Websecurity - Веб безпека

В даній добірці уразливості в веб додатках:

• libssh vulnerability (деталі)
• XML eXternal Entity (XXE) in “JobScheduler” (деталі)
• DOM-based Cross-Site Scripting (XSS) in “JobScheduler” (деталі)
• LFI Vulnerability in OsClass (деталі)
• Post Exploitation - Getting username and password in the Lotus Sametime 8.5.1 (деталі)

Продовжуючи тему уразливостей в плагінах для WordPress, пропоную вам інформацію про дірки в інших плагінах для WP.

Цього разу повідомляю про уразливості в плагінах wpCommentTwit, Download Manager, yURL ReTwitt, Mikiurl WordPress Eklentisi, O2Tweet. Для котрих з’явилися експлоіти.

• WordPress wpCommentTwit 0.5 CSRF / XSS (деталі)
• WordPress Download Manager 2.7.4 Remote Command Execution (деталі)
• WordPress yURL ReTwitt WP 1.4 CSRF / XSS (деталі)
• Mikiurl WordPress Eklentisi 2.0 CSRF / XSS (деталі)
• WordPress O2Tweet 0.0.4 CSRF / XSS (деталі)

Користувачам даних плагінів варто або оновити їх, або власноруч виправити дірки. В якості тимчасового рішення, поки не будуть виправлені чи оновлені плагіни, можна їх виключити в адмінці.

Виявлена Cross-Site Scripting уразливість в Microsoft System Center Operations Manager.

Уразливі версії: Microsoft System Center 2012 Operations Manager.

Міжсайтовий скриптінг у веб інтерфейсі.

• Microsoft Security Bulletin MS15-086 - Important Vulnerability in System Center Operations Manager Could Allow Elevation of Privilege (3075158) (деталі)

У серпні, 11.08.2015, вийшов Mozilla Firefox 40. Нова версія браузера вийшла через півтора місяці після виходу Firefox 39.

Mozilla офіційно випустила реліз веб-браузера Firefox 40, а також мобільну версію Firefox 40 для платформи Android. Відповідно до шеститижневого циклу розробки, реліз Firefox 41 намічений на 22 вересня, а Firefox 42 на 3 листопада.

Також був випущений Seamonkey 2.36 та були оновлені гілки із тривалим терміном підтримки Firefox 31.9, Firefox 38.2 і Thunderbird 38.2.

В цій версії включили перевірку malware SafeBrowsing для скачувань на Windows (для Mac OS X та Linux це зробили у попередній версії). Тепер сервіс перевірки malware також підтримує популярні Windows файли.

Окремо варто відзначити, що крім нововведень і виправлення помилок у Firefox 40.0 усунуто 15 уразливостей, серед яких 4 позначені як критичні, що можуть привести до виконання коду зловмисника при відкритті спеціально оформлених сторінок. Причому ця кількість - це саме патчі (Mozilla типово виправляє по декілька дір за один патч).

Зазначу, що хоча вони випустили 14 Security Advisory для даного версії Firefox, насправді виправлень 15, але для одної дірки вони не захотіли робити адвізорі, але написали про неї в документації в розділі Security. Це уразливість, що стосується різних браузерів, про яку повідомив Mozilla ще у березні 2011 і нарешті вони виправили її (Bug 647010 - Only present HTTP authentication dialogs if it is the top-level document initiating the auth).

• Релиз Firefox 40 (деталі)

Виявлені численні уразливості безпеки в Apple Safari і Webkit.

Уразливі продукти: Apple Safari 6.2, Safari 7.1, Safari 8.0.

Підміна інтерфейсу, пошкодження пам’яті, обхід обмежень.

• APPLE-SA-2015-08-13-1 Safari 8.0.8, Safari 7.1.8, and Safari 6.2.8 (деталі)

Коли в 2011 році я знайшов сотні уразливостей в Callisto 821+, тоді ж я перевірив модель 821+R3 і вияснив, що хоча в її адмінці інший інтерфейс, але є подібні дірки. В цьому році я детально дослідив цю версію і підтвердив, що вона вразлива. Виявив Brute Force та Cross-Site Request Forgery уразливості (а також багато інших уразливостей в адмінці) в ADSL модемі Callisto 821+R3, що аналогічні діркам в моделі Callisto 821+.

