Web pwnage...

Par Sid, jeudi 5 février 2009 à 18:06 :: (In)Sécurité :: lu 4195 fois :: #322 :: rss :: atom
Read it in english with Google

Pwned

ous n'avez pas pu rater la compromission de phpbb.com qui se retrouve maintenant en mode maintenance. Vous me direz, avec l'historique de cette application que d'aucuns ont un jour qualifié de portage de wu-ftpd en PHP, ce n'est guère étonnant. Et bien figurez-vous que ce n'est pas aussi simple. Comment le sait-on ? Tout simplement parce que l'auteur du méfait s'est fendu d'un long billet dans un blog créé spécialement sur Blogspot. Et ça fourmille de détails.

Dans le même domaine, tout frais sorti de la boîte à news, Nerim s'est apparemment fait déchirer son hosting de pages de persos. En effet, un grand nombre de sites hébergés sur la machine perso.nerim.net retournaient une page d'accueil très claire : "Hacked By LiONS TeAm". Bref, ça fait pas mal de monde affecté. Par contre, là, pas trop de détail, même si ça discutait fort sur #nerim sur IRCNet...

Update (8 février 2009) : j'apprends que le site US de Kapersky y est passé aussi, sa base succombant aux coups d'une injection SQL...

Bon ben une machine de Nerim, ou du moins une partie non négligeable de son hébergement, se serait faite compromettre ? Ça arrive. On n'a aucune idée de l'ampleur des dégâts tellement il y a de méthodes pour parvenir à l'effet illustré ci-contre et qu'on peut encore constater sur pas mal de sites, alors que certains partent en 404 et d'autres sont apparemment revenus à la normale. Effet dûment accompagné d'une image de circonstance, d'une musique dont je vais cependant vous faire grâce, et d'un scrolling vertical d'un fort bel acabit. Le tout avec un pointeur vers un site qui n'est apparemment plus en ligne à l'heure où je rédige ces lignes.

Pour ceux qui ont du mal à lire les caractères du fait de la réduction de l'image, c'est à dire tout le monde, voici le texte^[1]. Les parties en italiques ont été traduites de l'arabe par secdz.

HaCKeD By LiONS TeaM
Th!s S!T3 H4Ck3d By ErHaBi

.. :: ContacT :: .. 
.. :: ErHaBi HaCKeR :: ..  MSN: BzN@hotmail.com
.. :: FiRe HaCKeR:: ..  MSN: VLL@hotmail.com
.. :: ToNNiNO :: ..  MSN: AkO@HoTmAiL.CoM
.. :: DnYa AlWaLh:: ..  MSN: WaLhAno_911@hotmail.com
.. :: play with the best ... die like ather :: .. 

Dédicace à

NaJm-888
BaD_BoY
ASeeeR
DoN'T FoRgeT Our NamEs .. ( LIONS TeAm)
! We WiLL BaCk SooN DoN'T WoRRy !
see you !

Remets toi en cause et trouves la cause de la pénétration

Pour ce qui est de phpbb.com, la lecture du billet est très instructive. À la fois sur l'opportunisme de l'intrus et sur la démarche utilisée. Pour peu que cette histoire, qui n'a apparemment pas été démentie, se révèle vraie, c'est la lecture d'un exploit pour PHPlist qui aura tout déclenché. Phpbb.com utilisant ce logiciel pour gérer ses listes de diffusion, ce dernier a permis au pirate de faire ses premiers pas dans le système à l'aide d'un joli directory traversal permettant d'accéder à pléthore de fichiers arbitraires. Donc non, phpbb.com ne s'est pas fait pwner wia une faille PHPBB, mais via une application tierce...

En particulier, la lecture du fichier de configuration du serveur Apache et des logs d'erreur a permis à l'auteur du méfait de découvrir l'emplacement de l'installation de PHPBB sur le système de fichiers et en particulier le préfixe de nommage des fichiers d'avatars, lui permettant de les utiliser comme vecteur d'exécution pour de petits scripts lancés directement sur la machine. À partir de là, c'est un peu l'escalade, avec un attaquant qui, pas à pas, découvre de plus en plus d'informations et de capacité d'exécution. Je vous laisse découvrir la suite, qui n'a rien de techniquement extraordinaire certes, mais qui démontre assez bien comment s'enchaînent les actions et comment le château de cartes s'écroule au fur et à mesure de la progression de l'intrus.

