Активная XSS уязвимость в IP.Board v2.3.6 / Информационная безопасность / Хабрахабр

Активная XSS уязвимость в IP.Board v2.3.6

Обнаружена новая уязвимость в парсере BBCode в форумных скриптах IP.Board линейки 2.х. В частности затронута версия 2.3.6.

Уязвимость эксплуатирует ошибку в обработке нескольких вложенных друг в друга тегов и позволяет вставлять на страницы форума произвольный HTML и Javascript-код.

update: тут был пример использования уязвимости, убрал

Вредоносный код срабатывает в подписях. В теле сообщения возможно только нарушение разметки страницы, javascript-эвенты отфильтровываются. IPS и IBR поставлены в известность, но реакции пока не последовало. Инфа уже расползается по форумам, на многих уже запощен эксплоит. В качестве временного решения предлагаю единственный вариант — отключить использование BBCODE в подписях и тег acronym. Версия 3.х уязвимости не подвержена.

Источник — пользователь fagediba, чей форум был таким образом взломан: http :// forums.ibresource.ru/index.php?showtopic=60138 (beware of habraeffect!)
update: сделал скриншот эксплойтнутого форума — вместо того чтобы идти по ссылке выше, можно просто посмотреть его под катом.

З.Ы. И пусть IPB-админы, читающие Хабр, будут предупреждены первыми.
З.З.Ы. Текст составлен одним из администраторов IP.Board форумов, сложное решение разместить его тут принял лично я.
UPDATE: тут была ссылка на поломанную страницу с офф. форума, но ее уже подчистили. Однако вывод — IPB v3.x тоже подвержена действию эксплойта

+19

7 марта 2010, 22:11

Narical

комментарии (41)

Wentix 7 марта 2010, 22:21 #

link — уязвимости уже несколько месяцев, и судя повсему 3.х тоже подвержена ей.

–1

Narical 7 марта 2010, 22:28 # ↑

В «тройке» не работает. Проверил. Ссылку не даю — во избежание хабраэффекта, IPBv3 стоит на домашней машине :)

Narical 8 марта 2010, 00:33 # ↑

Видимо, плохие из нас хакеры… В топике выложил пруф — ломаный кусок форума IPB-related сообщества. А он же тоже на «тройке»…

–1

RiderSx 8 марта 2010, 00:28 # ↑

У Вас vbullletin, а речь про Ivision Power Board, насколько я понял)

Narical 8 марта 2010, 00:35 # ↑

Где vbulletin????

Zyava 7 марта 2010, 22:41 #

А можно хотя бы картинку под кат спрятать? Больно уж она большая.

Narical 7 марта 2010, 22:53 # ↑

Спрятал.

betal 8 марта 2010, 00:18 #

Вы выложили описание уязвимости тут чтобы пол интернета взломали друг друга? Может лучше было сказать или продать разработчикам…

Narical 8 марта 2010, 00:30 # ↑

Чуть выше по тексту — разработчики в курсе. И эксплойт уже начал свой путь по городам и весям (читай — на десятке тематических форумов уже есть). Вопрос неоднозначен, но пусть лучше все знают и предпринимают меры по защите, чем знать только тем, кто целенаправленно занимается взломом?

betal 8 марта 2010, 00:37 # ↑

Тем кто ломает за деньги и хорошо разбирается не нужен этот эксплоит.
Эксплоитом будут пользоваться в основном школьники, цель большинства разрушать и совершать дефейсы, и это самые опасные люди.

Narical 8 марта 2010, 00:39 # ↑

Убрал из топика пример использования уязвимости. Так оно лучше будет, в чем то вы правы.

SkywalkerY 8 марта 2010, 01:04 # ↑

зато ниже на скриншоте есть пример

Narical 8 марта 2010, 01:10 # ↑

Внатуре я баран >< правлю…

nerezus 8 марта 2010, 00:21 #

Что и требовалось ожидать — не перевелись еще идиоты, делающие парсеры тегов на голых регекспах.

–1

v_k 8 марта 2010, 00:59 # ↑

вы предлагаете способ с одетыми регекспами?

–2

nerezus 8 марта 2010, 01:48 # ↑

Я предлагаю учить основы парсинга. Например, лексический, синтаксический и семантический анализ.

–1

v_k 8 марта 2010, 02:20 # ↑

парсер парсеров на пхп?

z123 8 марта 2010, 12:04 # ↑

и не переведутся. потому что это просто и удобно. и быстро. да и идиотами они являются только в воображении всякой там школоты, недавно осилившей «хелло, ворлд» написать

nerezus 8 марта 2010, 12:11 # ↑

Для домашней странички Василия Пупкина — пойдет.
Для сайта посерьезней — нет, т.к. не будет выполнять свою функцию, отсюда нерабочий вариант не может быть ни простым, ни удобным, ни быстрым.

1) Отсутствие отладки.
2) Человеческий фактор.
3) Сложность поддержки и доработки(!!)

BB теги оставим тем, кому надо лишь u/i/b, для чего-то сложного не пойдет по указанным выше причинам.

rdolgov 8 марта 2010, 00:40 #

ндя, а я как то с год назад перестал следить за багтраками, надо бы снова начать.

v_k 8 марта 2010, 01:01 # ↑

если снова начнешь, потом совсем не сможешь бросить.

r0ster 8 марта 2010, 01:17 #

Пока школьники спят, быстренько отключим BBCode acronym.
[b]Narical[/b] спасибо.

r0ster 8 марта 2010, 01:19 # ↑

Упс, и тут BBCode
Narical, спасибо за информацию еще раз.

SergeyProkofiev 8 марта 2010, 01:18 #

Большое спасибо за информацию. Я отключил BBCode в подписях, но достаточно ли этого, если я не запретил тег acronym? (просто пока не нашел, где его запретить).

