Articoli

Wordpress Logo

Nelle ultime due settimane abbiamo visto nella cronaca della Sicurezza Informatica il nome di WordPress per ben due volte, infatti come ha riportato Paolo sul suo blog le ultime versioni di WordPress contenevano una vulnerabilità di tipo XSS Stored (è definita stored una vulnerabilità che viene memorizzata/salvata nel filesystem o nel database della vittima, in questo caso nel database). WordPress è corsa ai ripari aggiornando la sua piattaforma di Blogging con la versione 4.2.1 ma ieri è corsa nuovamente ai riparti rilasciando la versione 4.2.2 poiché sono state trovate altre vulnerabilità XSS come ha riportato The Hacker News.

La vulnerabilità di tipo XSS Stored è stata scoperta da Jouko Pynnönen ed essendo di tipo Stored è indubbiamente la vulnerabilità di tipo XSS più pericolosa, ma non voglio soffermarmi sugli aspetti tecnici perché potete tranquillamente trovare tutti i dettagli sul blog di Jouko compreso di un ottimo video dimostrativo. Quel che mi ha stupito e vorrei condividere con voi, magari per avere un vostro parere, è la seguente dichiarazione rilasciata da Jouko:

WordPress has refused all communication attempts about our ongoing security vulnerability cases since November 2014. We have tried to reach them by email, via the national authority (CERT-FI), and via HackerOne. No answer of any kind has been received since November 20, 2014. According to our knowledge, their security response team have also refused to respond to the Finnish communications regulatory authority who has tried to coordinate resolving the issues we have reported, and to staff of HackerOne, which has tried to clarify the status our open bug tickets.

Il ricercatore avrebbe tentato di comunicare a WordPress la vulnerabilità a Novembre 2014, senza ricevere alcuna risposta Jouko ha poi chiesto al CERT e ad HackerOne di comunicare la gravità della vulnerabilità individuata ma ancora volta non è stata data nessuna risposta. Così lo scorso 26 Aprile 2015 Jouko ha deciso di rendere pubblica la vulnerabilità.

La gravità di questa vicenda è l’assenza di risposte dal Team di IT Security di WordPress per ben 6 mesi, 6 mesi!!! E sempre Paolo Perego mi fa notare che sul sito ufficiale di WP vi è riportato quanto segue:

The WordPress Security Team is made up of approximately 25 experts including lead developers and security researchers — about half are employees of Automattic (makers of WordPress.com, the earliest and largest WordPress hosting platform on the web), and a number work in the web security field. The team consults with well-known and trusted security researchers and hosting companies.

Circa 25 persone lavorano nel reparto di IT Security di WordPress, se fosse un’azienda Italiana diremmo subito che sono dei fannulloni ma è sempre meglio evitare affermazioni affrettate ma quel che è certo che è incomprensibile l’aver ignorato tale vulnerabilità e la relativa comunicazione da parte di Jouko. Capisco che non è sempre possibile individuare le vulnerabilità di un proprio progetto, anche se si è in 25, ma ignorare il lavoro svolto da una terza persone che cortesemente vi sta comunicando un’importante falla di sistema lo trovo veramente sbagliato!

Jouko avrebbe potuto rivendere la vulnerabilità in qualche Black Market vista l’insoddisfazione nel ricevere un ringraziamento ufficiale e sicuramente guadagnare un buon gruzzoletto, visto che WordPress è il primo CMS mondiale con un adozione stimata al 55%.

In sostanza, da WordPress mi aspettavo molto di più!!

xss-to-domain-ita

 

Domani 28 ottobre 2014 alle ore 19:00 il ricercatore e istruttore Davide Girardi, conosciuto anche come GiRa, presenterà uno scenario d’attacco a una rete aziendale attraverso un Webinar offerto dalla eLearnSecurity. L’esploitation inizierà da un XSS nel blog aziendale e ci porterà ad avere un account come amministratore di Active Directory. Avrai l’opportunità di assistere ad affascinanti dimostrazioni pratiche di utilizzo di BeEF-XSS, Metasploit ed approfondire le tue conoscenze su Active Directory.

Per chi vuole iscriversi al Webinar può accedere al sito ufficiale dell’eLearnSecurity!

WHM e cPanel XSS

[AGGIORNAMENTO – Aggiunto screenshot con la versione più recente di WHM 11.34.1.5]

Il ricercatore Christy Philip Mathew ha individuato in data odierna diverse vulnerabilità di tipo XSS (Cross Site Scripting) in uno dei più affermati pannelli di controllo per server linux, cPanel e il relativo Host Manager WHM.