On notera en particulier la récupération complète des bases utilisateurs et la publication des données qu'elles contiennent. En particulier, un peu moins de 30000 mots de passe stockés sous la forme d'un simple MD5 ont été crackés et diffusés. L'analyse faite par Robert Graham sur ces données est vraiment très intéressante à lire, je vous la recommande chaudement. On y apprend par exemple que 16% des mots de passe correspondent au prénom de l'utilisateur et 4% sont des variations du mot "password". Le mot de passe le plus fréquent est "123456" suivi de "password" et "phpbb". Deux tiers des mots de passe ont une longueur d'au plus 6 caractères, longueur qu'atteint la moitié d'entre eux. Seuls 5% des mots de passe dépassent les 8 caractères. Le même exercice, avec des jolis graphiques spécial manager, mais des chiffrent qui différent légèrement. Globalement, ces résultats pitoyables sont-ils surprenants ? Pas vraiment...

Maintenant, les personnes raisonnables se demanderont comment on peut se prémunir contre ce genre d'attaques. Dans un vieux billet, je revenais sur d'autres failles web classiques qui font mal. On est sur un cas du même tonneau ici, sauf qu'un bon gros directory traversal, c'est difficile à prévenir sans taper dans le code de l'application, ce qui veut dire trouver et corriger le bug, ou maîtriser l'hébergement de son site. Une méthode peut par exemple être d'essayer de limiter la portée des include à grand renfort de safe_mode_include_dir^[2] par exemple, voire, pourquoi pas, de chrooter le serveur web. Pour autant, ce n'est pas bullet proof, même si ça limite la portée d'une exploitation réussie. En outre, de nombreuses applications sont tellement bien structurées, c'est à dire à peu près n'importe comment, ce qui rend l'utilisation de ce genre de directive largement inutile. Par contre, ça peut permettre d'éviter de se faire descendre un /etc/passwd, le fichier de configuration du serveur ou encore ses logs.

Ce qui ne rend pas l'application moins vulnérable ou exploitable, mais qui complique légèrement la vie de l'attaquant, comme on le verra si on se demande ce que devient la démarche décrite par l'attaquant de phphbb.com s'il n'était pas capable d'inclure un fichier en dehors de répertoires bien précis, ne serait-ce par exemple que la docroot...

Ces deux exemples montrent bien combien il est difficile de mettre en ligne des applications web de manière sécurisée. Entre les hébergements qui ne vous laisse pas assez de lattitude pour durcir la sécurité de votre site ou se montrent carrément laxistes par soucis de compatibilité, voire se font tout simplement compromettre leur infrastructure, et des applications potentiellement vulnérables sur lesquelles vous allez vous reposer, il y a de quoi se faire des cheveux blancs. En tout cas remettre plus la sécurité d'un site web à l'efficacité d'incantations vaudou qu'à de réelles compétences techniques...

Sinon, on peut aussi se dire qu'on maîtrise à peu près les choses, toucher du bois et espérer que...

Notes

[1] Les caractères arabes en moins, mais n'y voyez aucun racisme, c'est juste le jeu de caractères que j'utilise qui ne le permet pas.

[2] À noter que le safe mode va disparazître avec la version 6.0.0 de PHP.

a voté

Note : 4.6/5 pour 8 votes

Trackbacks

Aucun trackback.

Les trackbacks pour ce billet sont fermés.

Commentaires

1. Le vendredi 6 février 2009 à 12:26, par Yann

J'aime particulièrement bien les commtaires sur le blog du gars...c'est très partagé :)

2. Le dimanche 8 février 2009 à 12:08, par Franck

Même si la faille ne se trouvait pas sur phpbb, leur image en prends un coup ...