Я не умею проверить уязвим ли еще форум или нет, прошу помочь с проверкой — кто умеет — в личку напишите, скажу адрес форума, или в Личку киньте код для примера, который нужно разместить в подписи. Спасибо.

Narical 8 марта 2010, 01:37 # ↑

копипаста с форума:

— дыра известна давно, еще с прошлого года.
— дыра есть и в 2.х, и в 3.х и связана с обработкой вложенных кодов,
— дыра явно активно эксплуатировалась всякими темными личностями и на публику попала случайно,
— в 2.х из-за дыры есть активная XSS (используется в подписях), что грозит вам уводом cookies, сиречь, сессии,
— в 3.х из-за дыры пока удается только попортить разметку страницы, однако, некоторые хакеры пишут о так же рабочей XSS,
— в 2.х проблема, вероятно, решается отключением BBCode в подписях и удалением тега acronym,
— в 3.х следует запретить обработку вложенных тегов для email, url, font, member, topic, blog, post, acronym, background. Возможно, другие теги так же уязвимы — не проверял.

Все примеры кода, ссылки на хакерские форумы и примеры использования эксплоитов высланы саппортам IPS и IBR.

Насчет «решается удаление тега acronym» — его надо выпиливать из кода IPB, что сложно. Но в принципе, ничего страшнее порушенной разметки он не несет — главное подписи отключить.

Narical 8 марта 2010, 01:43 # ↑

Пример на скрине — это как раз использование тега acronym. Насколько это страшно — решать вам. С другой стороны, это не увод сессии и не полный контроль над админкой.

SergeyProkofiev 8 марта 2010, 01:56 # ↑

Прошу еще раз уточнить. Мне не до конца понятно.
Я вижу на скрине красный прямоугольник с текстом предупреждения, порушенной разметки не вижу.
Это предупреждение, и есть «порушенная разметка»?

Narical 8 марта 2010, 01:59 # ↑

Угу. Это показательный, а не злонамеренный взлом форума.

SergeyProkofiev 8 марта 2010, 02:01 # ↑

То, что показательный — я понял.
А то, что это как раз получается при использовании acronym — айяйяй!

Придется «выпиливать» из кода. Только пока не знаю как.

Мне кажется, где-то в настройках это можно регулировать, не уверен. буду рюхать.

SergeyProkofiev 8 марта 2010, 01:50 # ↑

Код в подписях отключил спасибо!

kompo 8 марта 2010, 01:58 #

После того как я перешел с phpbb на ipb много лет тому назад — не помню, чтобы меня волновали подобные новости. А тут на тебе… Спасибо, всё везде запретил =)

SergeyProkofiev 8 марта 2010, 02:03 # ↑

Аналогично, турецкие хакеры замучали в свое время дефейсить phpBB, аналогично, перешел на ipb

Утоните, пожалуйста, каким образом запретили использование тега acronym?

kompo 8 марта 2010, 02:08 # ↑

Как рекомендуют выше:

в 2.6 удалил: Управление -> Дополнительные BB-коды -> Список BB-кодов

в 3 запретил разбор вложенных кодов: Внешний вид -> Содержимое сообщений -> BB-коды

SergeyProkofiev 8 марта 2010, 02:16 # ↑

Спасибо, удалил!

Sannis 8 марта 2010, 02:15 # ↑

Он не является встроенным в парсер. Достаточно зайти в админцентр, найти там управление дополнительными ББ-кодами и удалить оттуда этот ББ-код.
Советую вам перечитать документацию к форуму, иначе вам могут угрожать более безобидные проблемы.

SergeyProkofiev 8 марта 2010, 02:18 # ↑

Спасибо, уже удалил.

Документацию — да, поставил себе в туду.

rocket 8 марта 2010, 11:52 #

А у меня 20 форумов. Во все админки ручками не налазишься. :(
Поступил проще — в модуле сохранения подписей профиля пользователя добавляю синтаксическую ошибку в написание всех ивентов по маске on* (функция do_signature() в файле \sources\lib\func_usercp.php)

function do_signature()

...

// Parse post

...

$this->ipsclass->input['Post'] = preg_replace( "/on(.?)/i" , "-n\\1" , $this->ipsclass->input['Post'] );

А потом уже по наработанной схеме автоматом по ftp пачкой рассылаю изменения на форумы.
На первое время должно помочь, пока не придумают что-нибудь более гениальное.

НЛО прилетело и опубликовало эту надпись здесь

Sannis 8 марта 2010, 15:41 #

Последние новости, Ritsuka@IBR:

Исправлено и для 2.3.6, и для 3.0.5. Патчи от IPS будут выложены сегодня.

halkfild 10 марта 2010, 20:44 #

один с авторов данной уязвимости попросил опубликовать этот комментарий

каждый из админов (разговор шёл с тремя дядьками) или главных девелоперов, с которыми была осуществлена попытка «договориться» о раскрытии уязвимостей за некоторое материальное вознаграждение был повергнут в крайнюю степень недоумения. и с неподдельным и искренним удивлением они давали понять, мол, «такого способа поощрения не существует и вовсе, и мы впервые с таким сталкиваемся и не знаем что с вами делать». и это слова конторы, которая продаёт свой код.

а вот она была опубликована еще в 2008 году.
для связи с автором можно использовать следующий емейл brainpillow@gmail.com, а еще туда можно отправить инвайт (:

halkfild 10 марта 2010, 20:45 # ↑

ссылка потерялась forum.antichat.ru/showthread.php?t=96612

Только зарегистрированные пользователи могут оставлять комментарии. Войдите, пожалуйста.

Информационная безопасность