Abbiamo testato personalmente la vulnerabilità sfruttando la piattaforma demo messa a disposizione da cPanel, accedendo al portale WHM dal sito ufficiale con le credenziali “demo”-“demo” è possibile verificare tale vulnerabilità. Di seguito la procedura passo a passo:

Test XSS in WHM

  1. Accedere a WHM > http://demo.cpanel.net:2086/login/?user=demo&pass=demo
  2. Accedere al tab “Server configuration”;
  3. Accedere al tab “Basic cPanel & WHM Setup”
  4. Inserire in una qualsiasi delle quattro text post il codice JavaScript.

Test XSS in cPanel

  1. Accedere a cPanel > http://x3demob.cpx3demo.com:2082/login/?user=x3demob&pass=x3demob
  2. Accedere a “Bandwidth Transfer Detail”;
  3. Iniettare il parametro “domain” con il codice JavaScript;

Link diretto al XSS

Dopo il salto vi lasciamo con un ulteriore video dimostrativo..

Via | The Hacker News

Continua a leggere

I nostri lettori continuano a segnalarci vulnerabilità di siti istituzionali Italiani, con un po’ di rammarrico ve li riportiamo sperando che questi errori non vengono più compiuti dai nostri webmaster e che vi sia un maggior controllo da parte degli enti preposti.

La prima vulnerabilità, segnalataci da Ciro Rutigliano, affligge il sito dell’Ufficio Italiano Brevetti e Marchi nel quale una importante SQL Injection permette di ottenere username e password degli utenti come ben visibile nell’immagina di apertura.

La seconda vulnerabilità, segnalataci da s1ckb0y, colpisce l’istituto di credito BNL nello specifico il portale dedicato al Fondo Pensionistico. Nonostante il recende accordo con la CA Technologies per migliorare la sicurezza della Banca, il nostro utente ha individuato una vulnerabilità di tipo SQL Injection con la quale possiamo recuperare informazioni private.

Infine il portale dell’Aereuonatica Italiana dedicato alla stampa è soggetto ad un Cross-site scripting come è possibile visualizzare dall’immagine dopo il salto, anche quest’ultima segnalazione ci è stata segnalata da s1ckb0y.

Infine voglio riportare un caloroso ringraziamento ai nostri lettori che da sempre ci segnalano novità dell’IT Security e vulnerabilità! Grazie!

Continua a leggere

 

W3af (Web Application Attack and Audit Framework) è un web scanner opensource integrato anche in BackBox dedicato alla sicurezza delle applicazioni Web. Il software infatti è in grado di scansionare le vulnerabilità di un sito web fornendo notevoli informazioni sull’eventuale vulnerabilità trovata.

Tra le principali analisi che l’utility effettua è importante ricordare la scansione di eventuali SQL Injection, cross-site scripting (XSS) e remote file inclusion (RFI).

Il software è scritto in Python ed ha pertanto la peculiarità di essere multi-piattaforma (Windows, Linux, Mac OS X, FreeBSD e OpenBSD) inoltre è disponibile un essenziale interfaccia shell oppure la più comoda GUI grafica.

Per tutti gli utenti BackBox (una delle migliori distribuzioni dedicate al Pen Testing) il software è preinstallato, mentre per chi avesse una propria distribuzione di linux basata su Ubunt può effettuare l’installazione dell’applicativo semplicemente digitando il seguente comando:

$ sudo apt-get install w3af

Per eseguire w3af in modalità GUI basterà digitare il comando

$ sudo w3af

eventualmente se preferite gestire il software da console digitate:

$ sudo w3af_console

Come anticipato dal titolo del post, lo scorso 10 Novembre 2011 l’applicativo ha raggiunto la versione 1.1 introducendo le seguenti migliorie:

  • Implementazione della codifica gzip per migliorare le prestazioni;
  • Utilizzo del protocollo XMLPRC per i report;
  • Fix di bug vari tra i quali l’auto-update

Infine vi ricordo sito internet ufficiale del progetto: http://sourceforge.net/projects/w3af/

Emilio Pinna ha recentemente scoperto una vulnerabilità sulla MyFastPage di Fastweb di tipo XSS (Cross-site scripting), pertanto un malintenzionato potrebbe accedere al pannello di controllo di un utente Fastweb permettendoli di accedere alla Fastmail, al ContoOnLine, consultare e variare dati e recapiti personali , tabulati voce e internet, modificare le configurazioni del router casilingo, acquistare servizi aggiuntivi a carico degli utenti.

Emilio ha diffuso un PDF in cui viene spiegata dettagliatamente la vulnerabilità ed ha creato un POC per dimostrare la vulnerabilità XSS accessibile da questo collegamento.

Alberto Fontanella ha recentemente trovato notevoli exploit di sicurezza all’interno del CMS Italiano basato sul linguaggio ASP, ASPCode CMS.

Le falle risulterebbero affliggere la versione 1.5.8 e precedenti e sfruttano XSS (Cross-site scripting),  CSRF (Cross-site request forgery) e SQL Injection; dopo il salto…tutti gli exploit!

Continua a leggere