Хакер #305. Многошаговые SQL-инъекции
Пожелавший остаться неизвестным ИБ-специалист рассказал журналистам издания ZDNet о серьезной проблеме, которая затрагивала десятки бесплатных сайтов-конвертеров (эти ресурсы позволяют пользователям быстро и бесплатно преобразовывать файлы и документы в другие форматы). Исследователь предпочел не разглашать свое имя, опасаясь юридического преследования.
По словам специалиста, расположенный во Франции сервер, на котором размещаются десятки сайтов-конвертеров, за последний год взламывали несколько раз. Эксперт говорит, что это вовсе неудивительно, ведь обнаруженные им баги очень легко эксплуатировать, получив при этом полный root-доступ.
Дело в том, что речь идет о комплексе проблем в пакете ImageMagick. Баги были обнаружены еще в 2016 году и носят общее название ImageTragick. Напомню, что из-за ImageTragick компания Yahoo приняла решение отказаться от использования ImageMagick вообще, а ИБ-специалисты неоднократно получали солидные вознаграждения, обнаруживая такие уязвимости в сервисах Facebook, Yahoo и других крупных компаний.
Основной проблемой в ImageMagick является баг, который позволяет удаленное выполнение произвольного кода, причем для атаки достаточно, чтобы на сайте была разрешена загрузка пользовательских изображений. Анонимный исследователь сообщает, что уязвимый сервер пострадал в результате эксплуатации именно этого бага, причем владелец сервера и многочисленных конвертеров не замечал случившегося много месяцев. По информации специалиста, на уязвимом сервере размещались следующие домены:
booktitlegenerator.com combinepdf.com compressjpeg.com compresspng.com coollastnames.com croppdf.com cutecatnames.com cutedognames.com djvu2pdf.com dragonnamegenerator.com ebook2pdf.com epub2kindle.com exceltopdf.com horsenamegenerator.com html2pdf.com htmlformatter.com |
imagetopdf.com jpg2pdf.com jpg2png.com mobi2epub.com odt2pdf.com optimizilla.com palettegenerator.com pdf2kindle.com pdf2mobi.com pdf2png.com pdfcompressor.com pdfepub.com pdfjoiner.com pdfmobi.com pdftoimage.com pdftotext.com |
png2jpg.com png2pdf.com pngjpg.com psd2pdf.com pubtopdf.com ringer.org ringtonecutter.com ringtonemaker.com rtftopdf.com shrinkpdf.com summarygenerator.com svgtopng.com toepub.com topdf.com unminify.com wordtojpeg.com |
Журналисты ZDNet самостоятельно связались с владельцем сервера и уведомили его о проблеме, на что получили весьма агрессивный ответ: «Этому конфиг-файлу больше полугода. Если вы заявляете, что у моего сервера все еще проблемы с этим Image-**аным-Magick, пожалуйста, пришлите мне новый файл конфигурации. А если не можете, что ж, вы опоздали».
Позже владелец сервера все же передумал и сообщил представителям издания, что он внес необходимые изменения в настройки, устранив проблему. К сожалению, анонимный ИБ-специалист, исходно обнаруживший баг, отказался вновь проверять безопасность сервера, опасаясь, что оператор конвертеров может обратиться в полицию.
«Меня очень тревожит тот факт, что он контролирует сайты, которые широко используются для манипуляций с документами, даже если те были не скомпрометированы. Это должно послужить уроком для всех нас. Если не хотите, чтобы у вас что-то украли, не отдавайте это сами, особенно сайтам, которым не доверяете», — пишет специалист.
Фото: Depositphotos