Поучительная история развивается (http://arstechnica.com/security/2013/05/app-developer-calls-... вокруг открытой панели управления хостингом ZPanel (http://www.zpanelcp.com/), разработчики которой пренебрежительно отвечали на критику об использовании небезопасного стиля кодирования (например, использование eval, прямая подстановка переменных из массива $_POST в запросы SQL, наличие процесса zsudo для запуска любого кода ZPanel с правами root). Критика игнорировалась даже при демонстрации конкретных уязвимостей.
Создатели ZPanel ссылались на то, что они Web-разработчики, а не эксперты по безопасности. Кроме того, разработчики излишне доверяли результатам ранее заказанного стороннего аудита кода, который судя по всему являлся лишь формальной и поверхностной проверкой. Если явная уязвимости, которая позволяла поменять пароль администратора, была исправлена, то спорная проблема в системе шаблонов оставалась (http://www.lowendtalk.com/discussion/10391/the-security-trai... неисправленной более 8 месяцев, после чего выявивший недоработку энтузиаст публично опубликовал (http://seclists.org/fulldisclosure/2013/Apr/139) данные о методе эксплуатации. Уязвимость позволяла выполнить произвольный PHP-код с правами root.
Авторы ZPanel отказались признать это серьёзной проблемой, так как для эксплуатации уязвимости требуется загрузки шаблона, а эта операции доступна только пользователю с правами администратора, реселлеры по умолчанию не имеют доступа к загрузке шаблонов. При этом несмотря на запрет по умолчанию, при изменении настроек штатная возможность загрузки шаблона реселлером имеется, т.е. при включении функции изменения внешнего вида интерфейса, любой получивший право перепродавать услуги хостинга может выполнить свой код с правами root на сервере.
Так же принципиально не исправлялись проблемы с возможностью осуществления межсайтовых запросов (CSRF (http://ru.wikipedia.org/wiki/CSRF)), которые не признавались авторами как уязвимости. После возобновления попыток доказать в форуме проекта, что нужно переработать подход к безопасности в ZPanel, представители проекта в достаточно грубой и неуважительной форме показали энтузиасту его место и охарактеризовали его критику как "fucken little know it all".
Спустя несколько дней, от имени лидера разработки ZPanel в форуме было опубликовано сообщение о закрытии проекта в связи с невозможностью обеспечить безопасность кода. Как оказалось, данное сообщение было отправлено злоумышленниками после взлома ряда служебных аккаунтов разработчиков. Кроме того, в сети были опубликованы скриншот (http://i.imgur.com/UAKE40Y.png) входа с правами root на один из серверов инфраструктуры ZPanel и файл (https://bin.defuse.ca/3nr4LYRdSUwllXtl7uc4NF) с хэшами паролей некоторых участников проекта. В настоящее время работа сайта ZPanel остановлена и ведётся разбор причин инцидента. По сведению от администраторов инфраструктуры ZPanel, злоумышленники смогли получить полный контроль над сервером одного из сотрудников компании, на котором размещался модуль ZPanelCP, в котором имелась неисправленная уязвимость, позволяющая осуществить подстановку SQL-запроса. Сведения о способе взлома аккаунтов на форуме проекта не сообщаются.
URL: http://arstechnica.com/security/2013/05/app-developer-calls-.../
Новость: http://www.opennet.ru/opennews/art.shtml?num=36943
){kind=link}
