Nul
I mindst tre år, hackere har misbrugt en nul-dag, i en af de mest populære jQuery plugins til at plante web skaller og tage over sårbare webservere, ZDNet har lært.
Sårbarheden påvirker jQuery Fil Upload plugin forfattet af uhyre tyske udvikler Sebastian Tschan, mest kendt som Blueimp.
Dette plugin er det andet mest spillede jQuery projekt på GitHub, efter jQuery ramme i sig selv. Det er uhyre populær, har været kløvet over 7,800 gange, og er blevet integreret i hundredvis, hvis ikke tusinder, af andre projekter, såsom cms ‘ er, Crm, Intranet løsninger, WordPress, Drupal add-ons, Joomla komponenter, og så videre.
En sårbarhed i dette plugin vil være ødelæggende, da det kan åbne gabende sikkerhedshuller i en masse platforme, der er installeret i en masse følsomme steder.
Dette worse case scenario er præcis, hvad der skete. Tidligere dette år, Larry Cashdollar, en sikkerhedsekspert for Akamai er SIRT (Security Intelligence Response Team), der har opdaget en sårbarhed i plugin ‘ s kilde kode, der håndterer fil-uploads til PHP servere.
Cashdollar siger, at hackere kan misbruge denne svaghed til at overføre skadelige filer på servere, som bagdøre og web-skaller.
Den Akamai forsker siger, at sårbarheden er blevet udnyttet i naturen. “Jeg har set ting så langt tilbage som i 2016,” forskeren fortalte ZDNet i et interview.
Den sårbarhed, som var en af de værste holdes hemmeligheder af hacker-scene og ser ud til at have været aktivt udnyttet, selv før 2016.
Cashdollar fundet flere YouTube-videoer, der indeholder tutorials om, hvordan man kunne udnytte jQuery Fil Upload plugin sårbarhed til at tage over servere. En af de tre videoer på YouTube Cashdollar fælles med ZDNet er dateret August 2015.
Det er temmelig klart fra de videoer, at sårbarheden blev kendt, at hackere, selv om det forblev et mysterium for infosec fællesskabet.
Men skridt er nu taget for at løse det. Den sårbarhed, der er modtaget den CVE-2018-9206 identifikator tidligere i denne måned, er et godt udgangspunkt for at få flere folk til at betale opmærksomhed.
Alle jQuery Fil-Upload-versioner før 9.22.1 er sårbare. Da sårbarhed påvirket kode for håndtering af fil-uploads til PHP apps, andre server-side implementeringer bør betragtes som sikker.
Cashdollar rapporterede nul-dag til Blueimp i begyndelsen af den måned, som straks kiggede ind i rapporten.
Developer ‘s undersøgelser viste, at den sande kilde til sårbarhed ikke i plugin’ s kode, men i en ændring i Apache Web Server projekt, der går tilbage til 2010, hvilket indirekte er berørt plugin forventede adfærd på Apache servere.
Det reelle problem går tilbage til November 23, 2010, kun fem dage før Blueimp lancerede den første version af hans plugin. På denne dag, Apache Foundation har udgivet version 2.3.9 af Apache HTTPD-server.
Denne version var ikke noget ud over det sædvanlige, men det indeholdt en større forandring, i det mindste i form af sikkerhed. Begyndende med denne version, Apache HTTPD-serveren fik en mulighed, der ville tillade server ejere til at ignorere brugerdefineret sikkerhed indstillinger, der er foretaget til individuelle mapper via .htaccess filer. Denne indstilling blev foretaget af sikkerhedsmæssige årsager, var aktiveret som standard, og forblev således for alle efterfølgende Apache HTTPD-server-udgivelser.
Blueimp er jQuery Fil Upload plugin blev kodet til at stole på en tilpasset .htaccess fil til at pålægge sikkerhedsrestriktioner til sin upload mappe, uden at vide, at fem dage før, Apache HTTPD-teamet lavet en bryde ændring, der undergravede plugin ‘ s grundlæggende design.
“Internettet er afhængig af mange sikkerhedskontrol hver dag for at holde vores systemer, data og transaktioner så sikkert,” Cashdollar sagde i en rapport, der blev offentliggjort i dag. “Hvis en af disse kontroller pludselig ikke eksisterer, kan det sætte sikkerhed i fare ubevidst til brugerne og software-udviklere at stole på dem.”
Da anmeldende Blueimp om sin opdagelse, Cashdollar har brugt sin tid på at undersøge rækkevidden af denne svaghed. Den første ting, han gjorde, var at se på alle de GitHub gafler, der har spiret fra den oprindelige plugin.
“Jeg gjorde teste 1000 ud af de 7800 af plugin’ s gafler fra GitHub, og de var alle brugbare,” Cashdollar fortalte ZDNet. Den kode, han har været brug for disse tests er tilgængelig på GitHub, sammen med en proof-of-concept for den faktiske fejl.
I denne artikel offentliggørelsen, af alle de projekter, der er afledt fra den oprindelige jQuery Fil Upload plugin, og som forskeren testet, kun 36 ikke var sårbare.
Men der er stadig masser af arbejde forude, som mange projekter, der forbliver uprøvet. Forskeren har allerede meddelt US-CERT af denne svaghed og dens mulige konsekvenser. Næste skridt er, at Cashdollar fortalte ZDNet, er at nå ud til GitHub for at hjælpe med at anmelde alle plugin gaffel projektet ejere.
Men ser man ind i GitHub gafler er kun det første skridt. Der er et utal af web-applikationer, hvor dette plugin er blevet integreret. Et eksempel er Tajer, en WordPress plugin, der Cashdollar identificeret som udsatte. Plugin havde meget få downloads, og som i dag, det er blevet taget fra den officielle WordPress repository, og er ikke tilgængelig for download længere.
At identificere alle de berørte projekter og trampet ud af denne sårbarhed vil tage år. Som det er blevet bevist mange gange i fortiden, sårbarheder har en tendens til at blive hængende i lang tid, især sårbarheder i plugins, der har været dybt indgroet i mere komplekse projekter, såsom Crm, cms ‘ er, blogging platforme, eller enterprise-løsninger.
RELATEREDE DÆKNING:
Oracle lapper 301 sårbarheder, heraf 46 med et 9.8+ sikkerhedsklassifikation Efter to årtier med PHP, steder stadig afsløre følsomme oplysninger via debug modeChrome, Edge, IE, Firefox og Safari for at deaktivere TLS 1.0 og TLS 1.1 i 2020Microsoft JET sårbarhed stadig åben for angreb, på trods af de seneste patchtil Microsoft Windows nul-dags sårbarhed offentliggøres via Twitter TechRepublicDisse populære Android telefoner der kom med sårbarheder pre-installeret CNETGitHub sikkerhedsadvarsler nu understøtter Java .NET-projekterOpen source web-hosting software på kompromis med DDoS-malware
Relaterede Emner:
Sikkerhed-TV
Data Management
CXO
Datacentre
0