Websecurity - Веб безпека

В 2010 році я писав про витік IP адреси в електронних листах в статті Визначення IP автора е-майл листа. Тоді я розповів про заголовки X-Originating-IP та X-Sender-IP (найближчим часом оприлюдню нову статтю про веб додатки і сервіси електронної пошти, що додають ці заголовки в емайли). А зараз розповім про нові витоки інформації через емайл листи.

В електронних листах окрім IP відправника можна в заголовках знайти багато цікавого. Наприклад сервер, що відправив пошту, і всі проміжні хости, аж до сервера отримувача. Що дозволить перевірити чи не є підробленим емайл відправника, щоб його електронна пошта відповідала серверу, з якого надійшов лист.

А також в листах можуть бути Full path disclosure уразливості. Витік повного шляху відбувається через заголовок X-Source-Dir.

Формат заголовка X-Source-Dir може бути наступним:

X-Source-Dir: site:/public_html/bitrix/admin

Заголовок X-Source-Dir автоматично додає функція mail() в PHP. Тому розробники веб додатків мають самі прибирати цей заголовок (наприклад, замість використання цієї функції, використовувати клас phpMailer). В додатках на інших мовах програмування цієї проблеми немає.

Наявність цього заголовку залежить від налаштувань сервера - якщо увімкнене додавання заголовку X-Source-Dir, то він буде додаватися в листи відправленні через функцію mail(), Не всі розробники враховують це, тому на багатьох сайтах з php-додатками, які розсилають пошту, цей заголовок додається.

Ось приклади веб додатків, в листах від яких я зустрічав цей заголовок з FPD уразливістю: Bitrix, WordPress, Xoops Cube.

Також по X-Source-Dir, X-PHP-Originating-Script та інших заголовках в листі можна визначити, що за веб додаток відправляв листа. Це знадобиться для Fingerprinting. Особливо коли на сайті прихована назва веб додатку або шлях його розміщення на ресурсі.

В 2011 році відбувся масовий взлом сайтів на сервері 1GB. А пізніше відбувся повторний масовий взлом цього ж сервера. Взломи тривали на протязі 2010 - 2015 років: з 09.08.2010 по 14.09.2015. Нещодавно я вже розповідав про інші масові взломи.

Був взломаний сервер української компанії 1GB. Взлом складався з багатьох окремих дефейсів. Останні дефейси відбулися після третього масового взлому сайтів на сервері Укртелекому.

Якщо першого разу було взломано 26 сайтів, то цього разу було взломано 68 сайтів на сервері хостера 1GB (IP 195.234.4.52). Всього 94 сайти.

Перелік сайтів можете подивитися на www.zone-h.org. Серед них українські державні сайти www.kyivobljust.gov.ua (в 2011 і 2012) та disg-rivne.gov.ua (в 2015).

Враховуючи велику кількість окремих дефейсів по одному або декілька сайтів, всі вони явно були зроблені при взломах окремих сайтів. Але також можлива атака на інші сайти на даному сервері через взлом одного сайту та використання уразливостей в програмному забезпеченні самого сервера.

Виявлена можливість виконання коду в Apache Storm.

Уразливі версії: Apache Storm 0.10.

Виконання коду на веб сервері.

• Apache Storm remote code execution vulnerability (деталі)

В даній добірці експлоіти в веб додатках:

• NETGEAR Wireless Management System 2.1.4.15 (Build 1236) - Privilege Escalation (деталі)
• DirectAdmin Web Control Panel 1.483 - Multiple Vulnerabilities (деталі)
• Qlikview <= 11.20 SR11 - Blind XXE Injection Vulnerability (деталі)
• PCMan FTP Server 2.0.7 - GET Command Buffer Overflow (деталі)
• Endian Firewall Proxy Password Change Command Injection (деталі)

Після попереднього дослідження похаканих сайтів, приведу нову інформацію про взломані сайти. З числа українських сайтів.

• http://www.stryi-rda.gov.ua (хакером Phenomene Dz) - 20.06.2015 - похаканий державний сайт, зараз сайт вже виправлений адмінами
• http://svitanok.gov.ua (хакером KingSam) - 21.08.2015 - похаканий державний сайт, зараз сайт вже виправлений адмінами
• http://kplsp.if.ua (хакерами з SecurityCrewz) - 03.06.2015, зараз сайт вже виправлений адмінами
• http://mebl-tisa.com.ua (хакерами з SecurityCrewz) - 03.06.2015, зараз сайт закритий хостером в зв’язку зі взломом
• http://roslynakarpat.com.ua (хакером Red hell sofyan) - 03.08.2015, зараз сайт вже виправлений адмінами

Виявлені численні уразливості безпеки в Mozilla Firefox, Thunderbird, Seamonkey.

Уразливі продукти: Mozilla Firefox ESR 38.2, Firefox 40, Thunderbird 38.2, SeaMonkey 2.37.

Пошкодження пам’яті, розкриття інформації, DoS, переповнення буфера, обхід обмежень.

