В программе для проведения DDoS-атак Dirt Jumper обнаружена уязвимость на командных C&C-серверах. Баг позволяет третьему лицу вмешаться в проведение атаки и нейтрализовать её. Dirt Jumper считается одной из самых популярных на рынке программ для проведения DDoS-атак, на подпольных форумах её стоимость доходит до $5000 (см. скриншот).
«Злоумышленники при проведении DDoS-атак гордятся тем, что находят и эксплуатируют уязвимости в архитектуре и программном коде на сайтах жертв. Публикуя эту информацию, мы обращаем оружие против них самих, показывая критическую дыру в их собственных инструментах», — сказал Скотт Хаммак (Scott Hammack), исполнительный директор компании Prolexic Technologies, которая опубликовала информацию об уязвимости.
Зная координаты C&C-сервера или инфицированного хоста, с помощью стандартных open source утилит для пентестинга, можно получить доступ к бэкенду сервера и, что более важно, к конфигурационным файлам на сервере. «С этой информацией можно завладеть сервером и остановить атаку, — говорит Хаммак. — Поскольку одна из миссий нашей компании — очистка интернета, но мы чувствуем своим долгом поделиться информацией об уязвимости со всем сообществом в сфере информационной безопасности».
Исследователи также отмечают, что в коде Pandora много орфографических ошибок, а заражённые боты пытаются подключиться к командному центру по некорректным GET-запросам. То же самое наблюдается при проведении атак: например, во время атаки Socket Connect отсылается запрос ET вместо GET, хотя сервер Apache распознаёт оепчатку и всё равно отвечает OK, а вот «менее продвинутые» серверы вроде nginx возвращают сообщение об ошибке Bad Request.
Полный отчёт по взлому Dirt Jumper и последней версии Pandora выложен в свободный доступ (PDF).
