Активная XSS уязвимость в IP.Board v2.3.6

    Обнаружена новая уязвимость в парсере BBCode в форумных скриптах IP.Board линейки 2.х. В частности затронута версия 2.3.6.

    Уязвимость эксплуатирует ошибку в обработке нескольких вложенных друг в друга тегов и позволяет вставлять на страницы форума произвольный HTML и JavaScript-код.

    update: тут был пример использования уязвимости, убрал

    Вредоносный код срабатывает в подписях. В теле сообщения возможно только нарушение разметки страницы, javascript-эвенты отфильтровываются. IPS и IBR поставлены в известность, но реакции пока не последовало. Инфа уже расползается по форумам, на многих уже запощен эксплоит. В качестве временного решения предлагаю единственный вариант — отключить использование BBCODE в подписях и тег acronym. Версия 3.х уязвимости не подвержена.

    Источник — пользователь fagediba, чей форум был таким образом взломан: http :// forums.ibresource.ru/index.php?showtopic=60138 (beware of habraeffect!)
    update: сделал скриншот эксплойтнутого форума — вместо того чтобы идти по ссылке выше, можно просто посмотреть его под катом.

    З.Ы. И пусть IPB-админы, читающие Хабр, будут предупреждены первыми.
    З.З.Ы. Текст составлен одним из администраторов IP.Board форумов, сложное решение разместить его тут принял лично я.
    UPDATE: тут была ссылка на поломанную страницу с офф. форума, но ее уже подчистили. Однако вывод — IPB v3.x тоже подвержена действию эксплойта


    image

    Комментарии 41

      0
      link — уязвимости уже несколько месяцев, и судя повсему 3.х тоже подвержена ей.
        –1
        В «тройке» не работает. Проверил. Ссылку не даю — во избежание хабраэффекта, IPBv3 стоит на домашней машине :)
          0
          Видимо, плохие из нас хакеры… В топике выложил пруф — ломаный кусок форума IPB-related сообщества. А он же тоже на «тройке»…
          –1
          У Вас vbullletin, а речь про Ivision Power Board, насколько я понял)
            0
            Где vbulletin????
          +1
          А можно хотя бы картинку под кат спрятать? Больно уж она большая.
            +1
            Спрятал.
            0
            Вы выложили описание уязвимости тут чтобы пол интернета взломали друг друга? Может лучше было сказать или продать разработчикам…
              +1
              Чуть выше по тексту — разработчики в курсе. И эксплойт уже начал свой путь по городам и весям (читай — на десятке тематических форумов уже есть). Вопрос неоднозначен, но пусть лучше все знают и предпринимают меры по защите, чем знать только тем, кто целенаправленно занимается взломом?
                0
                Тем кто ломает за деньги и хорошо разбирается не нужен этот эксплоит.
                Эксплоитом будут пользоваться в основном школьники, цель большинства разрушать и совершать дефейсы, и это самые опасные люди.
                  +1
                  Убрал из топика пример использования уязвимости. Так оно лучше будет, в чем то вы правы.
                    0
                    зато ниже на скриншоте есть пример
                      +2
                      Внатуре я баран >< правлю…
              +2
              Что и требовалось ожидать — не перевелись еще идиоты, делающие парсеры тегов на голых регекспах.
                –1
                вы предлагаете способ с одетыми регекспами?
                  –2
                  Я предлагаю учить основы парсинга. Например, лексический, синтаксический и семантический анализ.
                    –1
                    парсер парсеров на пхп?
                  0
                  и не переведутся. потому что это просто и удобно. и быстро. да и идиотами они являются только в воображении всякой там школоты, недавно осилившей «хелло, ворлд» написать
                    +1
                    Для домашней странички Василия Пупкина — пойдет.
                    Для сайта посерьезней — нет, т.к. не будет выполнять свою функцию, отсюда нерабочий вариант не может быть ни простым, ни удобным, ни быстрым.

                    1) Отсутствие отладки.
                    2) Человеческий фактор.
                    3) Сложность поддержки и доработки(!!)

                    BB теги оставим тем, кому надо лишь u/i/b, для чего-то сложного не пойдет по указанным выше причинам.
                  +4
                  ндя, а я как то с год назад перестал следить за багтраками, надо бы снова начать.
                    +1
                    если снова начнешь, потом совсем не сможешь бросить.
                    +1
                    Пока школьники спят, быстренько отключим BBCode acronym.
                    [b]Narical[/b] спасибо.
                      0
                      Упс, и тут BBCode
                      Narical, спасибо за информацию еще раз.
                      0
                      Большое спасибо за информацию. Я отключил BBCode в подписях, но достаточно ли этого, если я не запретил тег acronym? (просто пока не нашел, где его запретить).

