دیروز ایمیلی به کاربرهای یک سرویس دهنده وی بی ان رسید با این مضمون که ما به دلایلی مجبوریم کلیه اطلاعات کاربری شما رو در اختیار مقامات امنیتی آمریکا قرار بدیم. سرویس دهنده بلافاصله واکنش نشون داد و گفت که ایمیل تقلبی بوده. ولی چطور یه نفر ایمیل همه کاربرها رو داشته؟
مقصر خود سرویس دهنده است و مشکل امنیتی البته در نرم افزار WHMCS که مورد استفاده سرویس دهنده های میزبانی اینترنت و وی پی اسه برای کنترل کاربرها و سیستم فروش و پشتیبانی و غیره.
هفته گذشته یک مشکل امنیتی در این نرم افزار عمومی شد. مشکل در بخشی از اسکریپت ثبت داده ها بوده که ورودی رو بررسی نمی کرده برای کاراکترهای خاص و دستورات اس کیو ال. بذارید یه نگاهی بهش بندازیم
1 2 3 4 5 6 7 8 9 10 11 | <?php function update_query($table, $array, $where) { #[...] if (substr($value, 0, 11) == 'AES_ENCRYPT') { $query .= $value.','; continue; } #[...] $result = mysql_query($query, $whmcsmysql); } ?> |
می بینید که توی این دستور شرطی چک می کنه که آیا ۱۱ کارکاکتر اول ورودی AES_ENCRYPT است یا نه. کافیه اطلاعات ورودی با این String شروع بشه و بقیه اش یه کد باشه برای تزریق، اینجوری اون کد بدون هیچ محدودیتی در دیتابیس اجرا می شه.
بلافاصله بعد از اعلام این نقص، آپدیت برای این نرم افزار اومد که خب فاصله ارائه پچ و آپدیت تا زمان نصبش در همه استفاده کننده ها، به هکرها فرصت می ده که به کارشون برسن.
برای هک کردن ستفاده کننده ها از این نرم افزار کافیه که کاربر سایت باشید و از طریق هر صفحه ای که تغییری در دیتابیس می ده، کد خودتون رو اجرا کنید. طی بررسی هایی که انجام شده یکی از روش های انجام این هک استفاده از فرم ثبت نامه. می دونیم که با فرم ثبت نام ما یه سری ورودی رو به سمت دیتابیس می فرستیم.
یک گروه امنیتی با ایجاد یک هانی پات* تونسته یکی از روش های مورد استفاده هکرها رو به دست بیاره. بذارید کدها رو ببینیم
1 2 3 4 | First Name: 'USERX' to 'AES_ENCRYPT(1,1), firstname= (SELECT GROUP_CONCAT(id,0x3a,username,0x3a,email,0x3a,password SEPARATOR 0x2c20) FROM tbladmins)' Last Name: 'LASTNAME' to '1' Company Name: 'COMPANYNAME' to '1' Address 1: 'USA' to '1' |
در خط اول می بینیم که هکر به جای firstname یک کد رو به دیتابیس تزریق کرده که بتونه باهاش نام کاربری، ایمیل و پسورد هش شده موجود در جدول tbladmins رو به دست بیاره. همونجور که از اسمش می تونید حدس بزنید، این جدول حاوی اطلاعات کاربری ادمین هاست.
چه باید کارد:
اگر سرویس دهنده اید سریعا WHMCS رو آپدیت کنید و اگر کاربرید از سرویس دهنده بخواید که این کار رو بکنه چون اطلاعاتتون در خطره.
همچنین Cloudflare که محصولاتی برای بالا بردن امنیت سرورها داره در Web Application Firewall (WAF) تمهیداتی در نظر گرفته برای جلوگیری از این حمله حتی اگر WHMCS به روز نشده باشه که می تونید از سایت خودشون اطلاعات کامل رو بخونید.
