Websecurity - Веб безпека

Коли в 2011 році я знайшов сотні уразливостей в Callisto 821+, тоді ж я перевірив модель 821+R3 і вияснив, що хоча в її адмінці інший інтерфейс, але є подібні дірки. В цьому році я детально дослідив цю версію і підтвердив, що вона вразлива. Виявив Brute Force та Cross-Site Request Forgery уразливості (а також багато інших уразливостей в адмінці) в ADSL модемі Callisto 821+R3, що аналогічні діркам в моделі Callisto 821+.

Раніше я писав про численні DoS, CSRF і XSS уразливості в ADSL модемі Callisto 821+.

Аналогічні Predictable Resource Location, BF та CSRF уразливості, як в Callisto 821+ та інших мережевих пристроях цього та інших виробників. Адмінка модема розміщується по дефолтному шляху з дефолтним логіном і паролем. Що дозволяє локальним користувачам (що мають доступ до ПК, або по LAN), а також віддаленим користувачам через Інтернет (через CSRF уразливості або якщо відкритий віддалений доступ) отримувати доступ до адмінки і змінювати налаштування модема.

Brute Force (WASC-11):

В формі логіна http://192.168.1.1 немає захисту від Brute Force атак. Що дозволить підбирати пароль (якщо він змінений з дефолтного), як при локальній атаці, так і через Інтернет (якщо відкритий віддалений доступ).

Cross-Site Request Forgery (WASC-09):

Відсутність захисту від Brute Force (такого як капча) також призводить до можливості проведення CSRF атаки, про що я писав в статті Атаки на незахищені логін форми. Це дозволяє проводити віддалений логін. Що стане в нагоді при проведенні атак на різні CSRF і XSS уразливості в адмінці.

Зазначу, що CSRF атака на html-форму для віддаленого логіну можлива лише коли налаштування ADSL роутера не були змінені. Тому що після зміни налаштувань замість html-форми аутентифікації виводиться діалогове вікно Basic Authentication. Тоді потрібно буде використати метод CSRF атаки на Basic Authentication, коли відбудеться віддалений логін без виведення діалогового вікна.

Callisto 821+R3 CSRF.html

Уразлива версія Callisto 821+R3, Firmware Version: ZXDSL 831IIV7.5.1a_E09_UA. Дана модель з іншими прошивками також повинна бути вразливою.

У серпні, 04.08.2015, вийшла нова версія WordPress 4.2.4.

WordPress 4.2.4 це багфікс та секюріті випуск нової 4.2 серії. В якому розробники виправили 4 баги та 6 уразливостей. Це три Cross-Site Scripting і одна SQL Injection уразливості. А також виправлена потенційна timing side-channel attack і можливість нападнику заблокувати редагування постів.

Також в цей день вийшли WordPress 4.0.7 і 4.1.7. Версії 4.0.7 і 4.1.7 це секюріті випуски 4.0 і 4.1 серії, в яких виправлені дані уразливості й баги.

Виявлені уразливості безпеки Microsoft VBScript. Що також використовується в Internet Explorer і атака може бути проведена через браузер.

Уразливі продукти: Microsoft VBScript 5.6, 5.7, 5.8 під Windows XP, Windows 2003 Server, Windows Vista, Windows 2008 Server, Windows 7, Windows 8, Windows 2012 Server, Windows 8.1.

Пошкодження пам’яті.

• Microsoft Security Bulletin MS15-066 - Critical Vulnerability in VBScript Scripting Engine Could Allow Remote Code Execution (3072604) (деталі)

В даній добірці експлоіти в веб додатках:

• Geoserver < 2.7.1.1 / < 2.6.4 / < 2.5.5.1 - XXE Exploit (деталі)
• Zend Framework <= 2.4.2 - XML eXternal Entity Injection (XXE) on PHP FPM (деталі)
• OSSEC WUI 0.8 - Denial of Service (деталі)
• PCMan FTP Server 2.0.7 - PUT Command Buffer Overflow (деталі)
• Netsparker 2.3.x - Remote Code Execution (деталі)

Продовжуючи традицію, пропоную вашій увазі цікаві секюріті статті. Щоб ви поповнювали свої знання з веб безпеки.

Добірка цікавого чтива на тему безпеки, зокрема про DoS і DDoS атаки (статті з Вікіпедії):

• Stacheldraht
• Tribe Flood Network
• Trinoo
• UDP flood attack
• Wi-Fi deauthentication attack

Після попереднього дослідження похаканих сайтів, приведу нову інформацію про взломані сайти. З числа українських сайтів.

• http://kmr.gov.ua (хакером red virus maroc) - 23.05.2015 - похаканий державний сайт, зараз сайт вже виправлений адмінами
• http://ivfdai.gov.ua (хакерами з SecurityCrewz) - 03.06.2015 - похаканий державний сайт, зараз сайт вже виправлений адмінами
• http://best-lviv.org.ua (хакерами з Blacksmith Hackers) - 19.02.2015, зараз сайт вже виправлений адмінами
• http://chemeris.com.ua (хакером w4l3XzY3) - 02.06.2015, зараз сайт вже виправлений адмінами
• http://chemeris.kiev.ua (хакером w4l3XzY3) - 03.06.2015, зараз сайт не працює

Виявлена Cross-Site Scripting уразливість в Microsoft Active Directory Federation Services.

Уразливі продукти: Microsoft Windows Server 2008, Windows Server 2008 R2, Windows Server 2012.

Міжсайтовий скриптінг у веб інтерфейсі.

• Microsoft Security Bulletin MS15-062 - Important Vulnerability in Active Directory Federation Services Could Allow Elevation of Privilege (3062577) (деталі)

В даній добірці уразливості в веб додатках:

• McAfee ePolicy Orchestrator: XML External Entity Expansion in Dashboard (деталі)
• Advantech WebAccess Vulnerabilities (деталі)
• Avolve Software ProjectDox Multiple Vulnerability Disclosure (деталі)
• Path Traversal to Sensitive Files in Webroot in “JobScheduler” (деталі)
• HP Service Manager, Cross-Site Scripting (XSS), Cross-Site Request Forgery (CSRF), Remote Denial of Service (DoS), Execution of Arbitrary Code, Unauthorized Access, Disclosure of Information (деталі)

Продовжуючи тему уразливостей в плагінах для WordPress, пропоную вам інформацію про дірки в інших плагінах для WP.

Цього разу повідомляю про уразливості в плагінах Download Manager, iTwitter WP, twitterDash, DandyID Services ID, SPNbabble. Для котрих з’явилися експлоіти.

• Wordpress Download Manager (download-manager) Unauthenticated File Upload (деталі)
• WordPress iTwitter WP 0.04 CSRF / XSS (деталі)
• WordPress twitterDash 2.1 CSRF / XSS (деталі)
• WordPress DandyID Services ID 1.5.9 CSRF / XSS (деталі)
• WordPress SPNbabble 1.4.1 CSRF / XSS (деталі)

Користувачам даних плагінів варто або оновити їх, або власноруч виправити дірки. В якості тимчасового рішення, поки не будуть виправлені чи оновлені плагіни, можна їх виключити в адмінці.

У серпні, 06.08.2015, вийшов Mozilla Firefox 39.0.3. Нова версія браузера вийшла через місяць після виходу Firefox 39.

Це секюріті випуск в якому виправлена критична уразливість.

• MFSA 2015-78 Same origin violation and local file stealing via PDF reader (деталі)