                      Я не умею проверить уязвим ли еще форум или нет, прошу помочь с проверкой — кто умеет — в личку напишите, скажу адрес форума, или в Личку киньте код для примера, который нужно разместить в подписи. Спасибо.
                        +3
                        копипаста с форума:
                        — дыра известна давно, еще с прошлого года.
                        — дыра есть и в 2.х, и в 3.х и связана с обработкой вложенных кодов,
                        — дыра явно активно эксплуатировалась всякими темными личностями и на публику попала случайно,
                        — в 2.х из-за дыры есть активная XSS (используется в подписях), что грозит вам уводом cookies, сиречь, сессии,
                        — в 3.х из-за дыры пока удается только попортить разметку страницы, однако, некоторые хакеры пишут о так же рабочей XSS,
                        — в 2.х проблема, вероятно, решается отключением BBCode в подписях и удалением тега acronym,
                        — в 3.х следует запретить обработку вложенных тегов для email, url, font, member, topic, blog, post, acronym, background. Возможно, другие теги так же уязвимы — не проверял.

                        Все примеры кода, ссылки на хакерские форумы и примеры использования эксплоитов высланы саппортам IPS и IBR.

                        Насчет «решается удаление тега acronym» — его надо выпиливать из кода IPB, что сложно. Но в принципе, ничего страшнее порушенной разметки он не несет — главное подписи отключить.
                          0
                          Пример на скрине — это как раз использование тега acronym. Насколько это страшно — решать вам. С другой стороны, это не увод сессии и не полный контроль над админкой.
                            +1
                            Прошу еще раз уточнить. Мне не до конца понятно.
                            Я вижу на скрине красный прямоугольник с текстом предупреждения, порушенной разметки не вижу.
                            Это предупреждение, и есть «порушенная разметка»?
                              +2
                              Угу. Это показательный, а не злонамеренный взлом форума.
                                0
                                То, что показательный — я понял.
                                А то, что это как раз получается при использовании acronym — айяйяй!

                                Придется «выпиливать» из кода. Только пока не знаю как.

                                Мне кажется, где-то в настройках это можно регулировать, не уверен. буду рюхать.
                            0
                            Код в подписях отключил спасибо!
                          0
                          После того как я перешел с phpbb на ipb много лет тому назад — не помню, чтобы меня волновали подобные новости. А тут на тебе… Спасибо, всё везде запретил =)
                            0
                            Аналогично, турецкие хакеры замучали в свое время дефейсить phpBB, аналогично, перешел на ipb

                            Утоните, пожалуйста, каким образом запретили использование тега acronym?
                              +4
                              Как рекомендуют выше:

                              в 2.6 удалил: Управление -> Дополнительные BB-коды -> Список BB-кодов

                              в 3 запретил разбор вложенных кодов: Внешний вид -> Содержимое сообщений -> BB-коды

                              +1
                              Он не является встроенным в парсер. Достаточно зайти в админцентр, найти там управление дополнительными ББ-кодами и удалить оттуда этот ББ-код.
                              Советую вам перечитать документацию к форуму, иначе вам могут угрожать более безобидные проблемы.
                                +1
                                Спасибо, уже удалил.

                                Документацию — да, поставил себе в туду.
                            0
                            А у меня 20 форумов. Во все админки ручками не налазишься. :(
                            Поступил проще — в модуле сохранения подписей профиля пользователя добавляю синтаксическую ошибку в написание всех ивентов по маске on* (функция do_signature() в файле \sources\lib\func_usercp.php)

                            function do_signature()
                            ...
                            // Parse post
                            ...
                            $this->ipsclass->input['Post'] = preg_replace( "/on(.?)/i" , "-n\\1" , $this->ipsclass->input['Post'] );


                            А потом уже по наработанной схеме автоматом по ftp пачкой рассылаю изменения на форумы.
                            На первое время должно помочь, пока не придумают что-нибудь более гениальное.
                            • НЛО прилетело и опубликовало эту надпись здесь
                                +1
                                Последние новости, Ritsuka@IBR:
                                Исправлено и для 2.3.6, и для 3.0.5. Патчи от IPS будут выложены сегодня.
                                  0
                                  один с авторов данной уязвимости попросил опубликовать этот комментарий

                                  каждый из админов (разговор шёл с тремя дядьками) или главных девелоперов, с которыми была осуществлена попытка «договориться» о раскрытии уязвимостей за некоторое материальное вознаграждение был повергнут в крайнюю степень недоумения. и с неподдельным и искренним удивлением они давали понять, мол, «такого способа поощрения не существует и вовсе, и мы впервые с таким сталкиваемся и не знаем что с вами делать». и это слова конторы, которая продаёт свой код.


                                  а вот она была опубликована еще в 2008 году.
                                  для связи с автором можно использовать следующий емейл brainpillow@gmail.com, а еще туда можно отправить инвайт (:

                                Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.

                                Самое читаемое