The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

Массовое поражение интернет-магазинов на базе osCommerce и блогов WordPress

04.08.2011 12:50

В сети зафиксировано массовое поражение интернет-магазинов, построенных на базе свободной платформы osCommerce. События развиваются достаточно интенсивно, если 24 июля используя Google было выявлено около 90 тысяч страниц, содержащих вредоносные вставки, то 31 июля пораженных страниц было уже 3.8 миллиона, а 3 августа - 6.3 миллионов.

В процессе атаки эксплуатируется сразу несколько уязвимостей в различных выпусках osCommerce, позволяющих злоумышленнику внедрить свой JavaScript-код на страницы. В настоящий момент огромное число интернет магазинов продолжает оставаться на старых версиях платформы, но проблема касается не только их, например, среди используемых проблем безопасности упомянуты найденные 14 мая и 10 июля уязвимости, проявляющиеся в последней стабильной версии 2.3.1. Кроме того, в процессе атаки эксплуатируются еще как минимум три уязвимости в старой версии osCommerce 2.2, по прежнему активно используемой в сети.

Судя по анализу логов одного из взломанных интернет-магазинов атака производилась с нескольких украинских IP-адресов, код эксплоитов загружался с нескольких доменов в зоне "RU". После эксплуатации уязвимостей на страницы интернет-магазина внедряется несколько iframe-вставок и JavaScript-блоков с кодом для эксплуатации уязвимостей в клиентском ПО. Например, осуществляются попытки запуска вредоносного кода на машине клиента путем использования уязвимостей в Java, Adobe Reader, Windows Help Centre и Internet Explorer. На некоторые сайты, помимо изменения страниц, был внедрен бэкдор (web-shell), позволяющий организовать удаленный доступ к локальной файловой системе сервера и выполнение команд.

Другая угроза касается публикации информации об уязвимости в популярном дополнении Timthumb.php, используемом для изменения размера фотографий во многих визуальных темах к WordPress. Все темы WordPress, в состав которых входит Timthumb.php, подвержены опасной уязвимости, позволяющей злоумышленнику запустить свой PHP-код на сервере.

Проблема связана с тем, что при проверке домена с которого допускается загрузка фотографий используется оценка наличия маски в URL, т.е. злоумышленник может указать в качестве изображения адрес "http://blogger.com.somebadhackersite.com/badscript.php" и Timthumb.php загрузит его в кэш, который является поддиректорией в корневом каталоге WordPress, в которой в 99% случаях оставлены полномочия запуска PHP-скриптов. В дальнейшем, PHP-код может быть выполнен после прямого обращения к загруженному в кэш файлу.

Уязвимость устранена в SVN-репозитории проекта, но исправление реализовано в лоб, через регулярное выражение для проверки корректности URL. Проблема с загрузкой файлов в кэш, в котором возможно выполнение PHP-файлов, не рассмотрена. В качестве временного решения рекомендуется убрать из массива allowedSites, присутствующего в файле timthumb.php, упоминание возможности прямой загрузки файлов с внешних сервисов, таких как flickr.com, picasa.com, img.youtube.com, wordpress.com, blogger.com и upload.wikimedia.org. Если функции изменения размера изображений не используются, то рекомендуется удалить файл timthumb.php с сервера.

В сети уже зафиксированы факты успешной эксплуатации уязвимости и загрузки на сервер web-консоли "Alucar Shell". По предварительной оценке, основанной на выборке потенциально проблемных страниц через Google, уязвимости подвержено около 39 миллионов сайтов, использующих скрипт timthumb.php. Для взлома скрипт не обязательно должен быть задействован на сайте, достаточно наличия возможности прямого обращения к нему через web.

  1. Главная ссылка к новости (http://blog.armorize.com/2011/...)
Лицензия: CC BY 3.0
Короткая ссылка: https://opennet.ru/31377-osCommerce
Ключевые слова: osCommerce, wordpress, security, attack
При перепечатке указание ссылки на opennet.ru обязательно


Обсуждение (35) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.1, iCat (ok), 15:28, 04/08/2011 [ответить] [﹢﹢﹢] [ · · · ]  
  • –3 +/
    Хм-м-м...
    А если во входные двери магазинов не врезать замки и не ставить охрану - их тоже будут грабить...
    А ещё можно (для удобства) Apache от root запускать... Это - тоже "уязвимость"?
     
