The OpenNET Project / Index page

[ новости/++ | форум | wiki | теги ]

04.08.2011 12:50  Массовое поражение интернет-магазинов на базе osCommerce и блогов WordPress

В сети зафиксировано массовое поражение интернет-магазинов, построенных на базе свободной платформы osCommerce. События развиваются достаточно интенсивно, если 24 июля используя Google было выявлено около 90 тысяч страниц, содержащих вредоносные вставки, то 31 июля пораженных страниц было уже 3.8 миллиона, а 3 августа - 6.3 миллионов.

В процессе атаки эксплуатируется сразу несколько уязвимостей в различных выпусках osCommerce, позволяющих злоумышленнику внедрить свой JavaScript-код на страницы. В настоящий момент огромное число интернет магазинов продолжает оставаться на старых версиях платформы, но проблема касается не только их, например, среди используемых проблем безопасности упомянуты найденные 14 мая и 10 июля уязвимости, проявляющиеся в последней стабильной версии 2.3.1. Кроме того, в процессе атаки эксплуатируются еще как минимум три уязвимости в старой версии osCommerce 2.2, по прежнему активно используемой в сети.

Судя по анализу логов одного из взломанных интернет-магазинов атака производилась с нескольких украинских IP-адресов, код эксплоитов загружался с нескольких доменов в зоне "RU". После эксплуатации уязвимостей на страницы интернет-магазина внедряется несколько iframe-вставок и JavaScript-блоков с кодом для эксплуатации уязвимостей в клиентском ПО. Например, осуществляются попытки запуска вредоносного кода на машине клиента путем использования уязвимостей в Java, Adobe Reader, Windows Help Centre и Internet Explorer. На некоторые сайты, помимо изменения страниц, был внедрен бэкдор (web-shell), позволяющий организовать удаленный доступ к локальной файловой системе сервера и выполнение команд.

Другая угроза касается публикации информации об уязвимости в популярном дополнении Timthumb.php, используемом для изменения размера фотографий во многих визуальных темах к WordPress. Все темы WordPress, в состав которых входит Timthumb.php, подвержены опасной уязвимости, позволяющей злоумышленнику запустить свой PHP-код на сервере.

Проблема связана с тем, что при проверке домена с которого допускается загрузка фотографий используется оценка наличия маски в URL, т.е. злоумышленник может указать в качестве изображения адрес "http://blogger.com.somebadhackersite.com/badscript.php" и Timthumb.php загрузит его в кэш, который является поддиректорией в корневом каталоге WordPress, в которой в 99% случаях оставлены полномочия запуска PHP-скриптов. В дальнейшем, PHP-код может быть выполнен после прямого обращения к загруженному в кэш файлу.

Уязвимость устранена в SVN-репозитории проекта, но исправление реализовано в лоб, через регулярное выражение для проверки корректности URL. Проблема с загрузкой файлов в кэш, в котором возможно выполнение PHP-файлов, не рассмотрена. В качестве временного решения рекомендуется убрать из массива allowedSites, присутствующего в файле timthumb.php, упоминание возможности прямой загрузки файлов с внешних сервисов, таких как flickr.com, picasa.com, img.youtube.com, wordpress.com, blogger.com и upload.wikimedia.org. Если функции изменения размера изображений не используются, то рекомендуется удалить файл timthumb.php с сервера.

В сети уже зафиксированы факты успешной эксплуатации уязвимости и загрузки на сервер web-консоли "Alucar Shell". По предварительной оценке, основанной на выборке потенциально проблемных страниц через Google, уязвимости подвержено около 39 миллионов сайтов, использующих скрипт timthumb.php. Для взлома скрипт не обязательно должен быть задействован на сайте, достаточно наличия возможности прямого обращения к нему через web.

