image

Aanvallers kapen sites via verkeerde NFS-permissies hosters

dinsdag 4 juni 2019, 10:46 door Redactie, 14 reacties

Aanvallers hebben websites die bij verschillende hostingbedrijven waren ondergebracht kunnen compromitteren omdat de NFS-permissies van de shared hostingomgeving verkeerd stonden ingesteld en er onnodig informatie werd gelekt. Het ging onder andere om iPage, FatCow, PowWeb en NetFirms.

Door de kwetsbaarheden konden aanvallers de databases van de websites aanpassen, zonder dat ze directe toegang tot de websites hadden. Bij shared hosting worden meerdere klanten op één server gehost. Elke klant krijgt een account op de server en zijn website is aan dat account gekoppeld.

In het geval van de kwetsbare hostingproviders werden de websites van klanten op een gedeeld bestandssysteem (NFS) gehost. Alle directories op dit gedeelde bestandssysteem waren standaard "world-traversable" of "group-traversable" en alle klantbestanden "world-readable" of "group-readable". Daarnaast was het pad naar de website-directory van de klant openbaar of kon eenvoudig worden geraden.

De aanvallers konden zo een beheerdersaccount genaamd 'badminton' toevoegen dat vervolgens werd gebruikt om op de website in te loggen. Zodra de aanvallers waren ingelogd werd er via de WordPress theme editor kwaadaardige code aan de website toegevoegd die verkeer van zoekmachines kaapte en bezoekers van de websites naar spamsites doorstuurde.

De kwetsbaarheden werden door securitybedrijf Wordfence ontdekt, dat de hostingbedrijven waarschuwde. Die namen vervolgens maatregelen om de problemen te verhelpen. Hoeveel websites op deze manier zijn gecompromitteerd is onbekend. Een zelfde probleem werd vorig jaar ook bij verschillende andere hostingbedrijven aangetroffen.

Reacties (14)
04-06-2019, 11:07 door Anoniem
Wanneer gaan we WordPress op PHP gebaseerd CMS eens tot inherent onveilig verklaren?
Er is bijna dagelijks wat mee. Levensgevaarlijk in handen van knutselaars en voor cybercriminewrylen een zacht eitje om te kraken. Zou verboden moeten worden met 63% kwetsbare sites.
#sockpuppet
04-06-2019, 11:59 door Power2All - Bijgewerkt: 04-06-2019, 12:02
Door Anoniem: Wanneer gaan we WordPress op PHP gebaseerd CMS eens tot inherent onveilig verklaren?
Er is bijna dagelijks wat mee. Levensgevaarlijk in handen van knutselaars en voor cybercriminewrylen een zacht eitje om te kraken. Zou verboden moeten worden met 63% kwetsbare sites.
#sockpuppet

Niks mis met Wordpress.
Probleem zit hem echter in de 3rd party plugins die veelal onveilig of niet bijgehouden worden.
Zelf werk ik met Symfony/Laravel en dat is prima.
PHP zelf is niks mis mee, het zijn de mensen die dit niet bijhouden, helaas.
Sowieso, je opmerking "een zacht eitje om te kraken", dat is bijna elke software pakket.
Kwestie van je in verdiepen.

Also, je hebt het nu over PHP, terwijl dit niks met PHP te maken had.
NFS shares moeten gewoon goed staan, EN het firewallen ervan is ook belangrijk.
Zo te zien falen een behoorlijk wat partijen hiermee.
En nee, Wordfence werd genoemd omdat het een security bedrijf is...
04-06-2019, 12:05 door Anoniem
Door Anoniem: Wanneer gaan we WordPress op PHP gebaseerd CMS eens tot inherent onveilig verklaren?
Er is bijna dagelijks wat mee. Levensgevaarlijk in handen van knutselaars en voor cybercriminewrylen een zacht eitje om te kraken. Zou verboden moeten worden met 63% kwetsbare sites.
#sockpuppet
Wanneer gaan we eens artikelen begrijpend lezen en niet meteen in de OMGROLZOR WP PHP reflex schieten? Dit heeft niets met Wordpress of PHP te maken. De opslag bleek vrij toegankelijk te zijn, men heeft aan de database een login toegevoegd en heeft als bewijs stoute dingen in het CMS gedaan.