     
  • 2.2, hummermania (ok), 15:48, 04/08/2011 [^] [^^] [^^^] [ответить]  
  • +/
    Тут же программные уязвимости еще из плагинов пришедшие. Поди проконтролируй все состояния системы. Это как если бы в замок для магазина была бы по ошибке заложена особенность конструкции, которая его легко открывает. Здесь спасет регулярное централизованное обновление плагинов.
     
     
  • 3.3, iCat (ok), 16:02, 04/08/2011 [^] [^^] [^^^] [ответить]  
  • –2 +/
    От "онодолжносамо головного мозга" лечиться нужно. Я именно это имел в виду.
    Сколько ни обновляйся, сколько ни вкладывай в "системы безопасности", и прочие "заумности", а в отсутствии здравого смысла более-менее приемлемого уровня безопасности не достичь.
     
     
  • 4.5, ubuntulyb (ok), 16:15, 04/08/2011 [^] [^^] [^^^] [ответить]  
  • –4 +/
    да, не достичь щас, но скоро вычеслить окажется с пол пина атаки и любой который может их сделать (таких останется единицы) не станет средства на всякие commercы на wp расходывать, пока сеть такая то конечно это продолжается, все зависит от мощностей процессора, покашто их не хвтает для глобальных проектов
     
     
  • 5.6, iCat (ok), 16:18, 04/08/2011 [^] [^^] [^^^] [ответить]  
  • +3 +/
    Ух, ты! А без пробелов можешь?
    А по делу - никакие мощности не спасут от раздолбайства и безграмотности.
     
     
  • 6.8, тоже Аноним (ok), 16:24, 04/08/2011 [^] [^^] [^^^] [ответить]  
  • +/
    Мощности не спасут, а предусмотрительность программистов системы - может.
    Либо система будет реализовать то самое "онодолжносамо", либо она будет уязвима в реальных условиях - когда ей будут пользоваться люди, поверхностно знакомые с предметом.
    Скажем, работа инкассаторской службы совершенно не зависит от уровня образования инкассаторов, но при этом надежна.
     
     
  • 7.13, zazik (ok), 17:06, 04/08/2011 [^] [^^] [^^^] [ответить]  
  • +/
    > Мощности не спасут, а предусмотрительность программистов системы - может.
    > Либо система будет реализовать то самое "онодолжносамо", либо она будет уязвима в
    > реальных условиях - когда ей будут пользоваться люди, поверхностно знакомые с
    > предметом.
    > Скажем, работа инкассаторской службы совершенно не зависит от уровня образования инкассаторов,
    > но при этом надежна.

    Очень надёжна, да :) Видел я, как инкассатор в одиночку обходит крупный торговый центр и возвращается с собранными деньгами в машину.

     
     
  • 8.24, тоже Аноним (ok), 21:22, 04/08/2011 [^] [^^] [^^^] [ответить]  
  • +/
    Описанная вами ситуация сложилась по причине каких-то личных недостатков этого к... текст свёрнут, показать
     
     
  • 9.26, zazik (ok), 23:09, 04/08/2011 [^] [^^] [^^^] [ответить]  
  • +/
    Маловероятно Скорее всего это сверхнадёжный регламент - ходить поодиночке с кру... текст свёрнут, показать
     
     
  • 10.28, ffirefox (?), 01:15, 05/08/2011 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Ловля на живца ... текст свёрнут, показать
     
     
  • 11.33, zazik (ok), 09:40, 05/08/2011 [^] [^^] [^^^] [ответить]  
  • +/
    Хороший живец, жирный Представляю, какая выручка по всем магазинчикам в этом ... текст свёрнут, показать
     
  • 5.21, Анонимный Аноним (?), 19:27, 04/08/2011 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Прикинь потенциальную выгоду от простого, но очень эффективного JavaScript'а, который отправляет введённые в форму данные о кредитной карте куда-то там, где их аккуратно складывают и используют со злым умыслом. Все эти «единицы», которые такие атаки смогут проворачивать будут именно «на всякие commercы» свои средства «расходывать».

