» »

Vdor v Drupal prizadel milijon uporabnikov

Vdor v Drupal prizadel milijon uporabnikov

Ars Technica - V sredo zvečer je spletna stran Drupal objavila, da so bili žrtev hekerskega napada, ki je prizadel milijon uporabnikov, saj so napadalci pridobili nekatere njihove osebne podatke. Sedaj je znanega več. Zaradi ranljivosti v tretjem programu, ki je bil nameščen na strežniku Drupal.org, so napadalci lahko pridobili naslednje podatke: uporabniška imena, elektronske naslove, državo bivanja in zgoščena vrednost (hash) gesla. Vsa gesla so bila shranjena zgoščeni (hashed) obliki z dodanimi naključnimi biti (salted), tako da neposredne nevarnosti za razbitje gesel ni. Samo nekaj starejših gesel na podstraneh je bilo le zgoščenih, a brez naključnih bitov.

Napadalci so dostop pridobili prek podstrani association.drupal.org, ki jo je Drupal takoj po odkritju ugasnil. Poleg tega so resetirali gesla milijona uporabnikov, ki se morajo za prijavo vpisati s svojim elektronskim naslovom, na katerega bodo prejeli novo geslo. Priporočajo, da si ga potem spremenijo. Drugih posledic za uporabnike ali programsko opremo, ki teče na Drupalu, ni.

Katero ranljivost v katerem programu so hekerji zlorabili, Drupal ni želel razkriti. Špekulira se, da gre za zelo razširjeno luknjo, ki je v zadnjem času ugonobila več strani. Tudi ni znano, kako so pridobili dostop do strežnika. Mimogrede omenimo članek na Ars Tehnici o razbijanju gesel, v katerem so strokovnjaki pokazali, da je mogoče s široko dostopno strojno opremo in nekaj znanja zlomiti večino gesel, četudi so shranjena v zgoščeni obliki.

8 komentarjev

Mipe ::

Wordpress: HA HA
(naslednji dan članek o vdoru na Wordpress)
Joomla: HA HA
(in spet naslednji dan članek o vdoru na Joomlo)
Drupal: HA HA

itd. :P

CMSji imajo eno bistveno hibo: ena luknja pomeni ogromno odprtih vrat.

techfreak :) ::

Zaradi ranljivosti v tretjem programu, ki je bil nameščen na strežniku Drupal.org

Problem ni bil v CMSju, vendar v drugem ranljivem programu.

Drugače pa vsaka pogosto uporabljena oz. popularna programska oprema ima to težavo. Med to sodijo tudi operacijski sistemi (Windows), strežniški programi (Apache), ogrodja - frameworki (Ruby on Rails) in CMSji.

Mipe ::

Če je problem v kateremkoli podpornemu programu, je CMS ranljiv, pa če je zaflikan do nule. Začuda so custom rešitve precej bolj odporne (seveda dokler jih izvaja nekdo, ki ima nekaj pojma), celo v primeru ranljivega drugega programa (tudi če pridobiš gesla, so ta zašifrirana v neznani enkripciji, kar je pogosto pri custom rešitvah, tako da so neuporabna za napad).

iElectric ::

Res je, obstaja razlog zakaj nekateri delamo v Plone.

Glede gesel pa, hash+salt ni dovolj, da se gesel ne bi dalo razbit. Precej je odvisno kaksen hash so uporabljali in ce so bla gesla hashana veckrat

[D]emon ::

Drupal ? More like Derpal. :))
Mavrik ta forum uporablja za daljsanje e-penisa. Ker si ne upa iz hise.

Poldi112 ::

iElectric je izjavil:

Res je, obstaja razlog zakaj nekateri delamo v Plone.


Ker ste mazohisti? :)
Where all think alike, no one thinks very much.
Walter Lippmann, leta 1922, o predpogoju za demokracijo.

Kurzweil ::

Prvo moram priznat, da sem se tudi sam z užitko hihital, ko se je vdiralo v Joomlo, Wordpress in podobno (čeprav so imeli slednji CMSi oz. lahko za nekatere mirno rečemo tudi blog CMSi še številne druge težave). Ampak, kot je že techfreak dejal je pač Drupal postal zanimi, ker vedno bolj popularen, mainstream in v praksi vedno bolj uporaben.

Če pa ste stvar pozorno prebrali pa je jasno, da sploh negre za nek hardcore vdor, ampak zgolj manjšo težave Drupala. V vsakem primeru Drupal v mojim očeh ostaja še vedno najbolj zrel CMS daleč naokrog. Res pa je da je zelo kompleksen v primerjavi s kakšnim drugim CMSom, kar seveda omogča veliko bolj resne projekte, je pa po drugi strani preveč balasten za kakšne mini projekte.

