WHM e cPanel XSS

[AGGIORNAMENTO – Aggiunto screenshot con la versione più recente di WHM 11.34.1.5]

Il ricercatore Christy Philip Mathew ha individuato in data odierna diverse vulnerabilità di tipo XSS (Cross Site Scripting) in uno dei più affermati pannelli di controllo per server linux, cPanel e il relativo Host Manager WHM.

Abbiamo testato personalmente la vulnerabilità sfruttando la piattaforma demo messa a disposizione da cPanel, accedendo al portale WHM dal sito ufficiale con le credenziali “demo”-“demo” è possibile verificare tale vulnerabilità. Di seguito la procedura passo a passo:

Test XSS in WHM

  1. Accedere a WHM > http://demo.cpanel.net:2086/login/?user=demo&pass=demo
  2. Accedere al tab “Server configuration”;
  3. Accedere al tab “Basic cPanel & WHM Setup”
  4. Inserire in una qualsiasi delle quattro text post il codice JavaScript.

Test XSS in cPanel

  1. Accedere a cPanel > http://x3demob.cpx3demo.com:2082/login/?user=x3demob&pass=x3demob
  2. Accedere a “Bandwidth Transfer Detail”;
  3. Iniettare il parametro “domain” con il codice JavaScript;

Link diretto al XSS

Dopo il salto vi lasciamo con un ulteriore video dimostrativo..

Via | The Hacker News

Continua a leggere

Auguri 2012

Babbo Natale con i suoi folletti ha preparato tanti pacchetti; tra un momento parte in volo per dar gioia a chi è solo. Sulla slitta con le renne ha per tutti pace e strenne e mentre la neve cade a fiocchi lascia ai bimbi i suoi balocchi. Sei per noi un lettore eccezionale e ti faccio tanti Auguri di Buon Natale e Felice Anno Nuovo!

KS & Caine

Continuiamo a pubblicare le interessantissime video guide girate da Nanni Bassetti sulla Digital Forensics, nel video che trovate dopo il salto impareremo ad usare il software KS, come estrarre da un dispositivo a blocchi o da un’immagine bit a bit (raw) i file ed indicizzarli su database, per effettuare più ricerche per keywords. Il tutto grazie all’utilizzo della distribuzione Caine reperibile sul sito internet ufficiale.

Continua a leggere

CERT

L’allestimento di Cert nazionali “ben rodati e provvisti di una base comune in termini di capacità” marca un passaggio imprescindibile per dotare l’Europa di una “batteria contraerea” capace di fronteggiare con efficacia le aggressioni informatiche. La Commissione di Bruxelles lo va predicando sin dal 2009. Ossia sin dalla presentazione della comunicazione “Proteggere le infrastrutture critiche informatizzate”. All’epoca l’Ue aveva appena metabolizzato lo sgomento per il virulento attacco cibernetico patito un anno e mezzo addietro dall’Estonia: “un brusco risveglio” (copyright: il ministro britannico Francis Maude) su una minaccia inedita, in parte ignota. Dopo il quale, l’esecutivo Ue non aveva avuto più scuse per continuare a traccheggiare sul nodo cyber sicurezza. La comunicazione della Commissione poneva il primo mattone di una strategia su vasta scala intesa a temprare una “governance europea” in materia di sicurezza informatica. Traguardo realizzabile a patto che “tutte le parti in causa dispongano di informazioni affidabili in base alle quali intervenire”. Cioè: attraverso il lavoro dei singoli Cert nazionali e, a fortiori, potenziandone il coordinamento. Tant’è vero che nel 2010 questa priorità è entrata tra gli obiettivi dell’Agenda digitale: gli stati membri devono istituire entro il 2012 la propria squadra di risposta alle emergenze informatiche.

Alcuni paesi erano già in regola. Altri, dal Lussemburgo all’Irlanda, hanno provveduto ad uniformarsi nell’arco degli ultimi due anni. Al momento, a voler tracciare un’ipotetica mappa dei Cert nazionali, resterebbero appena tre spazi bianchi. Oltre all’Italia, sulla lista semivuota degli “inadempienti” campeggiano solo Cipro e Malta. Ancora per poco, tuttavia. Come dichiarato al Corriere delle Comunicazioni da Graeme Cooper dell’Enisa – l’Agenzia europea per la sicurezza delle reti e dell’informazione – Valletta e Nicosia sono al disbrigo delle ultime formalità prima di inaugurare i proprio team di risposta. Con la conseguenza che, dopo la fatidica data del 2012, l’Italia farebbe figura di unico e ultimo paese Ue a non essersi dotato di un Cert nazionale. Anche se Cooper ci tiene a precisare che nel nostro paese “sono già attivi diversi Cert settoriali”. Piuttosto, appare evidente che i solleciti pubblici più e più volte levatisi dalla Commissione, pur evitando di fare nomi, erano indirizzati ad un risicatissimo nucleo di stati, tra cui il nostro. Ancora il 12 settembre Neelie Kroes ripeteva in conferenza stampa che “l’Agenda digitale esorta tutti i paesi membri a istituire i propri Cert”. Esortazione inserita anche nella comunicazione sulla cyber-sicurezza su cui l’esecutivo europeo dovrebbe alzare il velo nei prossimi mesi.

