Capn3m0 WebSecurity

Ieri è stata rilasciata la versione 5.3.10 del Php per risolvere una falla di sicurezza!

La vulnerabilità individuata da Stefan Esser consente di eseguire codice sulla macchina vittima con i privilegi dell’utente Web (remote code execution). Come riportato su SecurityTracker mandando dati manipolati al Php si può generare un errore nella memoria del php_register_variable_ex() consentendo di eseguire codice.

Per tutti coloro che amministrano Server è consigliabile provvedere ad aggiornare alla versione Php 5.3.10 quanto prima.

Qui trovate l’annuncio ufficiale di Php.

Recentemente sono state individuate alcune vulnerabilità tra le pagine dei Servizi di Google e FaceBook. Sono falle di tipo Open Redirect che permettono di effettuare un redirect senza necessità di manipolare stringhe o eseguire azioni particolari.

Open, infatti, sta ad indicare che il sito affetto da tale falla non effettua alcun controllo sull’input ed esegue il codice per cui è programmato sempre e comunque. Il vantaggio di poter sfruttare vulnerabilità come questa è quello di poter utilizzare url di domini di cui la gente non mette in dubbio la provenienza (Google appunto) per farli cliccare e redirettarli a siti di phishing o similari.

Immaginate l’utente medio che riceve un’email clone di Google che gli indica di cliccare  un  url del dominio “google.com” ed inserire i suoi dati per via di un qualche motivo plausibile. Quanti penserebbero che quell’url nasconda una minaccia?

In questo caso l’url affetto da tale vulnerabilità è appartenente al Servizio Google Accounts ed è il seguente:

https://accounts.google.com/o/oauth2/auth?redirect_uri=http://www.sitomalevolo.com

Allo stato attuale la falla è già stata risolta e provando un redirect verso capn3m0.org si ottiene un errore di “Bad Request”:

https://accounts.google.com/o/oauth2/auth?redirect_uri=www.capn3m0.org

Questa vulnerabilità è stata individuata da Ucha Gobejishvili aka longrifle0x che vanta solo nell’ultima settimana una serie di XSS in siti degni di nota: Google, Apple, Sony Ericcsson.

Sempre longrifle0x ha individuato una vulnerabilità XSS alla pagina delle Google App for Business. Per verificare la vulnerabilità è necessario andare all’url:

https://www.google.com/a/cpanel/premier/new3?hl=en

ed inserire nel campo “Domain” questo codice:

<IFRAME SRC=”javascript:alert(‘XSS’);”></IFRAME>

Qui il suo “curriculum”!

La seconda vulnerabilità, individuata da ZeRtOx del gruppo Devitel, riguarda FaceBook ed è sempre di tipo Open Redirect. Il codice è il seguente:

http://www.facebook.com/l.php?h=5AQH8ROsPAQEOTSTw7sgoW1LhviRUBr6iFCcj4C8YmUcC8A&u=www.sitomalevolo.com

e attualmente è ancora presente come dimostra il link che rediretta a capn3m0.org:

http://www.facebook.com/l.php?h=5AQH8ROsPAQEOTSTw7sgoW1LhviRUBr6iFCcj4C8YmUcC8A&u=www.capn3m0.org

Infine segnalo una terza vulnerabilità Open Redirect sempre per i Servizi di Google: Ad Services. I banner di Adsense sono associati ad un url fatto nel seguente modo:

http://www.googleadservices.com/pagead/aclk?
sa=L
&ai=BCN0tjMAhT9ijEq2Q0QXP1tm2BKGTn-sB4e7Th0fAjbcB8IQOEAEYASCZ0NoLOABQg7et0Pn_____AWD98vyD3BCgAYfM69oDsgEPd3d3LmNhcG4zbTAub3JnugEKMzM2eDI4MF9hc8gBBNoBUWh0dHA6Ly93d3cuY2FwbjNtMC5vcmcvZmlsZXNoYXJpbmctcG9zdC1tZWdhdXBsb2FkLWNoaXVzaS1maWxlc29uaWMtdXBsb2FkZWQuaHRtbIACAbgCGMgC4afaFKgDAfUDAAAgwPUDAAAAEIgGAaAGBA
&num=1
&cid=5GhoQFqmzEdFESSc_Vjf5Gxi
&sig=AOD64_2aoaqhlTxnKAENG806XtTTXpAjFw
&client=ca-pub-XXXXXXXXXXXXXXXX
&adurl=http://www.sitomalevolo.com

I parametri che riceve in input devono essere tutti corretti ad eccezione del campo adurl che invece viene valorizzato con il link verso cui vogliamo che rediretti.

Come potete immaginare trovare un link con tutti i dati corretti è molto semplice. Basta navigare tra i siti che mostrano banner di Google AdSense e copiarsi il link.

Quest’ultima falla l’ho trovata ispirato dalle due precedenti mentre scrivevo l’articolo. Se conoscete chi ne ha parlato prima di me segnalatemelo che provvederò a mettere l’autore.

DreamHost tra i più grandi fornitori di Servizi Hosting Americani la scorsa notte ha inviato un’email a tutti i suoi Clienti invitandoli a modificare tutte le password Ftp poiché c’è la possibilità che queste siano finite in mano ad un gruppo di hackers.

L’azienda ha provveduto ad effettuare un cambio password massivo che ha richiesto un po’ più del previsto dato che attualmente DreamHost gestisce oltre 1 milione di siti web. DreamHost ha anche pregato i propri Clienti di cambiare le password delle caselle email utilizzate come riferimento su DreamHost.

A questo link è possibile vedere gli aggiornamenti effettuati in tempo record da DreamHost:

http://www.dreamhoststatus.com/2012/01/20/changing-ftpshell-passwords-due-to-security-issue/

dove si può riscontrare che l’intervento di cambio password è ormai terminato.

Questo il testo dell’email inviata ai Clienti:

 IMPORTANT INFORMATION: We are writing to let you know that there may have been illegal and unauthorized access to some of your passwords at DreamHost today. Our security systems detected the potential breach this morning and we immediately took the defensive precaution of expiring and resetting all FTP/shell access passwords for all DreamHost customers and their users. There are three different types of passwords at DreamHost: a Web panel password (for logging in to the panel), e-mail passwords, and FTP/shell access passwords. Only the FTP/shell access passwords appear to have been compromised by the illegal access. Web panel passwords, e-mail passwords, and billing information for DreamHost customers were not affected or accessed. Refer to the following DreamHost status post for details:http://www.dreamhoststatus.com/2012/01/20/changing-ftpshell-passwords-due-to-security-issue/

IMPORTANT ACTION REQUIRED:

1. To create a new FTP/shell access password for your DreamHost account, please log in to your DreamHost Web panel (https://panel.dreamhost.com/), select “Manage Users” in the top left, then select “Edit” next to each user, and type in a new password. Make sure you click “Save Changes” at the bottom of the page.

2. We are also requesting that you change your e-mail password. We are not enforcing this change at this time as we do not believe that e-mail passwords were compromised. However we strongly recommend that you change your e-mail password as a precaution. To change the passwords for your e-mail users or yourself, log in to the DreamHost panel at (https://panel.dreamhost.com/), select “Manage Email” in the top left, select “Edit” next to each e-mail user address, and choose a new password for each. Make sure you click “Save Changes” at the bottom of the page.

We sincerely apologize for any inconvenience this may cause. If you have any additional questions about this process, please contact us through the support page in the panel.

Note that DreamHost will never ask you for personal or account information in an e-mail. Please exercise caution if you receive any other e-mails that ask for personal information or direct you to a Web site where you are asked to provide personal information.

Sincerely,

The DreamHost Team

Come spiega Simon Anderson, CEO di DreamHost, in risposta ad un cliente:

our systems have stored and used encrypted passwords for a number of years, however the hacker found a legacy pool of unencrypted FTP/shell passwords in a database table that we had not previously deleted. We’ve now confirmed that there are no more legacy unencrypted passwords in our systems. And we’re investigating further measures to ensure security of passwords including when a customer requests their password by email (this was not the issue here, though). Re your shell accounts, I’d suggest that you select a new password just to be sure.

l’hacker ha avuto accesso ad una Tabella di un Database che per errore conteneva alcuni account Ftp e Shell non criptati che han poi permesso l’accesso a tutti i dati dei Clienti.

Per ora non ci sono state azioni/attacchi massivi verso gli account hackerati  e con il cambio password e la patch della vulnerabilità il problema dovrebbe essere risolto!

L’Alpha_Team ancora una volta torna a far parlare di sé per un nuovo attacco ad una banca: la Banca Sistema!

La protesta di internet negli ultimi giorni sta creando parecchi grattacapi ai sistemisti di Server “importanti”. La settimana scorsa l’Alpha_Team si era dichiarato al mondo rilasciando una lista di siti istituzionali di cui avevano violato i Database. Tra questi vari siti c’era “italia.gov.it” che dopo l’attenzione ricevuta da parte dell’Alpha_Team ieri è stata vittima di un secondo attacco di tipo DDOS questa volta firmato dal noto movimento di protesta on line Anonymous.

Come loro solito hanno pubblicato alcune delle informazioni sottratte dalle quali si riscontra che l’attacco anche in questo caso è stato di tipo Sql Injection. L’Alpha_Team non ha rilasciato informazioni in merito ma analizzando il dump a questo link si possono leggere l’information schema e alcuni records di varie tabelle del Database del sito della Banca.

Come potete vedere le Tabelle alle quali hanno avuto accesso sono tutte relative al sito e riguardano le varie aree dello stesso (le proposte on line, l’elenco delle news,etc) mentre altre sono invece a uso interno dei dipendenti/sistemisti come i dati di accesso delle caselle email o la lista degli utenti del sito, Administrator incluso.

Di queste notizie, come al solito, pochi parlano e le stesse vittime non comunicano nulla sull’attacco. Né sui loro siti né ai loro Clienti.

Se oltre questo fatto, già grave, si aggiunge che, come abbiamo visto nell’intervista all’Alpha_Team, le falle di sicurezza non vengono corrette di sicuro il quadro generale della sicurezza informatica in Italia non ne esce positivo. Almeno per quelle “grandi” società dove ci si aspetta che la sicurezza sia un punto di forza!

Anonymous colpisce ancora! Anonymous, la famosa rete di hackers che da tempo effettua azioni di hacking verso siti sensibili per rappresentare la voce del popolo, questo pomeriggio ha eseguito un attacco di tipo DDOS (Distributed Denial Of Service) che ha portato all’irraggiungibilità del dominio “italia.gov.it” per tutto il pomeriggio. Durante lo stesso attacco è stato preso di mira anche il sito dei neofascisti di “casapound.org” che allo stato attuale appare ancora offline (pagina di default di Apache).

Proprio qualche giorno fa avevamo intervistato l’Alpha_Team, una crew di giovani ragazzi italiani che sfruttando una vulnerabilità Sql Injection aveva avuto accesso ed eseguito un dump sempre del sito italia.gov.it. A questo articolo potete trovare maggiori informazioni e il dump in questione.

Anonymous con il comunicato pubblicato stamani reperibile qui accusa il neo Governo Italiano di aver fatto bei discorsi ma pochi fatti:

Il nuovo governo si è presentato con l’aspetto frigido di chi non avendo mai praticato la politica dovrebbe risultare esente dalle tentazioni che noi italiani ben conosciamo.

Sventolando parole a lungo agognate quali equità, giustizia sociale e rigore. Ebbene di queste non s’è ancora vista l’ombra, escluso il contegno con cui vi presentate ai media. Sappiate che siete sotto osservazione da più parti, e che non basteranno quattro buoni propositi.

[...]

Anonymous e tutti i cittadini liberi e consapevoli non resteranno a guardare.

Con questo comunicato e per tali motivazioni Anonymous informa che tornerà all’attacco e, dopo il DDOS odierno lancia l’operazione #Operation Italy o #OpItaly per il giorno 13 Febbraio 2012. L’obiettivo dell’attacco non è stato ancora deciso e verrà reso noto solo poco prima tramite gli hastag Twitter indicati in precedenza come accaduto oggi.

Aspettiamo il 13 Febbraio e vediamo cosa succede.

Keep in touch.