3. Le dimanche 8 février 2009 à 17:23, par 3

Surtout si ils restent en maintenance pendant tout ce temps. Bon, c'est toujours mieux que de se refaire pwner 1h plus tard. Voilà, les coordonnées persos des admins ont été postés.. c'est moche

Réponse de Sid

Il est des gens qui, pour se mettre en avant, ne peuvent s'empêcher de nuire aux autres. C'est effectivement très moche...

4. Le lundi 9 février 2009 à 21:00, par Fiprotec

Sinon, vous pouvez voir le joli scroll (digne d'un bon vieux ST!) en live ici

Réponse de Sid

Il y a pleins d'autres sites où on peut encore le voir ;)

5. Le mardi 10 février 2009 à 08:42, par Vincent

Le problème c'est pas le web, c'est PHP.
Enfin, quand c'est un problème pour les les uns, c'est un gagne-pain pour les autres...

PHP 6 dégage aussi les "apostrophes magiques", en plus des outils de sandbox type open_basedir et safe_mode. De toutes façons, d'après redhat par exemple (mandriva aussi), les failles permettant de contourner ces features n'ont pas à être considérées comme des problèmes de sécurité.
En plus d'être le langage le plus piégé de l'histoire de l'informatique, le binaire PHP est insandboxable. Merci aux développeurs de nous faire toujours autant rigoler.

Réponse de Sid

Et tu es bien placé pour le savoir. Gnark, gnark, gnark :)

Moi, y'a un truc qui m'a toujours troué avec le PHP, au point même de me demander si je n'avais pas loupé un truc évident (ce qui est peut-êtr ela cas d'ailleurs), c'est l'incapacité de restreindre l'accès au système de fichiers par utilisateur. Genre qu'un user lambda ne puisse pas faire un fopen() en dehors de sa webroot à lui. Évidemment, on m'a dit "ah ouais mais t'a qu'à utiliser open_basedir... Génial. Déjà, faut lister l'intégralité des webroot utilisateur, et mettre à jour la liste avec tou ajout/suppression d'utilisateur/vhots, mais en plus, ça n'empêche pas l'utilisateur A d'aller ouvrir les fichiers de l'utilisateurs B. Sauf si on a mis le safe_mode qui check les UIDs, ce qui ne marche pas quand on fait de l'upload de fichier, à moins de se lancer dans le PHP SUID, ce qui revient à le faire tourner en CGI, ou à faire du safe_mode_guid sur www-data, ce qui revient à ne pas en faire. Et bizarement, la restrecition du système de fichiers, c'est justement quand on commence à avoir de l'upload qu'on en sent vraiment le besoin...

Mais tu as raison, PHP est un problème. C'est un langage de nain, couplé d'un interpréteur mal architecturé. Quant à espérer des fonctions de sécurité potables, c'est probablement trop demandé. N'empêche qu'au-delà de ces problèmes de langage, il est largement manipulé par des amateurs complets en la matière. Même le béotien que je suis en la matière arrive à s'en rendre compte... C'est dire... Et c'est loin d'être limité au PHP...

6. Le mardi 10 février 2009 à 11:26, par Vincent

Sid: Et tu es bien placé pour le savoir. Gnark, gnark, gnark :)
Jvais te clipboard hijack fais gaffe...

Sid: ... Genre qu'un user lambda ne puisse pas faire un fopen() en dehors de sa webroot à lui.
open_basedir donc, soit un apache par jail par user (bourrin), soit du suphp en mode chroot, mais dans ce dernier cas, bon courage, etant donne que le chroot ne s'appliquera que pour les .php, (donc pas les images, .js etc). Ca entraine un tas de hacks foireux.

sid: ... , à moins de se lancer dans le PHP SUID, ce qui revient à le faire tourner en CGI, ou à faire du safe_mode_guid sur www-data, ce qui revient à ne pas en faire. Et bizarement, la restrecition du système de fichiers, c'est justement quand on commence à avoir de l'upload qu'on en sent vraiment le besoin...
Le sandboxing est un art quand on parle de PHP.

sid: PHP est un problème. ... langage de nain, ... mal architecturé. ... largement manipulé par des amateurs complets en la matière. ...
ouiouiouioui

7. Le mardi 10 février 2009 à 17:04, par jme

Personnellement j'ai essayé d'utiliser Suhosin... J'ai vite abandonné car beaucoup de « solutions » php ne fonctionnent tout simplement pas avec suhosin et dans un environnement mutualisé un minimum « ouvert » où on ne choisit pas forcément les applications qui tourneront, le nombre de fonctions de suhosin à désactiver est tel qu'au final, les inconvénients dépassent le gain qu'on pouvait espérer.