Tanta fretta sui Cert ha una sua ratio. L’obiettivo urgente è quello di creare una rete che “sarà la pietra angolare di un sistema europeo di condivisione delle informazioni e di allarme per i cittadini e le Pmi, da costruire con le risorse e le capacità nazionali entro il 2013”. Insomma, dall’anno prossimo la Commissione vuole mettere in piedi un concreto sodalizio tra le varie squadre di risposta nazionali che lavorerà sotto gli auspici del Cert-Eu. Quest’ultimo, dopo una fase di rodaggio, è stato istituito in maniera permanente subito dopo l’estate. E dovrebbe preoccuparsi di presiedere ad una maggiore armonizzazione tra i 27. Anche perché, come spiegano all’Enisa, “ci sono ancora differenze tra i modus operandi dei Cert nazionali. E l’esistenza di approcci nazionali diversi aumenta il rischio di frammentazione e di inefficienza in tutta Europa”.

Fonte | Corriere Comunicazioni

Wordpress Pingback Port Scanner

I ricercatori di Acunetix hanno recentemente individuato una vulnerabilità nel sistema di Pingback della famosa piattaforma di blogging WordPress, tale vulnerabilità può essere sfruttata per sferrare attacchi DDoS.

Il Pingback è una funzione in grado di avvisare altri blog della pubblicazione di un nuovo articolo, abitualmente sfruttata per comunicare la trattazione di un medesimo argomento su due o più blog.

Il funzionamento della funzione di Pingback è molto semplice: il file “xmlrpc.php” interroga i link indicati nell’articolo appena scritto, se la richiesta va a buon fine provvede a segnalare il nostro blog a gli altri siti menzionati.

La vulnerabilità sfrutta altera la funzione di “xmlrpc.php” indicandogli di interoggare un host diverso da quello citato nell’articolo, verrà quindi effettuata una richiesta sul sito “vittima” non menzionato nell’articolo originale.

Pertanto non vi è alcun controllo sull’autenticità degli url contenuti nell’articolo, un attacco di massa potrebbe sfruttare migliali di blog Worpress per effettuare continue richieste verso il sito vittima generando un DDoS.

Bogdan Calin, ha realizzato WordPress Pingback Port Scanner uno script che vedete nell’immagine principale in grado di effettuare un Port Scanning su un sito vittima tramite un blog Worpress. Lo script scritto i Ruby è disponibile su GitHub e di seguito vedremo brevemente il suo utilizzo.

Se volessimo effettuare un port scanning sulle porte comuni basterà digitare il seguente comando:

ruby wppps.rb -t http://www.target.com http://www.myblog.com/

Tramite il parametro “-t” indichiamo il sito target e a seguito indicheremo il blog WordPress che veicolerà la scansione.

Sfruttando questo comando il sito MyBlog.com procederà ed effettuare un Port Scanning su Target.com.

Un attacco combinato generebbe sicuramente più traffico verso il target, rallentandolo o addirittura mandandolo in tilt:

ruby wppps.rb -t http://www.target.com http://www.blog1.com/ http://www.blog2.com/ http://www.blog3.com/

Questo comando permette di sfruttare Blog1, Blog2 e Blog3 contemporaneamente per veicolore un Port Scanning verso Target.com.

Infine è possibile generare un port scanning su tutte le porte [0 – 65535] utilizzando il paramentro “-a”:

ruby wppps.rb -t -a http://www.target.com http://www.myblog.com/

Per prevenire provvisoriamente la vulnerabilità, in attesa di una patch da parte del Team di WordPress, è possibile disabilitare la funzione di PingBack/TrackBack dal pannello di Amministrazione, Impostazioni, Discussione.

Via | The Hacker News

CAINE_Mounter

Nanni Basetti, fontare di C.A.IN.E, ha prodotto una piccola video guida che descrive come effettuare l’acquisizione forense bit a bit di una memoria di massa con Caine 3.0.

