Websecurity - Веб безпека

Про взломи державних сайтів я пишу з 2006 року і постійно наводжу випадки атак (взломів і DDoS) та інфікувань gov.ua сайтів. Ось мій останній звіт про атаки на державні сайти України за 14 років. Але іноді трапляються масові взломи державних сайтів, коли на одному сервері проведені дефейси десятків державних ресурсів.

• Масовий взлом сайтів на сервері Vizor - 12 держ. сайтів
• Масовий взлом сайтів на сервері OIAC - 37 держ. сайтів
• П’ятий масовий взлом сайтів на сервері Freehost - 14 держ. сайтів
• Другий масовий взлом сайтів на сервері Укртелекому - 30 держ. сайтів
• Третій масовий взлом сайтів на сервері Укртелекому - 21 держ. сайт

Таким чином окрім безпеки окремих gov.ua сайтів та проблем з українськими державними сайтами на закордонних хостингах, потрібно дбати про безпеку серверів, де розміщені такі сайти, особливо коли багато сайтів на одному сервері. Також потрібно дбати про безпеку електронної пошти державних служб.

Виходячи з наведеної мною статистики атак на державні сайти за 2001-2015 роки можна стверджувати, що державні сайти України регулярно взламують (та іноді проводять DDoS атаки), в тому числі під час масових дефейсів. Дана ситуація зі взломами gov.ua сайтів, пов’язана з недостатнім рівнем їх безпеки та безпеки серверів, де вони розміщені. Кожна країна в світі повинна слідкувати за безпекою власних державних сайтів, чого я бажаю й Україні.

Виявлені уразливості безпеки в Microsoft .NET Framework та WebDAV.

Уразливі продукти: Microsoft .NET Framework 4.6, WebDAV.

Підвищення привілеїв, витік інформації.

• Microsoft Security Bulletin MS15-089 - Important Vulnerability in WebDAV Could Allow Information Disclosure (3076949) (деталі)
• Microsoft Security Bulletin MS15-092 - Important Vulnerabilities in .NET Framework Could Allow Elevation of Privilege (3086251) (деталі)

У вересні, 30.09.2015, вийшов Mozilla Firefox 41.0.1. А в жовтні, 15.10.2015, вийшов Mozilla Firefox 41.0.2. Нові версії браузера вийшли через деякий час після виходу Firefox 41.

Це багфікс і секюріті випуски в яких виправлені баги (в 41.0.1) і одна уразливість (в 41.0.2). Але в першій версії виправлені численні помилки, в тому числі п’ять вибивань браузера, що пов’язані з Intel GMA 3150, Facebook, Yandex Toolbar, Adblock Plus та серіалізацію в браузері. Мозіла не зарахувала ці crash до уразливостей, а до багів, як вона це дуже часто робить.

• MFSA 2015-115 Cross-origin restriction bypass using Fetch (деталі)

В 2010 році я писав про витік IP адреси в електронних листах в статті Визначення IP автора е-майл листа. Тоді я розповів про заголовки X-Originating-IP та X-Sender-IP (найближчим часом оприлюдню нову статтю про веб додатки і сервіси електронної пошти, що додають ці заголовки в емайли). А зараз розповім про нові витоки інформації через емайл листи.

В електронних листах окрім IP відправника можна в заголовках знайти багато цікавого. Наприклад сервер, що відправив пошту, і всі проміжні хости, аж до сервера отримувача. Що дозволить перевірити чи не є підробленим емайл відправника, щоб його електронна пошта відповідала серверу, з якого надійшов лист.

А також в листах можуть бути Full path disclosure уразливості. Витік повного шляху відбувається через заголовок X-Source-Dir.

Формат заголовка X-Source-Dir може бути наступним:

X-Source-Dir: site:/public_html/bitrix/admin

Заголовок X-Source-Dir автоматично додає функція mail() в PHP. Тому розробники веб додатків мають самі прибирати цей заголовок (наприклад, замість використання цієї функції, використовувати клас phpMailer). В додатках на інших мовах програмування цієї проблеми немає.

Наявність цього заголовку залежить від налаштувань сервера - якщо увімкнене додавання заголовку X-Source-Dir, то він буде додаватися в листи відправленні через функцію mail(), Не всі розробники враховують це, тому на багатьох сайтах з php-додатками, які розсилають пошту, цей заголовок додається.

Ось приклади веб додатків, в листах від яких я зустрічав цей заголовок з FPD уразливістю: Bitrix, WordPress, Xoops Cube.

Також по X-Source-Dir, X-PHP-Originating-Script та інших заголовках в листі можна визначити, що за веб додаток відправляв листа. Це знадобиться для Fingerprinting. Особливо коли на сайті прихована назва веб додатку або шлях його розміщення на ресурсі.

В 2011 році відбувся масовий взлом сайтів на сервері 1GB. А пізніше відбувся повторний масовий взлом цього ж сервера. Взломи тривали на протязі 2010 - 2015 років: з 09.08.2010 по 14.09.2015. Нещодавно я вже розповідав про інші масові взломи.

