Websecurity - Веб безпека

В цьому році, 14.02.2012, відбувся масовий взлом сайтів на сервері CityNet. Нещодавно я вже розповідав про інші масові взломи.

Був взломаний сервер української компанії CityNet. Взлом, що складався з серії взломів, відбувся після згаданого масового взлому сайтів на сервері Besthosting.

Всього було взломано 16 сайтів на сервері української компанії CityNet (IP 109.237.81.60). Це наступні сайти: www.yuruslugi.com.ua, www.adu.org.ua, www.cis.in.ua, fpo.detut.edu.ua, www.dkl1.kiev.ua, www.golfstream.kiev.ua, www.dkl2.kiev.ua, ekuzt.detut.edu.ua, fem.detut.edu.ua, ekuzt2009.detut.edu.ua, konferencia.detut.edu.ua, library.detut.edu.ua, 2011.ekuzt.gov.ua, ekuzt.gov.ua, www.kortny.com.ua, hp-canon.com.ua. Серед них українські державні сайти 2011.ekuzt.gov.ua та ekuzt.gov.ua.

З зазначених 16 сайтів 3 сайти були взломані хакером 4cHrf, 11 сайтів хакером 3viL666, 1 сайт хакером DR-MTMRD та 1 сайт хакером Hmei7.

Враховуючи велику кількість сайтів на одному сервері та короткий проміжок часу для дефейсу всіх цих сайтів, немає сумнівів, що вони були взломані через взлом серверу хостінг провайдера (це стосується лише дефейсів 3viL666, інші дефейси проводилися під час взломів окремих сайтів). Коли через взлом одного сайта, був отриманий root доступ до сервера (через уразливості в програмному забезпеченні самого сервера) та атаковані інші сайти на даному сервері.

В даній добірці уразливості в веб додатках:

• PyPAM — Python bindings for PAM - Double Free Corruption (деталі)
• Kongreg8 1.7.3 Mutiple XSS (деталі)
• FrameJammer DOM based XSS (деталі)
• Vulnerabilities in YVS Image Gallery (деталі)
• OSQA CMS v3b - Multiple Persistent Vulnerabilities (деталі)
• PyPAM vulnerability (деталі)
• Wolf CMS v0.7.5 - Multiple Web Vulnerabilities (деталі)
• ImgPals Photo Host Version 1.0 Admin Account Disactivation (деталі)
• moodle security update (деталі)
• movabletype-opensource security update (деталі)

16.04.2012

Ще 18.04.2008 я знайшов Cross-Site Scripting, Cross-Site Request Forgery та Arbitrary File Upload (Code Execution) уразливості в плагіні Organizer для WordPress. Але довго відкладав публікацію інформації про дані уразливості. Це друга порція уразливостей в плагіні Organizer. Про що найближчим часом повідомлю розробникам плагіна.

Раніше я писав про уразливості в Organizer для WordPress.

Детальна інформація про уразливості з’явиться пізніше. Спочатку повідомлю розробникам.

24.04.2012

XSS:

http://site/wp-admin/admin.php?page=organizer/page/users.php&edit_id=%3Cscript%3Ealert(document.cookie)%3C/script%3E

XSS (Persistent):

Organizer XSS-2.html

Код виконається на сторінці users.php плагіна.

CSRF:

Через атаку на функцію Add/Edit User Setting можна додавати і редагувати налаштування. Додавання і редагування поєднані в один і той же POST запит.

POST запит на сторінці http://site/wp-admin/admin.php ?page=organizer/page/users.php (аналогічно експлоіту для XSS).

Через атаку на функцію Delete User Setting можна вадалити налаштування.

http://site/wp-admin/admin.php?page=organizer/page/users.php&delete_id=admin

Arbitrary File Upload (Code Execution):

Можливе необмежене завантаження файлів з виконанням коду (php файлів). Тому що в полі File extensions allowed можна вказати розширення скриптів, такі як “php”.

Так що окрім використання обхідних методів, таких як подвійні розширення (при нашаштуваннях плагіна по замовчуванню), можна змінити налаштування і задати “php” в дозволені розширення. Що дозволить завантажувати на сервер та виконувати довільні скрипти. Окрім проведення атаки на адміна через вищезгадану CSRF уразливість для зміни налаштувань (або отримання доступу до адмінського акаунту для цього), також для цього можна використати Insufficient Authorization уразливість (при наявності акаунта навіть з найменшими правами Subscriber).

Уразливі Organizer 1.2.1 та попередні версії.

В своєму звіти Top 50 Bad Hosts & Networks 2011 Q4, організація HostExploit в співпраці з Group-IB розповідають про ситуацію з шкідливим програмним забезпеченням в четвертому кварталі 2011 року. І наводять перелік 50 найбільших шкідливих хостів та мереж в Інтернеті.

Аналогічно StopBadware, організація HostExploit випускає власний звіт про інфікованість сайтів. Але окрім загальної статистики та опису поточного стану речей, вони також проводять дослідження найбільших поширювачів шкідливого ПЗ серед хостів та мереж.

Даний звіт складається за наступних розділів:

• Introduction
• News Roundup
• Frequently Asked Questions
• The Top 50 - Q4 2011
• Q4 2011 to Q3 2011 Comparision
• Top 10 Visual Breakdown
• What’s New
• Country Analysis
• The Good Hosts
• Bad Hosts by Topic
• Conclusions

12.04.2012

Виявлені численні уразливості безпеки в Microsoft Internet Explorer.

Уразливі продукти: Microsoft Internet Explorer 6, 7, 8 та 9 під Windows XP, Windows 2003 Server, Windows Vista, Windows 2008 Server, Windows 7.

