Zero
Per almeno tre anni, gli hacker hanno abusato del giorno zero in uno dei più popolari plugin di jQuery per impianto shell web e prendere il controllo web server vulnerabili, ZDNet ha imparato.
La vulnerabilità, impatti jQuery Upload di File plugin creato da prodigiosa tedesco sviluppatore Sebastian Tschan, più comunemente noto come Blueimp.
Il plugin è il secondo protagonista jQuery progetto su GitHub, dopo il framework jQuery. È immensamente popolare, si è biforcuta oltre 7,800 volte, ed è stata integrata in centinaia, se non migliaia, di altri progetti, come Cms, Crm, soluzioni Intranet, plugin di WordPress, Drupal add-ons, i componenti Joomla, e così via.
Una vulnerabilità in questo plugin sarebbe devastante, in quanto potrebbe aprire bocca aperta buchi di sicurezza in un sacco di piattaforme installate in un sacco di luoghi sensibili.
Questo lo scenario peggiore è esattamente quello che è successo. All’inizio di quest’anno, Larry Cashdollar, un ricercatore di sicurezza per Akamai SIRT (Security Intelligence Response Team), ha scoperto una vulnerabilità nel plugin di codice che gestisce l’upload di file per server PHP.
Cashdollar dice che gli aggressori possono abusare di questa vulnerabilità per caricare file dannosi sul server, ad esempio backdoor web e conchiglie.
Akamai ricercatore dice che la vulnerabilità è stata sfruttata. “Ho visto cose nel lontano 2016”, il ricercatore ha detto ZDNet in un’intervista.
La vulnerabilità è stata una delle peggiori segreti della scena hacker e sembra essere stata sfruttata, anche prima del 2016.
Cashdollar trovato diversi video di YouTube che contiene tutorial su come si potrebbe sfruttare il File di jQuery plugin di Caricamento di vulnerabilità di prendere in consegna i server. Uno dei tre video di YouTube Cashdollar condiviso con ZDNet è datato agosto 2015.
È abbastanza chiaro dal video che la vulnerabilità è stata ampiamente noto hacker, anche se è rimasto un mistero per infosec comunità.
Ma i passaggi sono adesso. La vulnerabilità ha ricevuto il CVE-2018-9206 identificatore all’inizio di questo mese, un buon punto di partenza per ottenere più gente a prestare attenzione.
Tutti jQuery Caricamento di File di versioni prima di 9.22.1 sono vulnerabili. Poiché la vulnerabilità interessato il codice per la gestione di file di upload per le applicazioni PHP, altre implementazioni sul lato server dovrebbe essere considerato sicuro.
Cashdollar segnalato il giorno zero per Blueimp all’inizio del mese, che ha prontamente esaminato la relazione.
Lo sviluppatore dell’indagine individuati, la vera fonte di vulnerabilità non con il plugin del codice, ma in un cambiamento nella Web Server Apache progetto risalente al 2010, che indirettamente influenzato il plugin comportamento previsto su server Apache.
Il rilascio effettivo risale a novembre 23, 2010, pochi giorni prima di Blueimp ha lanciato la prima versione del suo plugin. Quel giorno, la Apache Foundation ha rilasciato la versione 2.3.9 di Apache HTTPD server.
Questa versione non era nulla fuori dell’ordinario, ma è incluso un cambiamento importante, almeno in termini di sicurezza. A partire da questa versione, il Apache HTTPD server ha un’opzione che consentirebbe ai proprietari del server di ignorare le impostazioni di sicurezza personalizzate fatte a singole cartelle via .file htaccess. Questa impostazione è stata fatta per motivi di sicurezza, è stata attivata per impostazione predefinita, e rimase così per tutti i successivi Apache HTTPD server release.
Blueimp il File jQuery plugin di Caricamento è stato codificato contare su una custom .il file htaccess per imporre restrizioni di sicurezza per la sua cartella per l’upload, senza sapere che cinque giorni prima, il Apache HTTPD squadra ha fatto una modifica di rilievo che hanno minato il plugin di base del design.
“Internet si basa su molti controlli di sicurezza, ogni giorno, per mantenere i nostri sistemi, dati e transazioni al sicuro e sicure,” Cashdollar ha detto in un rapporto pubblicato oggi. “Se uno di questi controlli, improvvisamente, non esiste, potrebbe mettere a rischio la sicurezza inconsapevolmente per gli utenti e gli sviluppatori di software contare su di loro.”
Dal notificante Blueimp circa la sua scoperta, Cashdollar ha trascorso il suo tempo studiando la portata di questa vulnerabilità. La prima cosa che ha fatto è stato a guardare tutti i GitHub forcelle che hanno germogliato dal plugin originale.
“Ho fatto il test di 1000 fuori la 7800 del plugin forcella da GitHub, erano tutti sfruttabili,” Cashdollar detto a ZDNet. Il codice è stato utilizzando per questi test è disponibile su GitHub, insieme con un proof-of-concept per l’effettivo difetto.
In questo articolo la pubblicazione di tutti i progetti derivata dall’originale e File di jQuery plugin di Caricamento, e che il ricercatore testato, solo il 36 non erano vulnerabili.
Ma c’è ancora un sacco di lavoro davanti a noi, come molti progetti restano ancora da testare. Il ricercatore ha già notificato l’US-CERT di questa vulnerabilità e il suo possibile impatto. Un passo successivo, Cashdollar detto a ZDNet, è quello di raggiungere GitHub per aiutare ad avvisare tutti i plugin forcella proprietari del progetto.
Ma guardando in GitHub forcelle è solo il primo passo. Ci sono innumerevoli applicazioni web in cui il plugin è stato integrato. Un esempio è Tajer, un plugin per WordPress che Cashdollar identificati come vulnerabili. Il plugin avuto pochissimi download, e come di oggi, è stata tolta l’ufficiale di WordPress Plugins repository e non è disponibile per il download di più.
L’identificazione di tutti i progetti interessati e stomping su questa vulnerabilità vorranno anni. Come è stato dimostrato molte volte in passato, la vulnerabilità tendono a rimanere per lungo tempo, in particolare vulnerabilità plugin che sono stati profondamente radicata in progetti più complessi, come il Crm, Cms, piattaforme di blogging, o soluzioni enterprise.
RELATIVI COPERTURA:
Oracle patch 301 vulnerabilità, di cui 46 con 9,8+ di gravità , Dopo due decenni di PHP, siti ancora esporre dati sensibili tramite la modalità di debugChrome, Edge, IE, Firefox e Safari, per disattivare TLS TLS 1.0 e 1.1 nel 2020Microsoft JET vulnerabilità ancora aperti agli attacchi, nonostante le recenti patchdi Microsoft Windows vulnerabilità zero-day diffusi attraverso Twitter TechRepublicQuesti popolari telefoni Android è venuto con vulnerabilità pre-installato CNETGitHub avvisi di sicurezza ora il supporto Java e .NET progettiOpen source di web hosting software compromesso con DDoS malware
Argomenti Correlati:
Di sicurezza, TV
La Gestione Dei Dati
CXO
Centri Dati
0