Массовое поражение интернет-магазинов на базе osCommerce и блогов WordPress

Автор Zhek@Ch, 04 Августа 2011, 21:44

« предыдущая тема - следующая тема »

0 Пользователей и 1 Гость просматривают эту тему.

Zhek@Ch

В сети зафиксировано массовое поражение интернет-магазинов, построенных на базе свободной платформы osCommerce. События развиваются достаточно интенсивно, если 24 июля используя Google было выявлено около 90 тысяч страниц, содержащих вредоносные вставки, то 31 июля пораженных страниц было уже 3.8 миллиона, а 3 августа - 6.3 миллионов.

В процессе атаки эксплуатируется сразу несколько уязвимостей в различных выпусках osCommerce, позволяющих злоумышленнику внедрить свой JavaScript-код на страницы. В настоящий момент огромное число интернет магазинов продолжает оставаться на старых версиях платформы, но проблема касается не только их, например, среди используемых проблем безопасности упомянуты найденные 14 мая и 10 июля уязвимости, проявляющиеся в последней стабильной версии 2.3.1. Кроме того, в процессе атаки эксплуатируются еще как минимум три уязвимости в старой версии osCommerce 2.2, по прежнему активно используемой в сети.

Судя по анализу логов одного из взломанных интернет-магазинов атака производилась с нескольких украинских IP-адресов, код эксплоитов загружался с нескольких доменов в зоне "RU". После эксплуатации уязвимостей на страницы интернет-магазина внедряется несколько iframe-вставок и JavaScript-блоков с кодом для эксплуатации уязвимостей в клиентском ПО. Например, осуществляются попытки запуска вредоносного кода на машине клиента путем использования уязвимостей в Java, Adobe Reader, Windows Help Centre и Internet Explorer. На некоторые сайты, помимо изменения страниц, был внедрен бэкдор (web-shell), позволяющий организовать удаленный доступ к локальной файловой системе сервера и выполнение команд.

Другая угроза касается публикации информации об уязвимости в популярном дополнении Timthumb.php, используемом для изменения размера фотографий во многих визуальных темах к WordPress. Все темы WordPress, в состав которых входит Timthumb.php, подвержены опасной уязвимости, позволяющей злоумышленнику запустить свой PHP-код на сервере.

Проблема связана с тем, что при проверке домена с которого допускается загрузка фотографий используется оценка наличия маски в URL, т.е. злоумышленник может указать в качестве изображения адрес "http://blogger.com.somebadhackersite.com/badscript.php"; и Timthumb.php загрузит его в кэш, который является поддиректорией в корневом каталоге WordPress, в которой в 99% случаях оставлены полномочия запуска PHP-скриптов. В дальнейшем, PHP-код может быть выполнен после прямого обращения к загруженному в кэш файлу.

Уязвимость устранена в SVN-репозитории проекта, но исправления реализовано в лоб, через регулярное выражение для проверки корректности URL. Проблема с загрузкой файлов в кэш, в котором возможно выполнение PHP-файлов, не рассмотрена. В качестве временного решения рекомендуется убрать из массива allowedSites, присутствующего в файле timthumb.php, упоминание возможности прямой загрузки файлов с внешних сервисов, таких как flickr.com, picasa.com, img.youtube.com, wordpress.com, blogger.com и upload.wikimedia.org. Если функции изменения размера изображений не используются, то рекомендуется удалить файл timthumb.php с сервера.

В сети уже зафиксированы факты успешной эксплуатации уязвимости и загрузки на сервер web-консоли "Alucar Shell". По предварительной оценке, основанной на выборке потенциально проблемных страниц через Google, уязвимости подвержено около 39 миллионов сайтов, использующих скрипт timthumb.php. Для взлома скрипт не обязательно должен быть задействован на сайте, достаточно наличия возможности прямого обращения к нему через web.