерів DR-MTMRD, Iran Security Team, LogiNTurk та Black CyberSec Crew було дефейснуто багато сайтів, тому немає сумнівів, що вони були взломані через взлом серверу хостінг провайдера. Стосовно інших, то враховуючи велику кількість окремих дефейсів по одному або декілька сайтів, всі вони явно були зроблені при взломах окремих сайтів.