    И прекрати прогуливать уроки русского языка в школе.

     
  • 2.15, Аноним (-), 17:25, 04/08/2011 [^] [^^] [^^^] [ответить]  
  • +/
    > А если во входные двери магазинов не врезать замки и не ставить
    > охрану - их тоже будут грабить...

    А это при чем ? Дыра в последнем стабильном релизе osCommerce. По вашей логике, любой интернет-магазин это магазин без замков, так как там потенциально могут быть уязвимости.

     
     
  • 3.29, iCat (ok), 02:18, 05/08/2011 [^] [^^] [^^^] [ответить]  
  • +/
    > А это при чем ? Дыра в последнем стабильном релизе osCommerce. По
    > вашей логике, любой интернет-магазин это магазин без замков, так как там
    > потенциально могут быть уязвимости.

    Значит, я не достаточно ясно выразился.
    "Искаропки" софт настроен так, чтобы "запустился, и - работает". Без учёта всевозможных "индивидуальностей окружения". Настройка софта "под эксплуатацию" - это как раз и есть  работа системных администраторов.
    Все попытки сделать "универсальные настройки" приводили к MS-way.
    Любой шаблонный набор скриптов не предусматривает "защиту" или "максимальную выгоду". На то это и "шаблон", чтобы из него можно было сделать много _разного_, а не только "Интернет-магазин Васисуалия Форестера по торговле шаблонами C++".

     

  • 1.4, aaa (??), 16:10, 04/08/2011 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    пишите сайты/форумы/блоги и прочее сами, с нуля и будет вам счастье...
     
     
  • 2.7, Аноним (-), 16:20, 04/08/2011 [^] [^^] [^^^] [ответить]  
  • +/
    +0.(9) тебе. Сам всегда так делал, никаких проблем с безопасностью не было.
     
  • 2.9, filosofem (ok), 16:28, 04/08/2011 [^] [^^] [^^^] [ответить]  
  • +5 +/
    Безопасность по принципу неуловимого Джо.
     
     
  • 3.10, Аноним (-), 16:42, 04/08/2011 [^] [^^] [^^^] [ответить]  
  • +1 +/
    раз Джо до сих пор ловят, то наверно не такая уж и плохая защита
     
     
  • 4.11, sashka_ua (?), 16:44, 04/08/2011 [^] [^^] [^^^] [ответить]  
  • +3 +/
    Так смысл как раз в том, что никто его и не ловит. :)
     
  • 2.16, Аноним (-), 17:27, 04/08/2011 [^] [^^] [^^^] [ответить]  
  • +4 +/
    > пишите сайты/форумы/блоги и прочее сами, с нуля и будет вам счастье...

    В Sony вон написали и расплатились раза три номерами кредиток клиентов :-)

     
  • 2.17, Аноним (-), 17:35, 04/08/2011 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > пишите сайты/форумы/блоги и прочее сами, с нуля и будет вам счастье...

    Фирме Сони этот рецепт не очень помог. Наверное дело в том что не все кодеры одинаково полезны.

     
  • 2.25, тоже Аноним (ok), 21:24, 04/08/2011 [^] [^^] [^^^] [ответить]  
  • +/
    Если сайт можно просто взять и написать с нуля, очень высока вероятность того, что этот сайт никому на хрен не нужен. Именно этим объясняется "безопасность" самописных сайтов.
     

  • 1.14, Shurik (??), 17:24, 04/08/2011 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    А Drupal в качестве инет-магазина "безопаснее" будет? Я ниче почти не шарю в этом. Был инет-магаз свой на оскоммерсе. Закрыл (товар который продавал исчез у поставщиков). Прошел год. Теперь появился. Но все заново необходимо теперь делать((
    был парень который мне помогал с магазом,но из-за новой работы на это у него нет больше времени.
    Есть шаблон сайта (старый магаз) его надо посадить на хороший движок и отправить на хост (ht systems был хостингом) Кто готов за деньги помочь пишите на почту bredbull@ya.ru
    всем спасибо
     
     
  • 2.35, Etch (?), 12:48, 05/08/2011 [^] [^^] [^^^] [ответить]  
  • +1 +/
    http://opencartforum.ru/
    Там же найдёшь тех, кто поможет за деньги.
     

