image

Ubuntu Forums gehackt via XSS-aanval

woensdag 31 juli 2013, 10:15 door Redactie, 5 reacties

De maker van de populaire Linux-distributie Ubuntu heeft uitgelegd hoe een hacker op 14 juli het officiële Ubuntu-forum wist te hacken en vervolgens de gegevens van 1,8 miljoen gebruikers wist te stelen. De aanval begon met het account van moderator, dat de aanvaller door nog onbekende wijze had overgenomen. Als forumsoftware gebruikt Ubuntu-maker Canonical vBulletin.

De moderator had rechten om in het Forums Announcement-gedeelte berichten te plaatsen, die ook ongefilterde HTML mochten bevatten. Iets wat standaard bij vBulletin staat ingesteld. De aanvaller plaatste een bericht en verstuurde vervolgens een privébericht naar drie Forumbeheerders.

In het bericht beweerde de aanvaller dat er een server-foutmelding op de aankondigingspagina was en vroeg of de beheerders hiernaar wilden kijken. Eén van de forumbeheerders keek naar de aankondigingspagina, maar kon niets vinden en gaf antwoord op het bericht van de aanvaller.

Cross-Site Scripting
31 seconden nadat de forumbeheerder had gekeken en zelfs nog voordat hij kon reageren, was de aanvaller als die forumbeheerder ingelogd. Na overleg met vBulletin stelt Canonical dat de aanvaller Cross-Site Scripting aan zijn bericht had toegevoegd om zo de cookies van de forumbeheerder te stelen.

Toen de aanvaller als forumbeheerder was ingelogd kon hij via het beheerderspaneel van de forumsoftware een 'hook' toevoegen. Hooks in vBulletin zijn willekeurige PHP-code die op elke pagina geladen kunnen worden. De aanvaller installeerde een hook die hij gebruikte om een PHP shell-kit te installeren.

Via deze shell-kit werd vervolgens de gebruikerstabel van de forumdatabase gedumpt en gedownload. Op 20 juli keerde de aanvaller terug om het forum te defacen.

Om herhaling te komen is het nu niet meer mogelijk om hooks toe te voegen, zijn HTML berichten voor iedereen behalve forumbeheerders uitgeschakeld en heeft er overleg met vBulletin plaatsgevonden om de standaardinstellingen te wijzigen of die anders beter naar gebruikers van de forumsoftware te communiceren.

Reacties (5)
31-07-2013, 10:35 door [Account Verwijderd]
Dat is toch een behoorlijke hack geweest. Hier zit minimaal toch wel 2 weken aan bedenktijd+testen achter.
31-07-2013, 10:51 door RXShorty
Daar is inderdaad nog aardig over nagedacht.
Hooks zitten ook in IPB, ben benieuwd of zij ook iets gaan doen aan deze aanval.
31-07-2013, 12:40 door [Account Verwijderd]
[Verwijderd]
31-07-2013, 17:05 door Anoniem
Hopen maar dat die slimme hacker eens de nsa kan hacken,zonder hij problemen krijgt.
De nsa moet een keer goed op de vingers worden getikt met het graaien in andermans email en surfgedrag.
Zij zouden het ook niet op prijs stellen als hun geheime data wordt gehackt.
31-07-2013, 18:17 door [Account Verwijderd]
[Verwijderd]
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.