HOHOHO!! Papai Noel deu belos presentes de natal para o Zone-H: Análise da Invasão
23/12/2006 Written by Roberto Preatoni (SyS64738)
Como todos sabem, o site do Zone-H versão inglesa, foi invadido durante a noite do dia 21 para 22 de Dezembro. Este foi um ataque bem elaborado (como a maioria dos ataques contra o Zone-H), começando por explorar o fator humano. E teremos o prazer de explicar como a sua segurança pode estar comprometida por bugs em serviços de terceiros (Hotmail), com uma falha de XSS, que é considerada estúpida por alguns administradores.
O mais engraçado foi que o ataque foi na hora em que os membros do Zone-H estavam reunidos em um jantar para comemorar o Natal e discutindo sobre segurança e políticas de backup.
Tudo começou no dia 17 de Dezembro…
Dez. 17 – Primeiro passo: O cracker decide atacar um dos colaboradores do Zone-H (não iremos dizer o nome dele, apenas chamá-lo de ALVO, o qual não tinha acesso total ao sistema do Joomla), clicando na opção “Esqueci minha senha”, o servidor do Zone-H mandou uma nova senha para o endereço de e-mail do ALVO, um endereço de e-mail do Hotmail.
Dez. 17 – Segundo passo: O atacante usando de uma falha conhecida em serviços do Hotmail e MSN pegou o cookie da sessão de e-mail deste membro pela falha de XSS. Como solicitou uma senha nova o cracker leu a nova senha gerada pelo sistema do Joomla.
Dez 17 – Terceiro passo: Obtendo a senha de acesso ao sistema do Joomla, o cracker ganhou acesso como outros membros para enviar notícias e imagens (mas não publicá-las). Com este privilégio de enviar artigos com imagens ele publicou uma notícia como se fosse uma invasão. Mas não funcionou, por que a página podia ser vista apenas pelos administradores, por este motivo nossos robôs de mirror não conseguiram efetuar a cópia. Como não tinha nenhuma mirror da pseudo-defacement e era visível apenas para nossos administradores, decidimos não publicar esta entrada em nossa base de dados e desativamos o usuário deste colaborador.
Dez. 18 – Quarto passo: Como o cracker não conseguiu publicar a invasão, mas tinha previamente enviado a noticia com a imagem, a qual continuava arquivada na pasta de imagens, a qual foi notificada pelo defacer. Então nosso robô aceitou este endereço e efetuou a cópia de invasão e então registramos o ataque.
Depois de atacar o usuário do Zone-H e enviado os arquivos, finalmente ele descobriu uma maneira de tornar isto visível ao mundo. Trabalho realizado com sucesso foi publicado e demos uma “estrela” (usada para marcar sites famosos).
Dez. 21 – Quinto passo: Pensamos que o ataque tinha terminado por quê a “invasão” estava arquivada. Mas durante o primeiro ataque ele enviou não apenas a imagem, mas também um arquivo php malicioso (uma vergonha para nós por não encontrar, mas agora é natal, e estamos todos ocupados comprando presente…). O defacer não sabia como usar a shell, pois a política de segurança do Zone-H bloqueava a execução tanto diretamente quando pela frame de um ataque. Durante os dias 17 e 18 o defacer se integrou do sistema de administração do front-end (uma mistura de módulos padrões com outros criados por nós). Um destes módulos era o JCE de edição de conteúdo o qual contém uma falha de segurança no parâmetro “plugin” e “file” na página jpe.php que não é adequadamente verificado e permite a inclusão de arquivos locais.
Ele então descobriu como mover esta shell PHP e torna-la possível para usar.
– — [21/Dec/2006:23:23:15 +0200] “GET
/index2.php?act=img&img=ext_cache_94afbfb2f291e0bf253fcf222e9d238e_87b12a3d14f4b97bc1b3cb0ea59fc67a
HTTP/1.0″ 404 454
“http://www.zone-h.org/index2.php?option=com_jce&no_html=1&task=plugin&plugin=..<>/<…<///..<////..<////..<////..<////files/images/food/x
&file=defi1_eng.php.wmv&act=ls&d=/var/www/cache/&sort=0a”
“Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; .NET CLR 1.0.3705)”
e pouco depois:
– — [21/Dec/2006:23:23:59 +0200] “GET
/index2.php?option=com_jce&no_html=1&task=plugin&plugin=..<>/<…<///..<////..<////..<////..<////files/images/food/x&file=defi1_eng.php.wmv
&act=ls&d=/var/www/cache/cacha/&sort=0a
HTTP/1.0″ 200 3411 “-” “Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; .NET CLR 1.0.3705)”
212.138.64.176 – — [21/Dec/2006:23:25:03 +0200] “GET /cache/cacha/020.php
HTTP/1.0″ 200 4512 “-” “Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; .NET CLR 1.0.3705)”
Dez 21 – Sexto Passo: O defacer explorando esta falha de inclusão de arquivos locais no componente JCE, usou o arquivo PHP até então desnecessário, para criar um novo diretório (var/www/cache/cacha) e criou uma nova shell (020.php) e criou um novo arquivo especial .htaccess neste diretório para desativar o mod_security.