  • 1.27, Аноним (-), 00:16, 05/08/2011 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    Я один замечаю, что подобных новостей об уязвимостях всяких там открытых проектов становится все больше и больше? Причем, эти уязвимости вполне конкретно эксплуатируются, а не как раньше только находились и фикслись.
    Это приведет к потере доверия ко всем эти якобы надежным опенсорсам, что может вылиться либо в возвращение к закрытым софтам либо к извлечению рук открытых программистов из того места, где они сейчас находятся, что тоже приводит к коммерциализации их разработок. В общем, перспективы пугающие.
     
     
  • 2.31, anonymous (??), 04:35, 05/08/2011 [^] [^^] [^^^] [ответить]  
  • +/
    > Это приведет к потере доверия ко всем эти якобы надежным опенсорсам

    что-то к «потере доверия к якобы надёжной проприетарщине» не привело до сих пор.

    впрочем, если хомки понесут в клювах бабло проприетарщикам — туда им и дорога. станет чище и легче дышать.

     
  • 2.32, Аноним (-), 07:32, 05/08/2011 [^] [^^] [^^^] [ответить]  
  • +/
    > может вылиться либо в возвращение к закрытым софтам либо к извлечению
    > рук открытых программистов из того места, где они сейчас находятся,

    Ну тогда винду и IE уже должно было бы использовать 0 человек, если почитать списки уязвимостей. И как бы не в обиду, но в опенсорцных хромах и фоксах такие баги чинят не в пример оперативнее и не ждут месяц чтобы фикс раздать.

     

  • 1.30, Аноним (-), 02:21, 05/08/2011 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    Универсальное средство от таких уязвимостей - ReadOnly права на все папки и файлы, я так свой магаз вылечил :) Когда надо чтото изменить меняю права через шел
     
     
  • 2.34, ызусефещк (?), 12:34, 05/08/2011 [^] [^^] [^^^] [ответить]  
  • +/
    И на каждый новый товар картинку закинуть - тоже в шелл лезть? Не похоже на "универсальное" средство.
     
     
  • 3.37, Mna (??), 14:33, 05/08/2011 [^] [^^] [^^^] [ответить]  
  • +/
    Так вот чьи сайты уязвимостями грешат :)
     
  • 3.40, Павел (??), 12:02, 07/08/2011 [^] [^^] [^^^] [ответить]  
  • +/
    А почему бы и нет, не вижу никакой сложности, перед загрузкой новых товаров набрать пару команд в консоли
     
  • 2.36, detergen (?), 14:24, 05/08/2011 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Ага, особенно когда зловредный код в БД пишется... сходите по ссылкам
     
     
  • 3.41, Павел (??), 12:05, 07/08/2011 [^] [^^] [^^^] [ответить]  
  • +/
    Ага. Пусть пишется, зато злоумышленник мне на сайт свои файлы не сможет загрузить
     
  • 2.38, vov (??), 14:45, 05/08/2011 [^] [^^] [^^^] [ответить]  
  • +/
    Довольно действенное решение "прятать" админку, на стадии установки предлагается ввести ее адрес. Так в zencart сделали.
    Так же тупо и просто админку http авторизацией дополнительно закрывают.
     

  • 1.39, анонимус (??), 21:12, 05/08/2011 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    >Проблема связана с тем, что при проверке домена с которого допускается загрузка фотографий используется оценка наличия маски в URL, т.е. злоумышленник может указать в качестве изображения адрес "http://blogger.com.somebadhackersite.com/badscript.php" и Timthumb.php загрузит его в кэш, который является поддиректорией в корневом каталоге WordPress, в которой в 99% случаях оставлены полномочия запуска PHP-скриптов. В дальнейшем, PHP-код может быть выполнен после прямого обращения к загруженному в кэш файлу.

    Epic! :D

     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Партнёры:
    PostgresPro
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2024 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру