This article is an automated machine-translation of an article in English. We know the translation isn't perfect, but we hope it's useful for people who don't read English.

Sitio web del DHS es víctima de intrusión hacktivista

Filed Under: Featured, Security threats

NullCrew grupo hacktivista anunció recientemente una intrusión exitosa (aunque intrusionette podría ser una palabra mejor) en contra de un sitio web en la jerarquía de dominios DHS.GOV.

DHS, por supuesto, es el United States Department of Homeland Security.

El sitio fue intrusionetted studyinthestates.dhs.gov, destinado a ayudar a los extranjeros averiguar si y cómo podrían ser capaces de estudiar en escuelas de Estados Unidos, colegios y universidades.

Parece como si el sitio era vulnerable a lo que se conoce como una vulnerabilidad de directorio transversal.

Ahí es donde se construye un URL que persuade al servidor para navegar a una parte del servidor web no se supone que es capaz de acceder y recuperar contenido desde allí.

Imaginemos, por ejemplo, que el servidor web recibe un archivo que está disponible a través de la URL http://example.org/private.dat, pero para usuarios registrados únicamente.

Si el servidor fuera a ver a un no autorizado solicitud GET para / private.dat, se espera también para rechazar la solicitud.

Sin embargo, su servidor tiene que tener cuidado de que no se deja engañar conseguir, por ejemplo, una solicitud para recuperar un archivo como / subdir /.. / Private.dat lugar.

Si usted comienza a examinar el nombre del archivo de la izquierda, que no se parece a un archivo en el directorio raíz, porque no hay un nombre de directorio (/ subdir /) en primer lugar. Pero la siguiente .. /, que significa "directorio padre al que yo estoy en este momento", salta de nuevo a un nivel superior, anulando de esta manera hacia abajo paso inicial en subdir.

Los nombres de archivo con las rutas que llevan hacia arriba en su sistema de archivos es siempre un riesgo. Al subir hacia arriba, un atacante puede ser capaz de vagar "up-and-over-and-down" en partes de otro tipo, prohibidas del árbol de directorios de su servidor web.

En casos muy malos, los atacantes podrían incluso ser capaces de izar fuera del árbol de directorios del servidor web por completo, y en el resto del sistema de archivo.

Esto podría darles acceso a los archivos de contraseñas y la configuración para el sistema operativo en sí mismo, o para otro software que se ejecuta en el mismo servidor.

Manejo deficiente de los principales nombres de archivos hacia arriba parece haber sido lo que estaba mal en el estudio en el sitio web de Estados Unidos.

Parece como si un script PHP responsable de un repositorio de descarga ha sido imprudente en su manejo argumento. Una dirección URL del tipo:

 http://example.org/known/dir/download.php?file=somename.dat 

podría ser objeto de abuso con una petición como esta:

 http://example.org/known/dir/download.php?file=../../private.dat 

Esto, al parecer, hizo que el script de descarga mal configurado para navegar hacia arriba en el árbol de directorios del servidor web, recuperar desde el interior de un archivo de lo que hubiera sido bloqueado si se hubiera descargado directamente desde el exterior.

La culpa parece haber sido parcheado ahora, pero si NullCrew hay que creer (y supongamos que puedan estar aquí), este agujero se utiliza para recuperar el archivo de configuración de WordPress, que aparentemente incluye la base de datos back-end y contraseña. Este archivo de configuración fue publicado en un sitio de caída disponible al público.

Lamentablemente, si las cabeceras HTTP que devuelve el estudio en el sitio web de Estados están diciendo la verdad, todavía hay algunos parches más por hacer.

Seguramente algún error?

El sitio informa que se está ejecutando Apache 2.2.3 en Red Hat, y PHP 5.3.3. Mientras escribo esto, las versiones debería ser PHP 5.3.20 y Apache web server 2.2.23 .

¿Por qué no utilizar esto como un llamado a la acción para sus propios servidores web en 2013?

  • Asegúrese de que ha actualizado con los últimos parches de seguridad para todos los componentes de back-end que utilice. Los atacantes leer las listas de correo de vulnerabilidad, por lo que ya sabe cómo irrumpir en sus servidores no actualizados.
  • Considere llevar un firewall de aplicación Web (WAF) para rastrear el tráfico de Internet entrante para pedidos falsos o de riesgo de futuro. Esto ayuda a proteger a sus servidores web de los ataques, que aún no desconocidos.
  • Realizar pruebas de penetración periódicas contra sus propias propiedades web para asegurarse de que trucos como recorridos de directorio se bloquean y se registran.

Un rápido vistazo a los registros del servidor web es casi seguro que revelan un gran número de (probablemente automatizar) ataques basados ​​en direcciones URL de aspecto extraño que las esperanzas atacante colar a través de sus defensas.

No es una cuestión de si, o incluso de cuando, puede ser atacado. Si vas a invitar a peticiones entrantes web, que ya está bajo ataque!

Ejecutar un servidor web en casa?

¿Por qué no probar el libre Sophos UTM Home Edition ?

Usted obtiene web y filtrado de correo electrónico, firewall de aplicaciones web, IPS, VPN y más para un máximo de 50 direcciones IP. También puede proteger hasta 12 PCs con Windows en su red de Sophos Anti-Virus!

(Nota:. Requiere registro)

You might like

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out / Change )

Twitter picture

You are commenting using your Twitter account. Log Out / Change )

Facebook photo

You are commenting using your Facebook account. Log Out / Change )

Google+ photo

You are commenting using your Google+ account. Log Out / Change )

Connecting to %s

About the author

Paul Ducklin is a passionate security proselytiser. (That's like an evangelist, but more so!) He lives and breathes computer security, and would be happy for you to do so, too. Paul won the inaugural AusCERT Director's Award for Individual Excellence in Computer Security in 2009. Follow him on Twitter: @duckblog