Et sinon dans la conf apache je force

php_admin_value open_basedir
php_admin_value include_path
php_admin_value file_uploads
php_admin_value upload_tmp_dir

Ça vaut ce que ça vaut...

Mod_security ajoute une petite couche de sécurité qui vaut ce qu'elle vaut...

Et puis il y a une approche qui consiste à dire : Le premier qui installe phpBB et phpMyAdmin, je lui supprime son compte... Ça vaut ce que ça vaut... Mais pour l'instant ça marche pas mal :)

Quand on fait tourner du php, il faut toucher du bois et serrer les fesses ; bref... accepter, porter le risque.

8. Le mercredi 11 février 2009 à 14:14, par secdz

Concernant le texte en arabe...ça se traduit comme ça : "dédicace à" --> avant "NaJm-888"

"Remets toi en cause et trouves la cause de la pénétration" --> à la fin après "see you"

.....maintenant l' "intégrité" de leur message est préservée :)

Réponse de Sid

Merci pour cette traduction. Je rajoute ça dans le corps.

9. Le mercredi 11 février 2009 à 17:01, par Marcus

J'ai une question bête: si j'évite l'emploi de PHP, vers quel langage se tourner alors ? Merci :)

Réponse de Sid

Euh... XHTML ?

Personnellement, je me débrouille mieux à déployer du PHP que le reste parce que je connais pas trop mal l'environnement qui va généralement avec, mais avec un minimum de contrôle dessus. Et il ne faut pas hésiter à mettre les mains dans le cambouis pour ajuster du code à ses exigences de sécurité, alors que pas mal de gens font plutôt le contraire.

10. Le mercredi 11 février 2009 à 20:59, par newsoft

@Marcus: tous les autres, en fait :)

ASP.NET, JSP, ... les éditeurs de ces produits sont sérieux et l'environnement de développement (IDE + SDKs) permet d'implémenter facilement des protections.

11. Le jeudi 12 février 2009 à 01:00, par Vincent

@Marcus: Tout ce qui fait de bonnes abstractions sur la base de données et l'affichage, bref du bon MVC : Django, RoR, JSP avec faces et hibernate (pas au driver jdbc avec les requêtes forgées à la main hein), ASPX est bien aussi.
Rajouter à ça un bon admin sys qui connait la techno.

Ou alors du PHP, mais avec des développeurs formés aux problèmes, un admin sys TRÈS compétent et alerte.

12. Le vendredi 13 février 2009 à 13:20, par Al4mbic

>>Update (8 février 2009) : j'apprends que le site US de Kapersky y
>>est passé aussi, sa base succombant aux coups d'une injection SQL...

Ajoute aussi BitDefender et F-Secure.com !

Réponse de Sid

Vu ici aussi. Mais on va s'arrêter là, sinon, je vais exploser le nombre de commentaires pour un billet à ajouter les gens qui se font déchirer leur site web ;)

Ceci dit... 2009... SQL injection... Cherchez l'erreur...

Ajouter un commentaire

Les commentaires pour ce billet sont fermés.

Ma petite parcelle d'Internet...

Web pwnage...

Notes

Trackbacks

Commentaires

Ajouter un commentaire

Rechercher

Calendrier

Hitmap

Dans la catégorie "(In)Sécurité"

Langues

Catégories

Archives

Liens

Blogs

Chez moi (from me)

Webcomics

Copains (friends)

Liens

Syndication

« mars 2010
lun	mar	mer	jeu	ven	sam	dim
1	2	3	4	5	6	7
8	9	10	11	12	13	14
15	16	17	18	19	20	21
22	23	24	25	26	27	28
29	30	31