Раніше я писав про численні DoS, CSRF і XSS уразливості в ADSL модемі Callisto 821+.

Аналогічні Predictable Resource Location, BF та CSRF уразливості, як в Callisto 821+ та інших мережевих пристроях цього та інших виробників. Адмінка модема розміщується по дефолтному шляху з дефолтним логіном і паролем. Що дозволяє локальним користувачам (що мають доступ до ПК, або по LAN), а також віддаленим користувачам через Інтернет (через CSRF уразливості або якщо відкритий віддалений доступ) отримувати доступ до адмінки і змінювати налаштування модема.

Brute Force (WASC-11):

В формі логіна http://192.168.1.1 немає захисту від Brute Force атак. Що дозволить підбирати пароль (якщо він змінений з дефолтного), як при локальній атаці, так і через Інтернет (якщо відкритий віддалений доступ).

Cross-Site Request Forgery (WASC-09):

Відсутність захисту від Brute Force (такого як капча) також призводить до можливості проведення CSRF атаки, про що я писав в статті Атаки на незахищені логін форми. Це дозволяє проводити віддалений логін. Що стане в нагоді при проведенні атак на різні CSRF і XSS уразливості в адмінці.

Зазначу, що CSRF атака на html-форму для віддаленого логіну можлива лише коли налаштування ADSL роутера не були змінені. Тому що після зміни налаштувань замість html-форми аутентифікації виводиться діалогове вікно Basic Authentication. Тоді потрібно буде використати метод CSRF атаки на Basic Authentication, коли відбудеться віддалений логін без виведення діалогового вікна.

Callisto 821+R3 CSRF.html

Уразлива версія Callisto 821+R3, Firmware Version: ZXDSL 831IIV7.5.1a_E09_UA. Дана модель з іншими прошивками також повинна бути вразливою.

У серпні, 04.08.2015, вийшла нова версія WordPress 4.2.4.

WordPress 4.2.4 це багфікс та секюріті випуск нової 4.2 серії. В якому розробники виправили 4 баги та 6 уразливостей. Це три Cross-Site Scripting і одна SQL Injection уразливості. А також виправлена потенційна timing side-channel attack і можливість нападнику заблокувати редагування постів.

Також в цей день вийшли WordPress 4.0.7 і 4.1.7. Версії 4.0.7 і 4.1.7 це секюріті випуски 4.0 і 4.1 серії, в яких виправлені дані уразливості й баги.

Виявлені уразливості безпеки Microsoft VBScript. Що також використовується в Internet Explorer і атака може бути проведена через браузер.

Уразливі продукти: Microsoft VBScript 5.6, 5.7, 5.8 під Windows XP, Windows 2003 Server, Windows Vista, Windows 2008 Server, Windows 7, Windows 8, Windows 2012 Server, Windows 8.1.

Пошкодження пам’яті.

• Microsoft Security Bulletin MS15-066 - Critical Vulnerability in VBScript Scripting Engine Could Allow Remote Code Execution (3072604) (деталі)

В даній добірці експлоіти в веб додатках:

• Geoserver < 2.7.1.1 / < 2.6.4 / < 2.5.5.1 - XXE Exploit (деталі)
• Zend Framework <= 2.4.2 - XML eXternal Entity Injection (XXE) on PHP FPM (деталі)
• OSSEC WUI 0.8 - Denial of Service (деталі)
• PCMan FTP Server 2.0.7 - PUT Command Buffer Overflow (деталі)
• Netsparker 2.3.x - Remote Code Execution (деталі)

Продовжуючи традицію, пропоную вашій увазі цікаві секюріті статті. Щоб ви поповнювали свої знання з веб безпеки.

Добірка цікавого чтива на тему безпеки, зокрема про DoS і DDoS атаки (статті з Вікіпедії):

• Stacheldraht
• Tribe Flood Network
• Trinoo
• UDP flood attack
• Wi-Fi deauthentication attack