Külföldön több ezer BitTorrent oldal használja a népszerű TBDev forrást, és hazánkba is ez az egyik legelterjedtebb tracker alap. Egy biztonsági jelentés szerint egy felkészült támadó könnyedén admin jogokhoz férhet hozzá. Ez hazánkban is így lehet, nem is olyan rég az Evolution nevű trackert törték fel, ami szintén TBDev-t használt. Persze egy kis odafigyeléssel, és hozzáértéssel lehet csökkenteni a veszélyt.
Az egyik támadási pont az oldal főoldala. Egy kritikus hibát kihasználva a támadónak lehetősége van defacelni az index.php-t, és megszerezni azok felhasználói profilját akik belépnek a hamis oldalon. Van egy olyan támadás is, amikor nem közvetlenül az oldalt támadják, hanem social engineeringgel az admint vagy sysopot ráveszik arra, hogy egy speciális hivatkozásra kattintson, és így hozzájuthatnak a támadók az ő jogaihoz.
Michael Brooks, egy biztonsági kutató szerint – aki nyilvánosságra hozta az TBDev expolitot – a fejlesztők nem szenteltek elég figyelmet az adminisztrációs részre, így Cross Site Scripting támadással sebezhető.
A Cross Site Scripting támadáshoz jelen esetben egy Cross Site Request Forgery technikát kell alkalmazni. A sebezhetőség azért is nagy jelentőségű, mert az index.php-t érinti, így minden látogató aki bejelentkezik, vagy megnézi a főoldalt (hírek, szavazások..) érintve van.
A CSRF hiba POST alapú, így szükséges hozzá, hogy az adminisztrátor javascript-et futtasson. Kideríteni, hogy hol van az adminisztrátor jogokkal rendelkező felhasználó(k) profilja nem nehéz, főleg ha van felhasználó account-unk az oldalra. Általába az 1-es id felhasználó a tulaj, és utána következő pár USERID van kiosztva adminoknak. De legtöbb oldalon van STAFF panel, ahol szépen fel vannak sorolva az oldal adminjai. Így ha megvan a felhasználó, küldhetünk neki személyes üzenet, és képesek lehetünk kapcsolatot teremteni vele.
Aggasztó továbbra az is, hogy ha a támadónak nincs is profilja, XSS hiba kihasználásával szerezhet egyet. A támadások esélyének a sikereit lehet növelni, ha kombináljuk az XSS hibát a social engineering technikával.
Ebben az esetben a támadó meggyőzi az oldal aminisztrátorát, hogy megnézze a saját weboldalát. Ez kb így zajlik:
“Szia szerintem hibát találtam az oldalatokban. Megnéznéd ezt a linket? Szerintem utána kéne járnotok: http://tracker.cime.ru/redir.php?url=..”
Ekkor a hiba már nem is Cross Site Request Forgery kategóriába tartozik, hiszen a támadás nem egy másik oldalról indul, hanem ugyanarról ahol a sebezhetőség van.
Egy másik veszélyforrás nem feltétlenül az alap tracker kódjából jön. A TBDev azért is népszerű, mert sok kiegészítőt írtak hozzá. Ezek lehetnek remek dolgok is, amik feldobják a torrentoldalt, és új funkciókkal látják el. Viszont egyfelől újabb támadási pontokat adnak.
Ilyen kiegészítőket bárki írhat, és közzétehet, és előfordulhat, hogy nem olyan jártas a biztonság technikában mint mások, így nem figyel oda mindenre. Ezzel pedig veszélybe sodorja az oldalt, ami később használja majd az ő kiegészítőjét.
Ezért igen ajánlott, hogy egy új mod-ot csak akkor használjuk, ha az már több ideje publikálva van, és letesztelték, sőt ha lehet mi is teszteljük, nem árt ilyenkor egy másik szerveren, vagy akár localhoston az egész trackert leklónozni és felrakni rá a mod-okat egyesével és végignézni az esetleges sebezhető pontokat.
E mellett nem árt ha rendszeresen biztonsági mentéseket csinálunk az SQL-ről s a front-end kódjáról is, lehetőleg másik szerverre.
Az expolit forrása és részeletek: http://www.rooksecurity.com/blog/?p=8
XSS: Webes alkalmazások gyakori hibája. Az okozza, hogy a fejlesztõk nem ellenõriznek megfelelõen egy bemeneti mezõt és annak értékét kiírják a weboldalra. Mivel megfelelõ ellenõrzés híján a támadó akár JavaScript részleteket is beszúrhat, lehetõsége lesz egy másik felhasználó adataival manipulálni. Bizonyos esetekben például ellophatók a cookie -k, ami némely webalkalmazásnál a felhasználó beállításai mellett akár az azonosságot is tartalmazza. (royallsite.com)
A cikket folytatjuk a magyar torrentoldalak szemszögéből.
(a torrentfreak nyomán)