  1. Главная ссылка к новости (http://blog.armorize.com/2011/...)
Лицензия: CC-BY
Тип: Проблемы безопасности
Ключевые слова: osCommerce, wordpress, security, attack
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение Линейный вид | Ajax | Показать все | RSS
 
  • 1.1, iCat, 15:28, 04/08/2011 [ответить] [смотреть все]
  • –3 +/
    Хм-м-м А если во входные двери магазинов не врезать замки и не ставить охрану... весь текст скрыт [показать]
     
     
  • 2.2, hummermania, 15:48, 04/08/2011 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    Тут же программные уязвимости еще из плагинов пришедшие Поди проконтролируй все... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.3, iCat, 16:02, 04/08/2011 [^] [ответить] [смотреть все]  
  • –2 +/
    От онодолжносамо головного мозга лечиться нужно Я именно это имел в виду Ско... весь текст скрыт [показать]
     
     
  • 4.5, ubuntulyb, 16:15, 04/08/2011 [^] [ответить] [смотреть все]  
  • –4 +/
    да, не достичь щас, но скоро вычеслить окажется с пол пина атаки и любой который... весь текст скрыт [показать]
     
     
  • 5.6, iCat, 16:18, 04/08/2011 [^] [ответить] [смотреть все]  
  • +3 +/
    Ух, ты А без пробелов можешь А по делу - никакие мощности не спасут от раздолб... весь текст скрыт [показать]
     
     
  • 6.8, тоже Аноним, 16:24, 04/08/2011 [^] [ответить] [смотреть все]  
  • +/
    Мощности не спасут, а предусмотрительность программистов системы - может Либо с... весь текст скрыт [показать]
     
     
  • 7.13, zazik, 17:06, 04/08/2011 [^] [ответить] [смотреть все]  
  • +/
    Очень надёжна, да Видел я, как инкассатор в одиночку обходит крупный торговый... весь текст скрыт [показать]
     
     
  • 8.24, тоже Аноним, 21:22, 04/08/2011 [^] [ответить] [смотреть все]  
  • +/
    Описанная вами ситуация сложилась по причине каких-то личных недостатков этого к... весь текст скрыт [показать]
     
     
  • 9.26, zazik, 23:09, 04/08/2011 [^] [ответить] [смотреть все]  
  • +/
    Маловероятно Скорее всего это сверхнадёжный регламент - ходить поодиночке с кру... весь текст скрыт [показать]
     
     
  • 10.28, ffirefox, 01:15, 05/08/2011 [^] [ответить] [смотреть все]  
  • +1 +/
    Ловля на живца ;)
     
     
  • 11.33, zazik, 09:40, 05/08/2011 [^] [ответить] [смотреть все]  
  • +/
    Хороший живец, жирный Представляю, какая выручка по всем магазинчикам в этом ... весь текст скрыт [показать]
     
  • 5.21, Анонимный Аноним, 19:27, 04/08/2011 [^] [ответить] [смотреть все]  
  • +1 +/
    Прикинь потенциальную выгоду от простого, но очень эффективного JavaScript а, ко... весь текст скрыт [показать]
     
  • 2.15, Аноним, 17:25, 04/08/2011 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    А это при чем Дыра в последнем стабильном релизе osCommerce По вашей логике, ... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.29, iCat, 02:18, 05/08/2011 [^] [ответить] [смотреть все]  
  • +/
    Значит, я не достаточно ясно выразился Искаропки софт настроен так, чтобы за... весь текст скрыт [показать]
     
  • 1.4, aaa, 16:10, 04/08/2011 [ответить] [смотреть все]  
  • –1 +/
    пишите сайты/форумы/блоги и прочее сами, с нуля и будет вам счастье...
     
     
  • 2.7, Аноним, 16:20, 04/08/2011 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    +0.(9) тебе. Сам всегда так делал, никаких проблем с безопасностью не было.
     
  • 2.9, filosofem, 16:28, 04/08/2011 [^] [ответить] [смотреть все] [показать ветку]  
  • +5 +/
    Безопасность по принципу неуловимого Джо.
     
     
  • 3.10, Аноним, 16:42, 04/08/2011 [^] [ответить] [смотреть все]  
  • +1 +/
    раз Джо до сих пор ловят, то наверно не такая уж и плохая защита
     
     
  • 4.11, sashka_ua, 16:44, 04/08/2011 [^] [ответить] [смотреть все]  
  • +3 +/
    Так смысл как раз в том, что никто его и не ловит. :)
     
  • 2.16, Аноним, 17:27, 04/08/2011 [^] [ответить] [смотреть все] [показать ветку]  
  • +4 +/
    В Sony вон написали и расплатились раза три номерами кредиток клиентов - ... весь текст скрыт [показать] [показать ветку]
     
  • 2.17, Аноним, 17:35, 04/08/2011 [^] [ответить] [смотреть все] [показать ветку]  
  • +1 +/
    Фирме Сони этот рецепт не очень помог Наверное дело в том что не все кодеры оди... весь текст скрыт [показать] [показать ветку]
     