Ik snap sowieso het melden van PHP niet? Zie Confluence bijvoorbeeld, wat onderlaatst nog een probleemp'je' met beveiliging had en in Java is gebouwd. PHP en Wordpress zijn populaire platfomen, waar je relatief makkelijk instapt. Ja, dan krijg je veel van kwaadwillende en vooral mensen die instappen zonder goed op de hoogte te zijn van de risico's die samengaan met webapplicaties. Zeur dan op het laatste in plaats van het stuk gereedschap wat ze gebruiken, ik kan in C++, Java, Python, etc net zo hard onveilige code bouwen. Maakt dat dan stuk voor stuk ook allemaal prutstalen, of ben ik de schuldige?

En hoewel ik absoluut geen WP fan ben, moet ik wel zeggen dat de codebase in de laatste jaren is opgeruimd en hacks via de plugins lopen. De laatste keer dat ik een vanilla WP site gehackt heb zien worden is al lang geleden.
04-06-2019, 12:06 door Anoniem
Door Anoniem: Wanneer gaan we WordPress op PHP gebaseerd CMS eens tot inherent onveilig verklaren?
Er is bijna dagelijks wat mee. Levensgevaarlijk in handen van knutselaars en voor cybercriminewrylen een zacht eitje om te kraken. Zou verboden moeten worden met 63% kwetsbare sites.
#sockpuppet

Dit was geen WordPress of PHP probleem. Dit was een probleem in de configuratie van de onderliggende webserver. Als je daar iemand de mogelijkheid biedt om administrator te worden, helpt geen enkele CMS om je informatie te beveiligen.

Peter
04-06-2019, 12:07 door Anoniem
Door Anoniem: Wanneer gaan we WordPress op PHP gebaseerd CMS eens tot inherent onveilig verklaren?
Op zich geen slecht idee maar dit is niet de juiste aanleiding: Zoals je kan lezen is de toegang niet via een gat in php of wordpress verschaft maar door via openstaande nfs direct op de schijf te schrijven.

Kijk, je kan best klagen als de winkel een slechte qualiteit voordeur gebruikt maar dat zal niet de hoogste prioriteit hebben als de leveranciersingang wagenwijd open blijkt te staan.

Daarnaast denk ik dat nfs sowieso niet benaderbaar hoort te zijn vanaf het publieke internet (geldt nog meer voor smb/cifs), dus ze hadden er beter aan gedaan de back-ends met de front-ends via een niet-gerouteerd netwerk te verbinden. Je weet wel, vlan of aparte switch, private adressen, geen gateway.
04-06-2019, 12:12 door Anoniem
Door Anoniem: Wanneer gaan we WordPress op PHP gebaseerd CMS eens tot inherent onveilig verklaren?
Er is bijna dagelijks wat mee. Levensgevaarlijk in handen van knutselaars en voor cybercriminewrylen een zacht eitje om te kraken. Zou verboden moeten worden met 63% kwetsbare sites.
#sockpuppet
En dit heeft precies met dit NFS issue te maken?
04-06-2019, 12:17 door Anoniem
Niet WP gerelateerd. Wel slechte configuratie net als Java dat een protocol mismatch kan geven bij ASLeep versie 3.
04-06-2019, 13:15 door Krakatau - Bijgewerkt: 04-06-2019, 13:15
Door Anoniem: Ik snap sowieso het melden van PHP niet? Zie Confluence bijvoorbeeld, wat onderlaatst nog een probleemp'je' met beveiliging had en in Java is gebouwd. PHP en Wordpress zijn populaire platfomen, waar je relatief makkelijk instapt. Ja, dan krijg je veel van kwaadwillende en vooral mensen die instappen zonder goed op de hoogte te zijn van de risico's die samengaan met webapplicaties. Zeur dan op het laatste in plaats van het stuk gereedschap wat ze gebruiken, ik kan in C++, Java, Python, etc net zo hard onveilige code bouwen. Maakt dat dan stuk voor stuk ook allemaal prutstalen, of ben ik de schuldige?