Kot sem že omenil za manjše projekte se uporabljajo kakšni bolj "vitki" in preprosti CMSji, ki pa so za kaj resnega seveda zelo limitirani oz. je za dosego nekega cenja biti lep primer mazohista, preden se neka stvar dejansko implementira.
Custom made CMSji samo izgledajo varnejši, ker živ bog ne ve za njih, oz. nima nobenega interesa neko tako od boga pozabljeno stvar razbijat.

Sem pa na hitro pogledal tale Plone - se bom malce poigral z njim, ampak vidim da je community sorazmerno majhen, tudi dokumentacija je precej perela. Nebom pa več govoril o njem, dokler ga konkretno ne pregledam.

iElectric, če ti ni odveč daj za hec link do kakšnega resnega projekta, ki si ga naredil sam, kolega, za katerega se uporablja Plone?!

M.B. ::

Še boljši je Mongo bug.

Steps to reproduce:
Step 1. Use Mongo as WEB SCALE DOCUMENT STORE OF CHOICE LOL
Step 2. Assume basic engineering principles applied throughout due to HEAVY MARKETING SUGGESTING AWESOMENESS.
Step 3. Spend 6 months fighting plebbery across the spectrum, mostly succeed.
Step 4. NIGHT BEFORE INVESTOR DEMO, TRY UPLOADING SOME DATA WITH "{$ref: '#/mongodb/plebtastic'"
Step 5. LOL WTF?!?!? PYMONGO CRASH?? :OOO LOOOL WEBSCALE
Step 6. It's 4am now. STILL INVESTIGATING
b4cb9be0 pymongo/_cbsonmodule.c (Mike Dirolf 2009-11-10 14:54:39 -0500 1196) /* Decoding for DBRefs */
Oh Mike!!!
Step 7. DISCOVER PYMONGO DOES NOT CHECK RETURN VALUES IN MULTIPLE PLACES. DISCOVER ORIGINAL AUTHOR SHOULD NOT BE ALLOWED NEAR COMPUTER
0558b0d4 pymongo/_cbsonmodule.c (Mike Dirolf 2009-06-08 15:06:12 -0400 1197) if (strcmp(buffer + position + 5, "$ref") == 0) { / DBRef */
f3da57be pymongo/_cbsonmodule.c (sibsibsib 2010-08-03 13:24:14 +0800 1198) PyObject* dbref;
b4cb9be0 pymongo/_cbsonmodule.c (Mike Dirolf 2009-11-10 14:54:39 -0500 1199) PyObject* collection = PyDict_GetItemString(value, "$ref");
...
30c253e6 pymongo/_cbsonmodule.c (Mike Dirolf 2010-06-22 12:29:20 -0400 1206) PyDict_DelItemString(value, "$id");
...
6b0a9ccb pymongo/_cbsonmodule.c (Mike Dirolf 2010-06-21 15:15:00 -0400 1220) Py_DECREF(id);
LOOOOL!
OH MIKE OH MIKE!! BUT WHAT IF $ref DOESNT HAVE $id KEY? LOOL
Step 8. REALIZE I CAN CRASH 99% OF ALL WEB 3.9 SHIT-TASTIC WEBSCALE MONGO-DEPLOYING SERVICES WITH 16 BYTE POST


RoR ima tudi vsake toliko časa zanimive buge z SQL injectonom. Včasih je zgleda boljše uporabljat nepopularno ala Pyramids, Yesod.
Everyone started out as a newbie.
Sadly only a handful ever progress past that point.


Vredno ogleda ...

TemaSporočilaOglediZadnje sporočilo
TemaSporočilaOglediZadnje sporočilo
»

Na prodaj gesla uporabnikov VKontakte

Oddelek: Novice / Kriptovalute
53269 (2338) SeMiNeSanja
»

Tumblr šele sedaj odkril vdor iz leta 2013

Oddelek: Novice / Varnost
94187 (2997) Phantomeye
»

Vdora v Spotify in Avast

Oddelek: Novice / Varnost
165835 (4673) MrStein
»

Vdor in kraja gesel s forumov Ubuntuja (strani: 1 2 )

Oddelek: Novice / Varnost
5211528 (123) b3D_950
»

Hekerji napadli Android Forums in Nvidio

Oddelek: Novice / Varnost
144660 (2868) mailer

Več podobnih tem