Websecurity - Веб безпека

В даній добірці уразливості в веб додатках:

• HP SiteScope, issueSiebelCmd and loadFileContents SOAP Requests, Remote Code Execution, Arbitrary File download, Denial of Service (DoS) (деталі)
• Cross-site Scripting in EventLog Analyzer 9.0 build #9000 (деталі)
• Multiple Vulnerabilities in Parallels Plesk Sitebuilder (деталі)
• Easy file sharing web server - persist XSS in forum msgs (деталі)
• Multiple vulnerabilities in Symantec LiveUpdate Administrator (деталі)

Продовжуючи розпочату традицію, після попереднього відео про практичний захист від DDoS, пропоную нове відео на секюріті тематику. Цього разу відео про проблеми DNS та їх вирішення. Рекомендую подивитися всім хто цікавиться цією темою.

DEF CON 22 Domain Name Problems and Solutions

Торік влітку на конференції DEFCON 22 відбувся виступ Paul Vixie. В своєму виступі він розповів про структуру системи доменних імен та її безпеку, про проблеми DNS та їх вирішення. В тому числі розповів про атаки на DNS і методи захисту від них.

Він розповів стосовно різних аспектів безпеки DNS. Рекомендую подивитися дане відео для розуміння поточного стану безпеки доменних імен.

Торік відбувся новий масовий взлом сайтів на сервері Укртелекому. Він відбувся 27-28.02.2014 і 20-21.05.2014. Другий масовий взлом сайтів на сервері Укртелекому відбувся раніше.

Був взломаний сервер української компанії Укртелеком. Взлом складався з двох масових дефейсів.

Всього був взломаний 21 сайт (причому всі державні) на сервері хостера Укртелеком (IP 212.113.36.194). Це наступні українські державні сайти: novomoskovsk-rada.gov.ua, uns.adm-pl.gov.ua, brody-rda.gov.ua, agroprom.gov.ua, apcourtlg.gov.ua, dzz.gov.ua, nmrda.gov.ua, sumy.ukrstat.gov.ua, vbeloz.gov.ua, kryshtalevypalats.gov.ua, mrr.gov.ua, khedai.gov.ua, pfu-sumy.gov.ua, sumyrayrada.gov.ua, sumylis.gov.ua, rada-vv.gov.ua, dairivne.gov.ua, www.zaksoc.gov.ua, www.dabksumy.gov.ua, rivneoblzem.gov.ua, www.sumyzemres.gov.ua.

З зазначеного 21 сайту 5 сайтів були взломані хакером PentaSec та 16 сайтів хакером Libero.

Цілком імовірно, що дані сайти могли бути атаковані хакерами через взлом серверу хостінг провайдера. Також не виключена можливість використання уразливостей на сервері для доступу до інших сайтів.

03.10.2015

Виявлене розкриття інформації в Microsoft Exchange.

Уразливі версії: Microsoft Exchange Server 2013.

Розкриття і підміна інформації, міжсайтовий скриптінг.

• Microsoft Security Bulletin MS15-103 - Important Vulnerabilities in Microsoft Exchange Server Could Allow Information Disclosure (3089250) (деталі)

14.10.2015

Додаткова інформація.

• Microsoft Exchange Information Disclosure (деталі)

В даній добірці експлоіти в веб додатках:

• HooToo Tripmate HT-TM01 2.000.022 - CSRF Vulnerabilities (деталі)
• Zhone ADSL2+ 4P Bridge & Router (Broadcom) - Multiple Vulnerabilities (деталі)
• FireEye Appliance - Unauthorized File Disclosure (деталі)
• PCMan FTP Server 2.0.7 - RENAME Command Buffer Overflow (деталі)
• MS SQL Server 2000/2005 SQLNS.SQLNamespace COM Object Refresh() Unhandled Pointer Exploit (деталі)

Продовжуючи тему уразливостей в плагінах для WordPress, пропоную вам інформацію про дірки в інших плагінах для WP.

Цього разу повідомляю про уразливості в темах для WP і в плагінах Frontend Uploader, Dmsguestbook, RevSlider, Banner Effect Header. Для котрих з’явилися експлоіти.

• WordPress Themes download.php File Disclosure (деталі)
• WordPress Frontend Uploader 0.9.2 Cross Site Scripting (деталі)
• WordPress Dmsguestbook Unauthenticated Data Injection (деталі)
• WordPress RevSlider Local File Disclosure (деталі)
• WordPress Banner Effect Header 1.2.6 XSS / CSRF (деталі)

Користувачам даних плагінів варто або оновити їх, або власноруч виправити дірки. В якості тимчасового рішення, поки не будуть виправлені чи оновлені плагіни, можна їх виключити в адмінці.

Виявлені численні уразливості безпеки в Apple Safari і Webkit.

Уразливі продукти: Apple Safari 6.2, Safari 7.1, Safari 8.0.

Підміна інформації, розкриття інформації, обхід обмежень, короткочасні умови, численні пошкодження пам’яті.

• Apple Safari FTP PASV manipulation vulnerability (CVE-2015-5912) (деталі)
• APPLE-SA-2015-09-30-2 Safari 9 (деталі)

Після попереднього дослідження інфікованих сайтів, приведу нову інформацію про заражені сайти. З числа українських сайтів.

• http://tehnoplankton.net.ua - інфекція була виявлена 01.10.2015. Зараз сайт входить до переліку підозрілих.
• http://luxeon.ua - інфекція була виявлена 06.10.2015. Зараз сайт не входить до переліку підозрілих.
• http://odessa.net - інфекція була виявлена 30.09.2015. Зараз сайт не входить до переліку підозрілих.
• http://ratex.com.ua - інфекція була виявлена 30.09.2015. Зараз сайт не входить до переліку підозрілих.
• http://waterlife.in.ua - інфекція була виявлена 04.08.2015. Зараз сайт не входить до переліку підозрілих.

В даній добірці уразливості в веб додатках:

• HP System Management Homepage (SMH) Running on Linux and Windows, Remote Disclosure of Information and Cross-Site Request Forgery (CSRF) (деталі)
• ruby-activerecord-3.2 security update (деталі)
• drupal7 security update (деталі)
• Ansible input sanitization errors (деталі)
• Synology DSM remote code execution (деталі)

У серпні, 21.08.2015, я виявив Cross-Site Request Forgery уразливості в ADSL модемі Callisto 821+R3. Вся адмінка вразлива до CSRF, приведу лише дві дірки.

Раніше я писав про уразливості в ADSL модемі Callisto 821+R3.

Cross-Site Request Forgery (WASC-09):

Для зміни логіну і паролю адміна:

http://site/adminpasswd.cgi?action=save&sysUserName=admin&sysPassword=E696D64616

Для зміни логіну і паролю користувача:

http://site/userpasswd.cgi?action=save&usrUserName=user&usrPassword=27563757

В параметрах sysPassword і usrPassword зашифрований пароль. Шифр простий - це hex значення символів в зворотньому порядку.

Уразлива версія Callisto 821+R3, Firmware Version: ZXDSL 831IIV7.5.1a_E09_UA. Дана модель з іншими прошивками також повинна бути вразливою.