Nul
Voor ten minste drie jaar, hackers misbruik van een zero-day in één van de meest populaire jQuery plugins te planten web schelpen en over te nemen van kwetsbare web servers, ZDNet heeft geleerd.
De kwetsbaarheid van invloed op de jQuery Bestand Upload plugin geschreven door wonderbaarlijke duitse ontwikkelaar Sebastian Tschan, het meest bekend als Blueimp.
De plug-in is de tweede meest ster jQuery project op GitHub, na het jQuery framework zelf. Het is immens populair is, is de v-vormige dan 7.800 keer, en is geïntegreerd in de honderden, zo niet duizenden, van andere projecten, zoals Cms, Crm, Intranet oplossingen, plugins WordPress, Drupal add-ons, Joomla componenten, enzovoort.
Een kwetsbaarheid in deze plugin zou verschrikkelijk zijn, als het kan open gapende gaten in de beveiliging in een heleboel platformen geïnstalleerd in een wat gevoelige plekken.
Dit slechter scenario is precies wat er gebeurde. Eerder dit jaar, Larry Cashdollar, een security-onderzoeker voor Akamai ‘ s SIRT (Security Intelligence Response Team), heeft ontdekt dat er een kwetsbaarheid in de plugin van de broncode die handvatten bestand-uploads naar PHP servers.
Cashdollar zegt dat kwaadwillenden misbruik kunnen maken van dit beveiligingslek te uploaden schadelijke bestanden op servers, zoals backdoors en web schelpen.
Het Akamai-onderzoeker zegt de kwetsbaarheid is misbruikt in het wild. “Ik heb gezien dat spul zo ver terug als 2016,” de onderzoeker vertelde ZDNet in een interview.
De kwetsbaarheid was een van de slechtst bewaarde geheimen van de hacker scene en werd actief misbruikt, zelfs vóór 2016.
Cashdollar van enkele YouTube-video ‘ s met tutorials over hoe men zou kunnen benutten van het jQuery Bestand Upload plugin kwetsbaarheid over te nemen servers. Een van de drie YouTube-video ‘ s Cashdollar gedeeld met ZDNet is gedateerd augustus 2015.
Het is vrij duidelijk van de video ‘ s die de kwetsbaarheid was algemeen bekend bij hackers, zelfs als het bleef een mysterie voor de infosec gemeenschap.
Maar de stappen die nu worden genomen om dit aan te pakken. De kwetsbaarheid ontvangen de CVE-2018-9206 identifier eerder deze maand, is een goed vertrekpunt om meer mensen te krijgen aandacht.
Alle jQuery Bestand Uploaden versies voor 9.22.1 zijn kwetsbaar. Sinds de kwetsbaarheid van invloed op de code voor de verwerking van bestand-uploads voor PHP apps, andere server-side implementaties moeten worden beschouwd als veilig.
Cashdollar meldde de zero-day te Blueimp aan het begin van de maand, die het onmiddellijk keek in het rapport.
De ontwikkelaar van het onderzoek vastgesteld dat de ware bron van de kwetsbaarheid niet in de plugin code, maar in een verandering van de Apache Web Server project stamt uit 2010, die indirect van invloed op de plugin is te verwachten gedrag op Apache-servers.
Het werkelijke probleem dateert van 23 November 2010, slechts vijf dagen voordat Blueimp lanceerde de eerste versie van de plugin. Op die dag, de Apache Foundation versie 2.3.9 van de Apache HTTPD server.
Deze versie was niet iets uit het gewone, maar het omvatte een grote verandering, althans in termen van veiligheid. Vanaf deze versie, de Apache HTTPD server kreeg een optie die het mogelijk maken de server eigenaren te negeren aangepaste beveiligings instellingen aan individuele mappen via .htaccess-bestanden. Deze instelling was om veiligheidsredenen, is standaard ingeschakeld, en dit bleef zo voor alle volgende Apache HTTPD server versies.
Blueimp het jQuery Bestand Upload plugin is geprogrammeerd om te vertrouwen op een aangepaste .htaccess-bestand te leggen veiligheid beperkingen aan de upload map, zonder te weten dat vijf dagen voor de Apache HTTPD team een breken wijzigen dat ondermijnde de plugin basic design.
“Het internet is gebaseerd op vele beveiligingscontroles elke dag in om te zorgen dat onze systemen, gegevens en transacties veilig en veilig,” Cashdollar zei in een rapport dat vandaag is gepubliceerd. “Als één van deze controles plotseling niet bestaat, kan de veiligheid in gevaar onbewust aan de gebruikers en software ontwikkelaars een beroep op hen.”
Sinds de kennisgeving van Blueimp over zijn ontdekking, Cashdollar is de besteding van zijn tijd onderzoek naar het bereik van deze kwetsbaarheid. Het eerste wat hij deed was kijken naar alle GitHub vorken die zijn ontsproten uit de originele plugin.
“Ik deed de test 1000 van de 7800 van de plugin vorken van GitHub, en daar waren ze worden misbruikt,” Cashdollar vertelde ZDNet. De code die hij gebruikt voor deze tests is beschikbaar op GitHub, samen met een proof-of-concept voor de werkelijke fout.
Op dit artikel is publicatie van alle projecten die zijn afgeleid van de oorspronkelijke jQuery Bestand Upload plugin, en dat de onderzoeker getest, slechts 36 waren niet kwetsbaar.
Maar er is nog veel werk aan de winkel, aangezien veel projecten blijven niet getest. De onderzoeker heeft al kennis US-CERT van dit probleem en de mogelijke gevolgen. Een volgende stap, Cashdollar vertelde ZDNet, is om uit te reiken naar GitHub voor hulp bij het aanmelden van de plugin vork project eigenaren.
Maar op zoek naar GitHub vorken is slechts de eerste stap. Er zijn talloze toepassingen van het web waar de plugin is geïntegreerd. Een voorbeeld is Tajer, een WordPress plugin die Cashdollar aangemerkt als kwetsbaar. De plugin hadden een paar downloads, en op de dag van vandaag, het is genomen uit de officiële WordPress Plugins archief en is niet beschikbaar voor download meer.
De identificatie van alle betrokken projecten en stampen uit deze kwetsbaarheid zal jaren in beslag nemen. Want het is vele malen bewezen in het verleden, kwetsbaarheden hebben de neiging om te blijven hangen voor een lange tijd, vooral kwetsbaarheden in de plug-ins die zijn diep geworteld in de meer complexe projecten, zoals Crm, Cms, blogging platforms, of enterprise oplossingen.
VERWANTE DEKKING:
Oracle patches 301 kwetsbaarheden, waarvan 46 met een 9.8+ prioriteitsniveau Na twee decennia van PHP, sites nog steeds gevoelige informatie via de debug modeChrome Rand, IE, Firefox en Safari uit te schakelen TLS 1.0 en TLS 1.1 in 2020Microsoft JET kwetsbaarheid nog steeds open voor aanvallen ondanks een recente patch voorMicrosoft Windows zero-day kwetsbaarheid bekendgemaakt via Twitter TechRepublicDeze populaire Android-telefoons kwam met kwetsbaarheden pre-geïnstalleerd CNETGitHub veiligheidswaarschuwingen nu ondersteuning biedt voor Java-en .NETTO projectenOpen source web hosting software in het gedrang komt met DDoS-malware
Verwante Onderwerpen:
Beveiliging TV
Data Management
CXO
Datacenters
0