Dez 21 – Sétimo passo: O defacer com esta nova shell PHP, sem nenhuma restrição porque o mod_security estava desativado, conseguiu modificar o arquivo configuration.php e inserir os códigos da página HTML.
- - [22/Dec/2006:01:05:15 +0200] “POST
“http://www.zone-h.org/cache/cacha/020.php?act=f&f=configuration.php&ft=edit&d=%2Fvar%2Fwww%2F”
“Mozilla/5.0 (Windows; U; Windows NT 5.1; ar; rv:1.8.0.9) Gecko/20061206
Firefox/1.5.0.9″
/cache/cacha/020.php?act=f&f=configuration.php&ft=edit&d=%2Fvar%2Fwww%2F
HTTP/1.0″ 200 4781
Muito bem, nada a dizer! Agora o ataque era real. Um longo tempo havia se passado desde o último ataque real contra o Zone-H (em 2002), todas as outras invasões depois disso era por senhas roubadas (social engineering contra um de nossos muitos e muitos colaboradores) e esta significou uma elevação de privilégios usando o sistema administrativo de login, graças primeiramente ao nosso (estúpido) membro.Vamos fazer uma breve recapitulação de onde erramos:
1° Ter um membro que não é inteligente o bastante para reconhecer um ataque de XSS no Hotmail.
2° Não verificar todos os arquivos que foram enviados, como a shell php. O Zone-H tem mais de 80 GB de dados, mas isto não é desculpa.
3° Não aplicar as devidas correções no componente JCE que tinha problema (e todos nós vivemos lendo toneladas de avisos de segurança todos os dias…)
Onde não erramos:
Usar um CMS Open Source como o Joomla. Todos os CMS têm bugs e assumindo que ninguém tem tempo suficiente de programar seu próprio CMS (tem uma idéia de quanto tempo irá demorar?) e mesmo assim você seria vulnerável, como éramos vulneráveis no antigo site, um CMS totalmente escrito pelo Zone-H (no qual os defacers nunca tiveram nenhuma noção de como invadir ou explorar as falhas, mas tínhamos várias delas…). Esta é minha opinião pessoal, mas alguns membros do Zone-H são a favor de um CMS Open Source outros são radicalmente contra.
Como segundo presente do Papai Noël, recebemos uma grande doze de ataque de DDoS de pessoas que não queria que nosso site fosse visto invadido (mas por quê não? A internet não é um local seguro, e o Zone-H está aqui para mostrar isto, e acima de tudo, até nossa própria invasão…).
Isto foi o Zone-H hoje. Nós desejamos a todos vocês um Feliz Natal (até para o defacer, que efetuou um ataque muito bem elaborado, parabéns a ele, e desejamos que ele coloque todas estas habilidades demonstradas para realizar algo lícito como um pentest e não mais defaces).
PS: Esta cópia da invasão não foi salva, pois o domínio da invasão (zone-h.org) tinha sido notificado 3 dias antes e nosso sistema não aceita notificação de ataque de um mesmo domínio em menos de 6 meses. Mas vocês podem ver o ataque que era o mesmo de nossa homepage nos sites forum.zone-h.org/.net/.com/ os quais foram notificados e arquivados.
Gostaríamos de informar que nas próximas semanas as publicações de notícias e invasões serão um pouco lenta, pois a maioria de nossos membros estarão de férias. Gostaríamos também que a quantidade de invasões notificadas este ano no período de natal fosse um pouco menor, mas a maioria dos defacers, como de costume invadem milhares de sites nesta época.
Por quê não tiram umas férias REAIS, longe do teclado, e longe dos problemas causados pelas suas atividades ilícitas?
Vamos aproveitar a vida real “offline” (muitas garotas lindas estão esperando vocês…).
Agradecimentos especiais ao grande Siegfried (Kevin Fernadez da França) pela análise forense do ataque.
Share this content:
