3 Hosting Syarikat Perbaiki Masalah Kebenaran NFS

February 9, 2018

Entri ini telah diposting di Kerentanan WordPress Security pada 8 Februari 2018 oleh Haas 22 Replies

Pada pertengahan Disember, kami mengemas kini Dasar Pendedahan Kerentanan Kami untuk memasukkan Kerentanan Perkhidmatan. Kelemahan perkhidmatan adalah apa-apa masalah dengan perkhidmatan teknologi yang mewakili risiko keselamatan yang boleh diaplikasikan untuk penggunanya. Kami membuat kemas kini ini sebagai tindak balas kepada trend keselamatan yang semakin meningkat yang kami temukan dalam perkhidmatan komersil, yang paling sering penyedia hosting hosting.

Awal tahun ini, kita mula melihat beberapa kes serupa dari tiga penyedia perkhidmatan tanpa penjelasan segera. Kami menyukai misteri yang baik, dan menyelesaikannya membawa kepada penemuan dan pembetulan kelemahan kritikal yang mempengaruhi banyak pelanggan syarikat. Syarikat-syarikat tersebut adalah:

  • Hostway (dan jenama lain termasuk Gate, Netnation, Domainpeople, dan perkhidmatan dijenamakan semula untuk Qwest / Centurylink)
  • Momentous Corp. (termasuk Pemberontak dan Internic.ca)
  • Kumpulan Paragon (termasuk Vidahost, TSOHost, Webfaction dan lain-lain)

Nota mengenai Pendedahan Dan Penjual yang Bertanggungjawab

Penting untuk diperhatikan bahawa kelemahan adalah fakta kehidupan dalam mana-mana perkhidmatan, sistem atau perisian. Mencari, mendedahkan rahsia dan menetapkan kerentanan adalah bagaimana industri berfungsi dengan komuniti keselamatan maklumat untuk meningkatkan produk dan perkhidmatan yang kami gunakan dan menjaga keselamatan orang ramai. Proses yang kami gunakan adalah mantap dan digunakan secara meluas oleh organisasi yang termasuk "Projek Zero" Google dan kumpulan keselamatan "Talos" Cisco.

Apabila kelemahan dijumpai dan penjual responsif, anda mendapat faedah sebagai pelanggan dari vendor tersebut dan dapat mengetahui bahawa penjual anda bertindak balas dengan cepat untuk memperbaiki masalah keselamatan dan kemungkinan akan melakukannya dalam jangka panjang, memastikan anda dan data anda selamat

Pendedahan seperti ini bukanlah peluang untuk "penjual vendor" atau pemburu sihir. Semua pemaju yang menulis kod cukup menulis kerentanan pada satu ketika dalam kerjaya mereka. Sebenarnya sesaat untuk meraikan vendor yang responsif dan insiden yang ditangani dengan baik yang meninggalkan pelanggan dan komuniti dalam talian lebih selamat.

Pada Wordfence, kami teruja apabila vendor bekerja rapat dengan kami untuk memperbaiki kerentanan dan vendor yang responsif mendapatkan penghormatan yang paling besar dari pasukan kejuruteraan kami.

Serangan dan siasatan

Seiring berlalunya masa, kami mempunyai kumpulan pelanggan berasingan yang menderita serangan serupa. Pada mulanya mereka dikunci daripada akaun pentadbir mereka dan pengguna dari alamat IP yang tidak diketahui telah log masuk ke dalamnya. Kemudian mereka melihat akaun pentadbir baru muncul dari mana-mana. Kemudian penyerang mula menambah malware, spam, atau mesej penipuan ke jawatan blog atau tajuk tapak.

Dalam setiap kes, kami mempunyai maklumat forensik yang cukup lengkap untuk kami, tetapi ia tidak membawa apa-apa jawapan tentang bagaimana ia berlaku. Kami dengan teliti menganalisis semua fail laman web, dan tidak menemui apa-apa malware. Kami menyediakan pembalakan terperinci untuk menunjukkan kepada kita tepat ketika eksploit berlaku, dan kemudian memeriksa log akses tapak pada masa itu, dan masih tidak menemui apa-apa. Malah jalan serangan yang kurang digunakan seperti pekerjaan cron dan akaun FTP adalah bersih.

Diambil bersama, semua tanda menunjuk kepada pangkalan data tapak yang dikompromikan. Sekiranya penyerang mempunyai akses langsung ke pangkalan data, mereka boleh menukar kata laluan akaun pentadbir sedia ada, menambah akaun baru, atau mengganggu kandungan tapak. Ia tidak akan meninggalkan tanda-tanda di mana-mana log laman web, dan tidak memerlukan mereka menyimpan malware dalam sebarang fail.

Tetapi bagaimana mereka mendapat akses ke pangkalan data? Pada kebanyakan platform hosting, anda hanya boleh mencapai pelayan pangkalan data melalui panel kawalan hosting. Aplikasi web seperti WordPress juga boleh mencapainya. Walau bagaimanapun, anda masih memerlukan nama pengguna dan kata laluan pangkalan data tertentu untuk membuat perubahan pada tapak tersebut. Dalam hampir semua laman WordPress, nama pengguna dan kata laluan hanya boleh didapati di satu tempat: fail wp-config.php.

Kebenaran fail

Dengan perkhidmatan hosting berkongsi, syarikat menggunakan satu pelayan untuk menjadi tuan rumah berpuluh-puluh atau bahkan beratus laman web. Setiap pelanggan mendapat akaun pengguna di pelayan, dan fail laman mereka tergolong dalam akaun itu. Kadang-kadang kumpulan pengguna dicipta, dan fail juga boleh tergolong dalam kumpulan. Secara ringkas, setiap fail dan folder mempunyai pengguna dan kumpulan yang dianggap pemiliknya.

Kawalan kebenaran fail peringkat pelayan yang boleh melakukan apa yang ada pada fail dan folder. Selain pemilik yang diberi kuasa, setiap fail dan folder mempunyai tiga penetapan perizinan:
– Pengguna (apa yang boleh pemilik lakukan?)
– Kumpulan (apa yang boleh dilakukan oleh kumpulan?)
– Dunia pengguna di pelayan lakukan?)

Boleh membuat kesalahan berbahaya dengan kebenaran. Contohnya, jika anda menetapkan direktori tapak web anda menjadi boleh ditulis di dunia, maka mana-mana pengguna lain di pelayan boleh membuat fail di dalamnya. Atau, jika direktori laman web anda dan fail wp-config.php kedua-duanya boleh dibaca di dunia, maka mana-mana pengguna lain boleh membaca kandungan wp-config.php (yang termasuk nama pengguna dan kata laluan pangkalan data anda). Pada kebanyakan pelayan, skrip PHP dijalankan sebagai akaun pengguna pelanggan, jadi jika skrip milik pengguna 'bob' cuba mengakses fail, ia hanya akan berhasil jika keizinan fail itu membolehkan bob (atau mana-mana kumpulan bob) melakukannya.

Nota penting: bayangkan sebuah folder bernama rumah . Sekiranya akaun anda "kebenaran" di atasnya, maka anda boleh menyenaraikan kandungannya. Jika anda tidak mempunyai kebenaran "membaca" tetapi anda mempunyai kebenaran "melintasi", maka anda boleh bekerja dengan mana-mana fail atau subfolder di dalam rumah selagi anda tahu nama mereka dan mempunyai keizinan yang sesuai dengannya. Sebagai contoh, pelayan tidak akan memberitahu anda bahawa rumah mengandungi folder bernama public_html . Tetapi jika anda sudah tahu bahawa public_html wujud dan anda mempunyai akses kepadanya, maka anda masih boleh bekerja dengannya selagi anda mempunyai "melintasi" kebenaran di rumah

Sistem fail rangkaian

Menguruskan pelayan hosting bersama boleh menjadi rumit. Beberapa tahun yang lalu, syarikat hosting akan menyediakan pelayan dengan katakan 500 GB ruang cakera yang tersedia. Mereka mungkin memilih untuk mengehadkan setiap pelanggan kepada penggunaan 1 GB, dan kemudian mereka hanya boleh mempunyai 500 pelanggan di pelayan tersebut. Tetapi ramai pelanggan akan menggunakan hanya sebahagian kecil daripada ruang, menghasilkan sumber yang sia-sia. Sekiranya pelanggan hanya membenarkan lebih banyak ruang cakera, cakera pelayan mungkin mengisi.

Syarikat-syarikat hosting telah menemui beberapa cara di sekitar masalah ini. Salah satunya adalah menggunakan sistem fail rangkaian (NFS) untuk menempatkan fail laman web pelanggan. Dalam persediaan ini, kumpulan dalaman pelayan berfungsi bersama untuk menyediakan ruang cakera, yang dikongsi melalui rangkaian peribadi dengan pelayan yang menghadap awam. Jadi pelayan yang menjalankan laman web anda menganggap bahawa ia mempunyai cakera besar yang dipasang ke dalamnya, ketika benar-benar menggunakan pemacu rangkaian bersama.

Keadaan rentan

Di sinilah kami mendapati pelanggan kami dengan hantu misterius – laman web mereka akan berjalan pada pelayan dengan sistem fail rangkaian. Setiap satu daripada tiga platform hosting menggunakan NFS, dan mempunyai variasi pada masalah yang sama. Tiga keadaan wujud yang digabungkan untuk membuat pelantar terdedah:

  1. Fail pelanggan disimpan pada sistem fail bersama (dalam kes ini, NFS).
  2. Semua direktori dalam sistem fail yang dikongsi telah dilalui oleh dunia, dan fail pelanggan boleh dibaca secara dunia secara lalai.
  3. Jalan penuh ke direktori laman web pelanggan adalah awam atau boleh ditebak

Platform hosting yang rentan semua menyimpan fail pelanggan mereka pada sistem fail bersama. Direktori paling atas dimiliki oleh akaun root pelayan dan tidak ditetapkan untuk dibaca di dunia, jadi akaun pengguna biasa tidak dapat menyenaraikan kandungannya. Walau bagaimanapun, atas pelbagai sebab, semua direktori telah dilalui oleh dunia.

Apabila penggodam menjejaskan laman web, ia sangat biasa bagi mereka untuk cuba menjelajah pelayan dan melihat jika mereka boleh mencari laman web lain di mana mereka boleh membuat fail, atau sekurang-kurangnya membaca kandungan fail sensitif seperti wp-config.php. Pelayan terdedah tidak membenarkan penyenaraian sistem fail yang dikongsi, tetapi direktori pelanggan mereka ditubuhkan supaya nama direktori pelanggan dapat ditebak. Pada satu ketika, penggodam menyedari ini, jadi mereka dapat menggunakan satu laman web yang digodam untuk membaca fail sensitif daripada banyak tapak lain.

Hostway

Pada Hostway, fail laman web terletak dalam struktur direktori seperti ini:
/ home / 14/23/1012314 / web

Folder / rumah mengandungi lapan direktori, dan masing-masing mengandungi banyak direktori seperti 1012314 semuanya mengikut konvensyen penamaan berangka. Folder 1012314 dan semuanya di dalamnya milik pengguna; direktori di atasnya tergolong dalam akaun root pelayan.

Jika penggodam mengambil alih laman web di 1012314 dan cuba menjelajah pelayan dengan menyenaraikan / home mereka akan mendapat "izin yang ditolak". Mereka juga akan dinafikan jika mereka cuba menyenaraikan / rumah / 14 atau / rumah / 14/23 . Walau bagaimanapun, mereka mesti menyedari bahawa semua nama direktori pelanggan mengikuti corak tertentu:

/ home / XX / YY / ZZZYYXX / web

XX dan YY adalah nombor dua digit, dan ZZZ adalah nombor tiga angka. Jadi, penggodam, yang telah dikompromikan hanya satu laman web, boleh menjalankan skrip daripadanya untuk mencuba semua nombor yang mungkin dan cuba untuk menyenaraikan fail di setiap jalan. Sebagai contoh, ia mungkin bermula dengan / home / 00/00/0000000 kemudian / home / 00/00/0010000 dan sebagainya. fail atau direktori "ralat dari pelayan. Tetapi apabila skrip itu benar menduga direktori sedia ada milik beberapa pelanggan lain, pelayan akan menyenaraikan kandungannya dengan tepat – kerana semua direktori pelanggan boleh dibaca secara dunia secara lalai, dan semua direktori di atasnya dapat dilalui oleh dunia.

Jadi, penggodam dapat mencari semua direktori dalam sistem fail bersama, yang masing-masing menempatkan sekurang-kurangnya satu laman web. Sekiranya laman web itu menjadi WordPress, dia dapat membaca wp-config.php dan mendapatkan nama pengguna dan kata laluan databasenya. Dan kerana dia sudah mengawal laman web yang sah, dia boleh menggunakannya untuk mencapai pelayan pangkalan data.

Menggunakan kaedah ini, penggodam boleh merosakkan pangkalan data hampir mana-mana laman WordPress yang berjalan pada platform hosting yang sama. Ini semua akan berlaku melalui laman web yang digodam asal, dan tiada apa yang akan muncul di dalam log laman web lain.

Momentous

Platform pelayan Momentous (Rebel et al.) Mempunyai masalah yang sama. Nama-nama direktori dalam bahagian rangkaian ialah nombor rawak, seperti / nfsvol-c / 54/54321 dan mereka tidak boleh dibaca dunia tetapi boleh dilalui oleh dunia.

Tetapi apabila tapak web dibuat, kedua-dua direktori tapak dan akaun pengguna yang dikaitkan dengannya dinamakan selepas laman web. Sebagai contoh, jika anda menyediakan example.com, maka anda mungkin berakhir di dalam direktori /nfsvol-c/12/12345/example.com/public .

Seorang penggodam yang cuba menyenaraikan kandungan / nsfvol-c / 12/12345 akan dinafikan. Tetapi dia dapat menyenaraikan kandungan / nsfvol-c / 12 dan melihat bahawa ia mengandungi direktori bernama 12345 milik akaun pengguna example.com . Oleh itu, dia dapat dengan tepat meneka bahawa terdapat direktori yang terdapat di /nsfvol-c/12/12345/example.com/public dan membaca fail di dalamnya.

Paragon

Begitu juga, platform Paragon (Vidahost, TSOHost, et al.) Mempunyai direktori tapak yang disusun mengikut abjad. Sekiranya anda menyediakan example.com pada platform mereka, failnya akan berada dalam direktori /var/sites/e/example.com/public_html .

Mencari laman lain dalam kes ini lebih rumit, tetapi masih boleh dilakukan. Seorang penyerang boleh mengambil alih tapak pada pelayan Paragon, dan menggunakan alat DNS untuk mencari laman WordPress lain yang berjalan pada alamat IP pelayan yang sama. Sebagai contoh, jika mereka mendapati bahawa otherexample.com sedang berjalan di pelayan itu, semua yang mereka perlu lakukan ialah melihat /var/sites/o/otherexample.com/public_html untuk fail.

Remediation

Salah satu perkara yang paling teruk tentang kelemahan ini adalah bahawa hanya sedikit yang pemilik laman boleh lakukan untuk mencegah eksploitasi. Secara teori, menghapus kebenaran membaca dunia dari wp-config.php akan melindungi laman web, tetapi tidak ada cara untuk menjamin bahawa beberapa skrip atau proses tidak akan menetapkan semula kepada keizinan yang mudah terjejas. Lebih-lebih lagi, hanya minoriti pemilik laman web yang mengetahui penyesuaian itu diperlukan. Satu-satunya pertahanan yang boleh dipercayai terhadap eksploitinya adalah untuk syarikat hosting untuk memperbaiki kerentanan.

Kami mula-mula menghubungi Hostway mengenai perkara ini pada bulan September. Pada masa itu kami tidak mempunyai cara rasmi untuk menangani kelemahan perkhidmatan. Pada Disember kami mengemas kini dasar pendedahan kelemahan kami untuk memasukkannya. Pada 15 Disember, kami secara rasmi menghubungi Hostway di bawah polisi baru, memberikan mereka tarikh akhir 14 hari pendedahan, kerana kelemahan itu sedang dieksploitasi secara aktif. Mereka menggunakan satu penetapan pada 21 Disember.

Kami juga memaklumkan kepada Paragon pada 15 Disember. Mereka menjawab bahawa mereka sedang membangunkan patch sudah, dan meminta lebih banyak masa sebelum kami menerbitkan butiran eksploit. Mereka tidak memaklumkan kami tentang penggunaan, tetapi kami mendapati bahawa kod konsep kami tidak lagi berfungsi pada pelayan mereka, jadi kami menganggap patch itu digunakan beberapa kali pada bulan ini.

Momentous menerima pendedahan pada 2 Januari, dan menggunakan patch pada 15 Januari.

Apa yang perlu anda lakukan

Jika anda menggunakan hosting yang dikongsi di mana-mana syarikat yang kami nyatakan, gunakan Wordfence untuk memeriksa tapak anda untuk isu. Kami masih mendapat beberapa kes pembersihan laman web setiap minggu di mana tapak pelanggan dieksploitasi sebelum penetapan telah digunakan, dan kod jahat telah kekal di laman web mereka sejak itu. Malware yang paling popular yang kita lihat telah diabaikan kod Javascript yang dimasukkan ke dalam setiap jawatan, seperti ini:

Kadang-kadang kod cryptomining dimuatkan ke dalam halaman, yang lain kali ia hanya mengarahkan pengguna ke laman web scareware atau spam sebaik sahaja mereka mengklik apa-apa.

Kami juga melihat banyak laman web dengan pautan spam berjangkit yang tersebar di seluruh jawatan. Format mereka berbeza-beza, menjadikannya sukar untuk dikeluarkan.

Jika tapak anda mempunyai isu-isu ini, kami cadangkan menggunakan perkhidmatan pembersihan tapak kami untuk membetulkannya.

Kesimpulan

Kami gembira dengan kesan positif menambah kelemahan perkhidmatan kepada Dasar Pendedahan Kerentanan kami yang sudah ada. Syarikat-syarikat hosting yang kami telah bekerjasama telah secara amnya responsif, melaksanakan perbaikan kepada isu-isu yang menyebabkan banyak laman web WordPress digodam.

Dengan populariti WordPress hari ini, keselamatan komuniti WordPress secara besarnya sangat penting. Kami gembira melihat bahawa pendekatan baru kami sedang berusaha untuk menyokong keperluan itu dan membawa peningkatan kedudukan keselamatan keseluruhan untuk masyarakat.

Pasukan Perkhidmatan Keselamatan kami terus menganalisis beratus-ratus laman web yang diretas setiap bulan, jadi kami mengharapkan untuk mencari lebih banyak perkara ini secara berterusan. Kami akan terus memberi pembaharuan di sini di blog.

Nota: Semua nama produk, logo, dan jenama adalah milik pemilik masing-masing. Semua nama syarikat, produk dan perkhidmatan yang digunakan dalam laman web ini hanya untuk tujuan pengenalan. Penggunaan nama, logo, dan jenama ini tidak menunjukkan pengesahan.

Adakah anda menikmati siaran ini? Kongsi!


4.60 ( 15 undi)
Kedudukan anda:



Sumber

Bacaan WordPress Yang Lebih Menarik!

Game Addict – Clan War Gaming Theme
Themeforest,
Themeforest,

Game Addict – Clan War Gaming Theme

Pembuat Rojak - May 28, 2018

Penagih Permainan - Melepaskan semangat anda. Permainan Addict adalah tema untuk puak-puak dan permainan. Ia membolehkan anda dapat membuat dan…

Dapatkan Pakej Layout Pejabat Doktor Percuma & Bersih untuk Divi
Elegant Themes,
3 views
Elegant Themes,
3 views

Dapatkan Pakej Layout Pejabat Doktor Percuma & Bersih untuk Divi

Pembuat Rojak - May 27, 2018

Hey Divi Nation! Terima kasih kerana menyertai kami untuk ansuran seterusnya Inisiatif Rekaan Divi mingguan kami; di mana setiap minggu,…

Leave a Comment

Your email address will not be published.