Nella video è possibile apprendere come effettuare una copia bit a bit con il solo l’ausilio dell’interfaccia, viene utilizzato il nuovo software Mounter di John Lehr introdotto in Caine 3.0 e Guymager!

Sul sito ufficiale dello sviluppatore potete scaricare C.A.IN.E.

Unicredit in un caveau Milanese sta testando una nuova tecnologia in grado di riconoscere un individuo dal proprio flusso sanguigno, basterà accostare il palmo della mano ad un sensore a infrarossi per essere riconosciuti e procedere all’operazione richiesta.

La tecnologia ribatezzata Papillon è già stata brevettata, le probabilità di errore sono inferiori a una su 20 milioni e l’affdabilità è di livello milare, migliore di quella dei sistemi di riconoscimento dell’iride è ciò che afferma Marco Berin responsabile del laboratorio.

Il processo di autenticazione prevede:

  1. L’avvicinamento della propria mano ad un lettore a raggi infrarossi;
  2. Il lettore rileva la geometria delle vene, il flusso sanguigno e l’emoglobina;
  3. I dati raccolti vengono inviati al server che identificano l’individuo;
  4. Viene autorizzato l’utente.

In conclusione siamo dinanzi ad un nuovo ed intrigante processo di autenticazione, probabilmente in grado di inibire le vulnerabilità a cui sono soggette l’autenticazione dell’iridire o dell’impronta digitale, ma non dobbiamo dimenticare di ponderare l‘impatto economico, sostituire gli attuali POS con dei più sofisticati lettori biometrici sarà sicuramente una operazione dispendiosa. Credo sia una novità interessante per l’IT Security e non solo a livello bancario.

Via | Wired

 

eLearnSecurity è una azienda Italiana nata circa 3 anni fa, da Armando Romeo, si occupa di formazione in materia di sicurezza informatica e principalmente nell’ambito di penetration test a livello mondiale.

Inizialmente presentarono il corso e-learning chiamato “Penetration Testing Cours” il quale ebbe un notevole successo, raggiungendo le vendite in ben 92 paesi.  Il successo iniziale ha spinto l’azienda a creare corso di introduzione al pentest denominato “Student – Beginner Course“. Il principale obiettivo di eLearnSecurity è attualmente quello di lavorare sul mercato italiano attivamente ampliando la gamma di servizi formativi, partendo dalla traduzione in Italiano del Penetration Testing Pro lanciato a fine Ottobre, con corsi di formazione per Aziende Pubbliche e Private e per finire con webinar e seminari on-line. Tutti i corsi eLearnSecurity sono accompagnati da reali esercitazioni pratiche in cui lo studente mette in campo le competenze acquisite nella messa in sicurezza di reti e dati aziendali e applicazioni web tramite i più evoluti Laboratori Virtuali progettati e realizzati da eLearnSecurity.

Il 12 Dicembre eLearnSecurity ha pensato di organizare un Seminario Online completamente gratuito denominato “Primi passi nella sicurezza delle applicazioni web con Hack.me” durante il seminario verranno trattate le seguenti tematiche:

Continua a leggere

I nostri lettori continuano a segnalarci vulnerabilità di siti istituzionali Italiani, con un po’ di rammarrico ve li riportiamo sperando che questi errori non vengono più compiuti dai nostri webmaster e che vi sia un maggior controllo da parte degli enti preposti.

La prima vulnerabilità, segnalataci da Ciro Rutigliano, affligge il sito dell’Ufficio Italiano Brevetti e Marchi nel quale una importante SQL Injection permette di ottenere username e password degli utenti come ben visibile nell’immagina di apertura.

La seconda vulnerabilità, segnalataci da s1ckb0y, colpisce l’istituto di credito BNL nello specifico il portale dedicato al Fondo Pensionistico. Nonostante il recende accordo con la CA Technologies per migliorare la sicurezza della Banca, il nostro utente ha individuato una vulnerabilità di tipo SQL Injection con la quale possiamo recuperare informazioni private.

Infine il portale dell’Aereuonatica Italiana dedicato alla stampa è soggetto ad un Cross-site scripting come è possibile visualizzare dall’immagine dopo il salto, anche quest’ultima segnalazione ci è stata segnalata da s1ckb0y.

Infine voglio riportare un caloroso ringraziamento ai nostri lettori che da sempre ci segnalano novità dell’IT Security e vulnerabilità! Grazie!

Continua a leggere