Een paar tegenvoorbeelden ontkrachten niet dat 'Personal Home Page' beter bij de (eenvoudige) thuispagina's had kunnen blijven. Een beetje professional wil er eigenlijk niets met deze 'script kiddie' taal te maken hebben.

Maar het heeft in dit geval inderdaad helemaal niets met PHP te maken.
04-06-2019, 19:25 door karma4
Door Krakatau:
Een paar tegenvoorbeelden ontkrachten niet dat 'Personal Home Page' beter bij de (eenvoudige) thuispagina's had kunnen blijven. Een beetje professional wil er eigenlijk niets met deze 'script kiddie' taal te maken hebben.

Maar het heeft in dit geval inderdaad helemaal niets met PHP te maken.
In dit geval een duidelijk os security probleem configuratie met nfs. Het afgeven op een taal oorsprong dezelfde doelgroep als Tim Berners Lee komt niet professioneel over. Zeker niet als het probleem duidelijk elders zit.
04-06-2019, 21:54 door Anoniem
Door karma4: Het afgeven op een taal oorsprong dezelfde doelgroep als Tim Berners Lee komt niet professioneel over.
Dat is wel heel creatief namedroppen en doelgroepen oprekken, en komt ook niet professioneel over.
05-06-2019, 07:13 door Anoniem
Excuses wegens het onterecht klagen over iets dat er niets mee te maken had bij het lezen van Wordfence. Blunder. Vergeef mij. :(
#sockpuppet
05-06-2019, 10:43 door nva
Helaas blijft firewallen een moeilijk onderwerp voor veel systeembeheerders. Een kwestie van de verbinding naar de hosts toe beperken en enkel NFS verbindingen vanaf bepaalde IP adressen op de NFS poorten toestaan. Daarmee kun je zoveel ellende al afvangen.
05-06-2019, 15:40 door Krakatau - Bijgewerkt: 05-06-2019, 15:41
Door karma4:
Door Krakatau:
Een paar tegenvoorbeelden ontkrachten niet dat 'Personal Home Page' beter bij de (eenvoudige) thuispagina's had kunnen blijven. Een beetje professional wil er eigenlijk niets met deze 'script kiddie' taal te maken hebben.

Maar het heeft in dit geval inderdaad helemaal niets met PHP te maken.
In dit geval een duidelijk os security probleem configuratie met nfs. Het afgeven op een taal oorsprong dezelfde doelgroep als Tim Berners Lee komt niet professioneel over. Zeker niet als het probleem duidelijk elders zit.

Het probleem zit in dit geval inderdaad ergens anders en ik ben ook niet over PHP begonnen. Maar ik wil het graag afmaken. Ik ben namelijk wel zo professioneel dat ik de verschillen tussen programmeertalen besef. Een 'doorgegroeide' script kiddie zoals jij beseft dit natuurlijk niet. Vanuit dat perspectief zal je Tim Berners-Lee (je kan z'n naam niet eens correct spellen) er ook wel bij halen. Ik ga niet eens moeite doen om te proberen te begrijpen wat je daarmee wil zeggen.
05-06-2019, 16:04 door Anoniem
Maar het ene grijpt wel op het andere in.
Denk aan javax.net SSL v. 3 implementatie waar Java per default een oudere versie heeft ingebakken.
Laatst nog een error probleem bij Akamai.
Via changeit dus verder met default passwords.
#sockpuppet
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.