На этой неделе исследователи Джулиано Риццо и Тай Донг выпустили
анонсированную в феврале утилиту Padding Oracle Exploitation Tool (Poet) ,
которая позволяет получать персональную информацию и выполнять произвольный код
на тысячах веб-сайтов. Для этого Poet использует уязвимость в популярной
платформе разработки JavaServer Faces.
Программа Poet способна расшифровывать закодированные данные без знания
секретного ключа. Она позволяет хакерам обходить CAPTCHA, получать доступ к
личной информации, хранимой на порталах банков, онлайн-магазинов и других
компаний. В некоторых случаях утилиту можно использовать для запуска на серверах
вредоносного кода.
Poet эксплуатирует хорошо известную уязвимость при шифровании текста,
хранимого в cookie, скрытых полях HTML и параметрах запросов. Модифицируя
зашифрованную информацию и отправляя ее обратно на сервер, злоумышленники имеют
возможность восстанавливать небольшие фрагменты зашифрованных данных, получая
таким образом доступ к паролям и закрытым директориям веб-серверов.
Эксплуатация данной бреши становится возможной благодаря ошибке, допускаемой
платформой JavaServer Faces при использовании алгоритмов шифрования AES/DES.
Утилита пользуется тем, что на многих сайтах применяется одно лишь шифрование, а
не связка шифрования, аутентификации и проверки целостности данных.
Приложение было протестировано на серверах Apache и Sun Mojarra, работающих в
паре с JavaServer Faces. Однако, исследователи полагают, что уязвимыми могут
оказаться и многие другие платформы. Poet работает под управлением Windows, Mac
OS X и Linux. Загрузить программу можно
здесь. Видео,
демонстрирующее процесс взлома, прилагается.