  • 2.25, тоже Аноним, 21:24, 04/08/2011 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    Если сайт можно просто взять и написать с нуля, очень высока вероятность того, ч... весь текст скрыт [показать] [показать ветку]
     
  • 1.14, Shurik, 17:24, 04/08/2011 [ответить] [смотреть все]  
  • –1 +/
    А Drupal в качестве инет-магазина "безопаснее" будет? Я ниче почти не шарю в этом. Был инет-магаз свой на оскоммерсе. Закрыл (товар который продавал исчез у поставщиков). Прошел год. Теперь появился. Но все заново необходимо теперь делать((
    был парень который мне помогал с магазом,но из-за новой работы на это у него нет больше времени.
    Есть шаблон сайта (старый магаз) его надо посадить на хороший движок и отправить на хост (ht systems был хостингом) Кто готов за деньги помочь пишите на почту bredbull@ya.ru
    всем спасибо
     
     
  • 2.35, Etch, 12:48, 05/08/2011 [^] [ответить] [смотреть все] [показать ветку]  
  • +1 +/
    http://opencartforum.ru/
    Там же найдёшь тех, кто поможет за деньги.
     
  • 1.27, Аноним, 00:16, 05/08/2011 [ответить] [смотреть все]  
  • –1 +/
    Я один замечаю, что подобных новостей об уязвимостях всяких там открытых проекто... весь текст скрыт [показать]
     
     
  • 2.31, anonymous, 04:35, 05/08/2011 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    что-то к 171 потере доверия к якобы надёжной проприетарщине 187 не привело д... весь текст скрыт [показать] [показать ветку]
     
  • 2.32, Аноним, 07:32, 05/08/2011 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    Ну тогда винду и IE уже должно было бы использовать 0 человек, если почитать спи... весь текст скрыт [показать] [показать ветку]
     
  • 1.30, Аноним, 02:21, 05/08/2011 [ответить] [смотреть все]  
  • –1 +/
    Универсальное средство от таких уязвимостей - ReadOnly права на все папки и файл... весь текст скрыт [показать]
     
     
  • 2.34, ызусефещк, 12:34, 05/08/2011 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    И на каждый новый товар картинку закинуть - тоже в шелл лезть Не похоже на уни... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.37, Mna, 14:33, 05/08/2011 [^] [ответить] [смотреть все]  
  • +/
    Так вот чьи сайты уязвимостями грешат :)
     
  • 3.40, Павел, 12:02, 07/08/2011 [^] [ответить] [смотреть все]  
  • +/
    А почему бы и нет, не вижу никакой сложности, перед загрузкой новых товаров набр... весь текст скрыт [показать]
     
  • 2.36, detergen, 14:24, 05/08/2011 [^] [ответить] [смотреть все] [показать ветку]  
  • +1 +/
    Ага, особенно когда зловредный код в БД пишется... сходите по ссылкам
     
     
  • 3.41, Павел, 12:05, 07/08/2011 [^] [ответить] [смотреть все]  
  • +/
    Ага. Пусть пишется, зато злоумышленник мне на сайт свои файлы не сможет загрузить
     
  • 2.38, vov, 14:45, 05/08/2011 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    Довольно действенное решение "прятать" админку, на стадии установки предлагается ввести ее адрес. Так в zencart сделали.
    Так же тупо и просто админку http авторизацией дополнительно закрывают.
     
  • 1.39, анонимус, 21:12, 05/08/2011 [ответить] [смотреть все]  
  • +/
    >Проблема связана с тем, что при проверке домена с которого допускается загрузка фотографий используется оценка наличия маски в URL, т.е. злоумышленник может указать в качестве изображения адрес "http://blogger.com.somebadhackersite.com/badscript.php" и Timthumb.php загрузит его в кэш, который является поддиректорией в корневом каталоге WordPress, в которой в 99% случаях оставлены полномочия запуска PHP-скриптов. В дальнейшем, PHP-код может быть выполнен после прямого обращения к загруженному в кэш файлу.

    Epic! :D

     

     Добавить комментарий
    Имя:
    E-Mail:
    Заголовок:
    Текст:


      Закладки на сайте
      Проследить за страницей
    Created 1996-2017 by Maxim Chirkov  
    ДобавитьРекламаВебмастеруГИД  
    Hosting by Ihor TopList