Численні уразливості дають можливість виконання коду.

• Microsoft Security Bulletin MS12-023 - Critical Cumulative Security Update for Internet Explorer (2675157) (деталі)

24.04.2012

Додактова інформація.

• Microsoft Internet Explorer VML Remote Code Execution (MS12-023 / CVE-2012-0172) (деталі)

В даній добірці уразливості в веб додатках:

• VMware View privilege escalation and cross-site scripting (деталі)
• Multiple vulnerabilities in Elefant CMS (деталі)
• Multiple XSS in Chyrp (деталі)
• fex security update (деталі)
• Mobile Mp3 Search Engine HTTP Response Splitting (деталі)
• Stack Buffer Overflow in HTTP Manager (деталі)
• YVS Image Gallery Sql injection (деталі)
• Security advisory for Bugzilla 4.2 and 4.0.5 (деталі)
• CJWSoft ASPGuest GuestBook ‘edit.asp’ - SQL Injection Vulnerability (деталі)
• PHP Gift Registry 1.5.5 SQL Injection (деталі)

Раніше я писав в добірці уразливостей та добірці експлоітів про DoS уразливість в браузері Opera 10.10 знайдену Inj3ct0r. І от дослідивши сьогодні його експлоіт я виявив, що багато інших браузерів також уразливі до даної атаки (в тому числі більш нова версія Опери, в якій уразливість не була повністю виправлена).

Сьогодні я виявив Denial of Service уразливості в Mozilla Firefox, Microsoft Internet Explorer та Opera. Вони відноситься до типу вибиваючих DoS, блокуючих DoS та DoS через споживання ресурсів.

Експлоіт від Inj3ct0r схожий на експлоіти, що я розробив для Google Chrome та Mozilla Firefox в 2008 році. Атака в моїх експлоітах відбувалася через велику кількість вкладених marquee тегів, а у нього використовуються html, marquee та h1 теги, але суть атаки та сама - велика кількість вкладених тегів (зокрема marquee). Тоді я сповістив Google і Mozilla та розмістив Bug 454434 на Bugzilla Мозіли, але якщо Google виправила уразливість, то Mozilla не виправила дану уразливість.

DoS:

Моя версія експлоіта для різних браузерів. Цей експлоіт використовує JS, але атаку можна так само провести і без JS (як це показано в моєму експлоіті 2008 року).

Firefox, IE & Opera DoS Exploit.html

Даний експлоіт працює наступним чином:

• Mozilla Firefox 3.0.19 споживає ресурси (50% CPU і багато RAM) і вилітає.
• Mozilla Firefox 3.5.11 споживає ресурси (50% CPU і багато RAM) і вилітає.
• Mozilla Firefox 3.6.8 споживає ресурси (50% CPU і багато RAM) і вилітає.
• Mozilla Firefox 4.0 beta 2 зависає і споживає ресурси (50% CPU і багато RAM).
• Mozilla Firefox 11.0 зависає і споживає ресурси (50% CPU і багато RAM).
• Internet Explorer 6 зависає і споживає ресурси (50% CPU і багато RAM).
• Internet Explorer 7 зависає і споживає ресурси (50% CPU і багато RAM).
• Internet Explorer 8 лише споживає ресурси (50% CPU і багато RAM). Тобто в IE8 проблема вже частково виправлена Microsoft.
• Opera 10.62 зависає і споживає ресурси (50% CPU і багато RAM).
• Експлоіт не працює в браузері Google Chrome вже починаючи з версії 1.0.154.48. Гугл виправила уразливість з marquee тегом після мого повідомлення в 2008 році.

Уразливі Mozilla Firefox 3.0.19, 3.5.11, 3.6.8, 4.0 beta 2, 11.0, Internet Explorer 6 (6.0.2900.2180), Internet Explorer 7 (7.00.5730.13), Internet Explorer 8 (8.00.6001.18702) та Opera 10.62, а також повинні бути уразливими попередні версії даних браузерів. Інші браузери також можуть бути уразливими.

Після попереднього дослідження інфікованих сайтів, приведу нову інформацію про заражені сайти. З числа українських сайтів.

• http://orthodox.ho.ua - інфекція була виявлена 04.02.2012. Зараз сайт не входить до переліку підозрілих.
• http://io.ua - інфекція була виявлена 17.04.2012. Зараз сайт не входить до переліку підозрілих.
• http://dn.kiev.ua - інфекція була виявлена 16.02.2012. Зараз сайт не входить до переліку підозрілих.
• http://certsystems.kiev.ua - інфекція була виявлена 12.03.2012. Зараз сайт не входить до переліку підозрілих.
• http://olimpkino.dp.ua - інфекція була виявлена 28.02.2012. Зараз сайт не входить до переліку підозрілих.

Виявлені численні уразливості безпеки в Adobe Flash Player.

Уразливі продукти: Adobe Flash Player 10.3, Flash Player 11.1, Flash Player 11.2, AIR 3.2.

Різні пошкодження пам’яті.

• Adobe Flash Player NetStream Remote Code Execution Vulnerability (APSB12-07 / CVE-2012-0773) (деталі)

В даній добірці експлоіти в веб додатках:

• Opera <= 10.10 Remote Denial of Service Exploit (деталі)
• XOOPS Module Repository (viewcat.php) BLIND SQL Injection Exploit (деталі)
• Xoops Module Friendfinder <= 3.3 (view.php id) BLIND SQL Injection Exploit (деталі)
• XOOPS Module Library (viewcat.php) BLIND SQL Injection Exploit (деталі)
• XOOPS Module Core (viewcat.php) Remote BLIND SQL Injection Exploit (деталі)