This article is an automated machine-translation of an article in English. We know the translation isn't perfect, but we hope it's useful for people who don't read English.

Site do DHS é vítima de intrusão hacktivista

Filed Under: Featured, Security threats

NullCrew grupo hacktivista anunciou recentemente uma invasão bem sucedida (embora intrusionette pode ser uma palavra melhor) contra um site na hierarquia do domínio DHS.GOV.

DHS, é claro, é os Estados Unidos Departamento de Segurança Interna.

O site foi intrusionetted studyinthestates.dhs.gov, destinado a ajudar os estrangeiros descobrir se e como eles podem ser capazes de estudar em escolas norte-americanas, faculdades e universidades.

Parece que o site estava vulnerável ao que é conhecido como uma passagem de diretório vulnerabilidade.

É aí que você construir uma URL que convence o servidor para navegar até uma parte do servidor web você não deveria ser capaz de acessar e recuperar o conteúdo de lá.

Imagine, por exemplo, que o seu servidor web hospeda um arquivo que está disponível através da URL http://example.org/private.dat, mas para usuários registrados apenas.

Se o servidor se deparasse com um pedido GET não autorizado para / private.dat, você esperaria que negar o pedido.

Mas o seu servidor precisa ser cuidado para que ele não se deixa se enganado, por exemplo, uma solicitação para recuperar um arquivo, como / subdir /.. / Private.dat vez.

Se você começar a examinar o nome do arquivo a partir da esquerda, ele não se parece com um arquivo no diretório raiz, porque não há um nome de diretório (/ subdir /) primeiro. Mas o que se seguiu .. /, o que denota "diretório pai para o que eu estou no momento", salta de volta para um nível acima, anulando as para baixo passo inicial em subdir.

Nomes de arquivos com caminhos que conduzem para cima em seu sistema de arquivamento são sempre um risco. Ao subir para cima, um invasor pode ser capaz de passear "up-e-sobre-e-desce" em partes de outra forma, proibido da árvore do seu servidor web diretório.

Em casos realmente ruins, os atacantes podem até ser capaz de içar-se para fora da árvore de seu servidor web diretório completamente, e para o resto do sistema de arquivamento.

Isso pode dar-lhes acesso a arquivos de senha e configuração para o sistema operacional em si, ou por outro software em execução no mesmo servidor.

Manuseio inadequado de cima líderes de nomes parece ter sido o que estava errado sobre o Estudo no site Estados.

Parece que um script PHP responsável por um repositório de download foi imprudente no manuseio argumento. A URL do tipo:

 http://example.org/known/dir/download.php?file=somename.dat 

poderia ser abusado com um pedido como este:

 http://example.org/known/dir/download.php?file=../../private.dat 

Isso, ao que parece, fez com que o script de download mal-configurado para navegar para cima na árvore do servidor web diretório, recuperação de dentro de um arquivo que teria sido bloqueado se tivesse sido baixado diretamente do exterior.

A falha parece ter sido corrigido agora, mas se NullCrew estão a ser acreditado (e vamos supor que eles podem estar aqui), este buraco foi usado para buscar o arquivo de configuração do WordPress, aparentemente incluindo a localização do banco de dados de back-end e senha. Este arquivo de configuração foi depois publicada em um site de queda publicamente disponíveis.

Infelizmente, se os cabeçalhos HTTP retornado pelo estudo no site Estados estão dizendo a verdade, ainda há um pouco mais de remendar a ser feito.

Certamente algum erro?

O site informa que ele está correndo Apache 2.2.3 no Red Hat, e PHP 5.3.3. Enquanto escrevo isso, essas versões realmente deve ser PHP 5.3.20 e servidor web Apache 2.2.23 .

Por que não usar isso como uma chamada à ação para seus servidores próprios web em 2013?

  • Certifique-se de que você tenha atualizado com as últimas correções de segurança para todos os componentes de back-end que você usa. Atacantes ler as listas de discussão de vulnerabilidade, para que eles já sabem como quebrar a seus servidores sem correção.
  • Considere executar um Web Application Firewall (WAF) para vasculhar o tráfego web de entrada para os pedidos falsos ou de risco para o futuro. Isso ajuda a proteger os seus servidores web de ataques, que ainda não desconhecidas.
  • Realizar testes de penetração regulares contra suas próprias propriedades da web para se certificar de que truques como travessias de diretório são bloqueados e registrados.

Uma rápida olhada em seus logs do servidor web quase certamente revelam um grande número de (provavelmente automatizada) ataques baseados em URLs de aparência estranha que as esperanças atacante sneak após suas defesas.

Não é uma questão de se, ou até mesmo de quando, você pode ser atacado. Se você está convidando as solicitações de entrada da web, você já está sob ataque!

Executando um servidor web em casa?

Por que não experimentar o livre Sophos UTM Home Edition ?

Você começa web e filtragem de e-mail, firewall de aplicação web, IPS, VPN e mais para até 50 endereços IP. Você também pode proteger até 12 PCs com Windows na sua rede com o Sophos Anti-Virus!

(Nota:. Registro obrigatório)

You might like

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out / Change )

Twitter picture

You are commenting using your Twitter account. Log Out / Change )

Facebook photo

You are commenting using your Facebook account. Log Out / Change )

Google+ photo

You are commenting using your Google+ account. Log Out / Change )

Connecting to %s

About the author

Paul Ducklin is a passionate security proselytiser. (That's like an evangelist, but more so!) He lives and breathes computer security, and would be happy for you to do so, too. Paul won the inaugural AusCERT Director's Award for Individual Excellence in Computer Security in 2009. Follow him on Twitter: @duckblog