Був взломаний сервер української компанії 1GB. Взлом складався з багатьох окремих дефейсів. Останні дефейси відбулися після третього масового взлому сайтів на сервері Укртелекому.

Якщо першого разу було взломано 26 сайтів, то цього разу було взломано 68 сайтів на сервері хостера 1GB (IP 195.234.4.52). Всього 94 сайти.

Перелік сайтів можете подивитися на www.zone-h.org. Серед них українські державні сайти www.kyivobljust.gov.ua (в 2011 і 2012) та disg-rivne.gov.ua (в 2015).

Враховуючи велику кількість окремих дефейсів по одному або декілька сайтів, всі вони явно були зроблені при взломах окремих сайтів. Але також можлива атака на інші сайти на даному сервері через взлом одного сайту та використання уразливостей в програмному забезпеченні самого сервера.

Виявлена можливість виконання коду в Apache Storm.

Уразливі версії: Apache Storm 0.10.

Виконання коду на веб сервері.

• Apache Storm remote code execution vulnerability (деталі)

В даній добірці експлоіти в веб додатках:

• NETGEAR Wireless Management System 2.1.4.15 (Build 1236) - Privilege Escalation (деталі)
• DirectAdmin Web Control Panel 1.483 - Multiple Vulnerabilities (деталі)
• Qlikview <= 11.20 SR11 - Blind XXE Injection Vulnerability (деталі)
• PCMan FTP Server 2.0.7 - GET Command Buffer Overflow (деталі)
• Endian Firewall Proxy Password Change Command Injection (деталі)

Після попереднього дослідження похаканих сайтів, приведу нову інформацію про взломані сайти. З числа українських сайтів.

• http://www.stryi-rda.gov.ua (хакером Phenomene Dz) - 20.06.2015 - похаканий державний сайт, зараз сайт вже виправлений адмінами
• http://svitanok.gov.ua (хакером KingSam) - 21.08.2015 - похаканий державний сайт, зараз сайт вже виправлений адмінами
• http://kplsp.if.ua (хакерами з SecurityCrewz) - 03.06.2015, зараз сайт вже виправлений адмінами
• http://mebl-tisa.com.ua (хакерами з SecurityCrewz) - 03.06.2015, зараз сайт закритий хостером в зв’язку зі взломом
• http://roslynakarpat.com.ua (хакером Red hell sofyan) - 03.08.2015, зараз сайт вже виправлений адмінами

Виявлені численні уразливості безпеки в Mozilla Firefox, Thunderbird, Seamonkey.

Уразливі продукти: Mozilla Firefox ESR 38.2, Firefox 40, Thunderbird 38.2, SeaMonkey 2.37.

Пошкодження пам’яті, розкриття інформації, DoS, переповнення буфера, обхід обмежень.

• MFSA 2015-96 Miscellaneous memory safety hazards (rv:41.0 / rv:38.3) (деталі)
• MFSA 2015-97 Memory leak in mozTCPSocket to servers (деталі)
• MFSA 2015-98 Out of bounds read in QCMS library with ICC V4 profile attributes (деталі)
• MFSA 2015-99 Site attribute spoofing on Android by pasting URL with unknown scheme (деталі)
• MFSA 2015-101 Buffer overflow in libvpx while parsing vp9 format video (деталі)
• MFSA 2015-102 Crash when using debugger with SavedStacks in JavaScript (деталі)
• MFSA 2015-103 URL spoofing in reader mode (деталі)
• MFSA 2015-104 Use-after-free with shared workers and IndexedDB (деталі)
• MFSA 2015-105 Buffer overflow while decoding WebM video (деталі)
• MFSA 2015-106 Use-after-free while manipulating HTML media content (деталі)
• MFSA 2015-107 Out-of-bounds read during 2D canvas display on Linux 16-bit color depth systems (деталі)
• MFSA 2015-108 Scripted proxies can access inner window (деталі)
• MFSA 2015-109 JavaScript immutable property enforcement can be bypassed (деталі)
• MFSA 2015-110 Dragging and dropping images exposes final URL after redirects (деталі)
• MFSA 2015-111 Errors in the handling of CORS preflight request headers (деталі)
• MFSA 2015-112 Vulnerabilities found through code inspection (деталі)
• MFSA 2015-113 Memory safety errors in libGLES in the ANGLE graphics library (деталі)
• MFSA 2015-114 Information disclosure via the High Resolution Time API (деталі)

У жовтні, 01.10.2015, вийшли PHP 5.5.30 і PHP 5.6.14. У версії 5.5.30 виправлено 2 уразливості, у версії 5.6.14 виправлено багато багів і 2 уразливості.

Дані релізи направлені на покращення безпеки і стабільності гілок 5.5.x і 5.6.x.

У PHP 5.5.30 і 5.6.14 виправлено:

• Виправлено дві уразливості.
• Проблеми в модулі OpenSSL (PHP 5.6.14).

По матеріалам http://www.php.net.