• MFSA 2015-96 Miscellaneous memory safety hazards (rv:41.0 / rv:38.3) (деталі)
• MFSA 2015-97 Memory leak in mozTCPSocket to servers (деталі)
• MFSA 2015-98 Out of bounds read in QCMS library with ICC V4 profile attributes (деталі)
• MFSA 2015-99 Site attribute spoofing on Android by pasting URL with unknown scheme (деталі)
• MFSA 2015-101 Buffer overflow in libvpx while parsing vp9 format video (деталі)
• MFSA 2015-102 Crash when using debugger with SavedStacks in JavaScript (деталі)
• MFSA 2015-103 URL spoofing in reader mode (деталі)
• MFSA 2015-104 Use-after-free with shared workers and IndexedDB (деталі)
• MFSA 2015-105 Buffer overflow while decoding WebM video (деталі)
• MFSA 2015-106 Use-after-free while manipulating HTML media content (деталі)
• MFSA 2015-107 Out-of-bounds read during 2D canvas display on Linux 16-bit color depth systems (деталі)
• MFSA 2015-108 Scripted proxies can access inner window (деталі)
• MFSA 2015-109 JavaScript immutable property enforcement can be bypassed (деталі)
• MFSA 2015-110 Dragging and dropping images exposes final URL after redirects (деталі)
• MFSA 2015-111 Errors in the handling of CORS preflight request headers (деталі)
• MFSA 2015-112 Vulnerabilities found through code inspection (деталі)
• MFSA 2015-113 Memory safety errors in libGLES in the ANGLE graphics library (деталі)
• MFSA 2015-114 Information disclosure via the High Resolution Time API (деталі)

У жовтні, 01.10.2015, вийшли PHP 5.5.30 і PHP 5.6.14. У версії 5.5.30 виправлено 2 уразливості, у версії 5.6.14 виправлено багато багів і 2 уразливості.

Дані релізи направлені на покращення безпеки і стабільності гілок 5.5.x і 5.6.x.

У PHP 5.5.30 і 5.6.14 виправлено:

• Виправлено дві уразливості.
• Проблеми в модулі OpenSSL (PHP 5.6.14).

По матеріалам http://www.php.net.

В даній добірці уразливості в веб додатках:

• HP SiteScope, issueSiebelCmd and loadFileContents SOAP Requests, Remote Code Execution, Arbitrary File download, Denial of Service (DoS) (деталі)
• Cross-site Scripting in EventLog Analyzer 9.0 build #9000 (деталі)
• Multiple Vulnerabilities in Parallels Plesk Sitebuilder (деталі)
• Easy file sharing web server - persist XSS in forum msgs (деталі)
• Multiple vulnerabilities in Symantec LiveUpdate Administrator (деталі)

Продовжуючи розпочату традицію, після попереднього відео про практичний захист від DDoS, пропоную нове відео на секюріті тематику. Цього разу відео про проблеми DNS та їх вирішення. Рекомендую подивитися всім хто цікавиться цією темою.

DEF CON 22 Domain Name Problems and Solutions

Торік влітку на конференції DEFCON 22 відбувся виступ Paul Vixie. В своєму виступі він розповів про структуру системи доменних імен та її безпеку, про проблеми DNS та їх вирішення. В тому числі розповів про атаки на DNS і методи захисту від них.

Він розповів стосовно різних аспектів безпеки DNS. Рекомендую подивитися дане відео для розуміння поточного стану безпеки доменних імен.

Торік відбувся новий масовий взлом сайтів на сервері Укртелекому. Він відбувся 27-28.02.2014 і 20-21.05.2014. Другий масовий взлом сайтів на сервері Укртелекому відбувся раніше.

Був взломаний сервер української компанії Укртелеком. Взлом складався з двох масових дефейсів.

Всього був взломаний 21 сайт (причому всі державні) на сервері хостера Укртелеком (IP 212.113.36.194). Це наступні українські державні сайти: novomoskovsk-rada.gov.ua, uns.adm-pl.gov.ua, brody-rda.gov.ua, agroprom.gov.ua, apcourtlg.gov.ua, dzz.gov.ua, nmrda.gov.ua, sumy.ukrstat.gov.ua, vbeloz.gov.ua, kryshtalevypalats.gov.ua, mrr.gov.ua, khedai.gov.ua, pfu-sumy.gov.ua, sumyrayrada.gov.ua, sumylis.gov.ua, rada-vv.gov.ua, dairivne.gov.ua, www.zaksoc.gov.ua, www.dabksumy.gov.ua, rivneoblzem.gov.ua, www.sumyzemres.gov.ua.

З зазначеного 21 сайту 5 сайтів були взломані хакером PentaSec та 16 сайтів хакером Libero.

Цілком імовірно, що дані сайти могли бути атаковані хакерами через взлом серверу хостінг провайдера. Також не виключена можливість використання уразливостей на сервері для доступу до інших сайтів.