125 websites kwetsbaar door lek in site Spoorwegmuseum
Een lek in de website van het Spoorwegmuseum had tot gevolg dat 125 andere websites op dezelfde server eveneens toegankelijk waren. De permissies klopten niet. Ook een andere server was door een lek voor iedereen toegankelijk.
Beveiligingsonderzoeker Ingratefully ontdekte het beveiligingsprobleem. Hij bemerkte niet alleen dat het Spoorwegmuseum kwetsbaar was voor sql-injectie, ook kon hij via het cms inloggen op het ftp-account van de website.
Daar bleek een upload-script te staan dat hij vervolgens gebruikte om een tool te uploaden waarmee hij via php shell-commando's kon uitvoeren. Dit bleek niet alleen toegang te verschaffen tot alle bestanden op de Spoorwegmuseum-site, maar ook tot die van 125 andere websites. Onder meer de broncode van de websites en database-backups waren toegankelijk, onder andere van de site van de VVV Maastricht, maar vooral van kleinere sites. Dat was het gevolg van slecht ingestelde permissies; normaliter hoort dat niet te kunnen.
Hetzelfde lek was aanwezig op de website van museum Het Domein, van dezelfde ontwikkelaar, en ook in dat geval waren circa 125 andere websites kwetsbaar. Ingratefully schat in totaal toegang te hebben gehad tot in ieder geval 100.000 e-mailadressen, waarvan de helft uit de database van het Spoorwegmuseum kwam.
Volgens Lukas van der Hijden, directeur van BIC Multimedia, dat de sites ontwikkelde, is het beveiligingsprobleem inmiddels opgelost. "In september is er ook al iemand binnengedrongen in ons cms", aldus van der Hijden. Dat zou echter los hebben gestaan van het jongste probleem. Volgens hem en een andere medewerker van het bedrijf deed het probleem met de uploadfunctie zich voor door een verhuizing, waarna htaccess-bestanden niet meer werden geaccepteerd.
Volgens BIC treft echter ook de hostingprovider, e-Quest, blaam; die had zijn permissiesysteem niet goed afgedicht, waardoor ook andere websites toegankelijk waren. Patrique Dankers, directeur van e-Quest, zegt echter: "Volgens mij proberen ze nu de bal naar ons door te spelen, maar zij hebben bij ons een webserver staan." Later geeft hij echter toe die claim niet te kunnen onderbouwen; er staan ook andere sites op de server.
Dankers stelt ook dat geen naw-gegevens toegankelijk waren, maar dat is in strijd met de claims van onderzoeker Ingratefully. Dankers stelt vragen bij de expertise van de beveiligingsonderzoeker, wil weten wie er achter de naam Ingratefully schuilgaat en dreigt zelfs met aangifte. De directeur zegt de dupe te zijn geworden van het beveiligingslek in het Spoorwegmuseum. "Anders was die onderzoeker nooit op de server gekomen." Volgens een andere medewerker van e-Quest waren de permissies onjuist omdat BIC daar om vroeg. "Bepaalde grote klanten willen dat, dat vinden ze handiger", zegt hij. "Wij willen het liever niet."
Reacties (52)
Maar dit is wel ronduit schandalig van het hostings bedrijf. Dat betekt dus dat de eigenaren van een kleine site ook gewoon bij het spoorwegmuseum site hadden kunnen komen, en bijvoorbeeld het betalings script voor de webshop aanpassen waardoor het geld op hun rekening kwam.
Ja, exact.Dat betekt dus dat de eigenaren van een kleine site ook gewoon bij het spoorwegmuseum site hadden kunnen komen
Nee, er is binnen Linux strict onderscheid tussen "read", "write" en "execute". Ze hadden alle bestanden kunnen lezen, maar waarschijnlijk niet kunnen aanpassen.en bijvoorbeeld het betalings script voor de webshop aanpassen waardoor het geld op hun rekening kwam.
Als iedere klant zijn eigen account heeft, en enkel het account van het spoorwegmuseum heeft meer rechten gekregen, dan waren deze 'hacks' niet vanuit andere sites uit te voeren.[...]
Ja, exact.
Niet alleen binnen Linux hoor. Maar als je bestanden van andere klanten in een dergelijke configuratie al kunt lezen, dan kun je er donder op zeggen dat schrijven ook geen probleem was.Nee, er is binnen Linux strict onderscheid tussen "read", "write" en "execute". Ze hadden alle bestanden kunnen lezen, maar waarschijnlijk niet kunnen aanpassen.
Mooie aanname.Nee, er is binnen Linux strict onderscheid tussen "read", "write" en "execute". Ze hadden alle bestanden kunnen lezen, maar waarschijnlijk niet kunnen aanpassen.
Maar als de rechten verkeerd staan, dan zouden die restricties ook "zomaar" teveel kunnen zijn. Je weet namelijk niet op welk niveau en hoe de rechten fout stonden.
Dit is gewoon afschuwelijk slecht van de hostingprovider. Ze hebben zulke grote klanten die waarschijnlijk meer dan een paar tientjes per jaar betalen. Uit dit artikel kan ik opmaken dat ze gewoon een standaard-Linuxinstallatie draaien en niet eens de moeite hebben genomen om te kijken of elke gebruikersaccount slechts bij zijn eigen account kan. Indien normale accounts bij alle data kunnen van andere gebruikers, dan kun je niet spreker over een beveiligingslek, maar een gebrek aan beveiliging.
Ik ben zelf heel lang webhoster geweest en er werden elke week wel 3 of 4 websites gehackt. Indien je honderden websites per server draait, dan is het cruciaal dat je de beveiliging van de server op orde hebt, want hacks zijn als webhoster de normaalste zaak van de dag.
In theorie niet. Maar in de praktijk dus wel.Honderden klanten op één server is geen probleem.
En de praktijk is wat telt.
.Wel vind ik dat de hoster heel veel blaam treft hier. Dat de site niet goed was en dat er daardoor wat geupload kon worden is kwalijk maar daar had alleen de site van het museum zelf last van. Doordat de host niet alle permissies goed had ingesteld kon je bij alle websites komen, iets wat normaal echt niet hoort te kunnen. Deze horen compleet afgescheiden te zijn van elkaar (op een virtueel niveau). Er was nu niet eens een echte hack nodig om bij de rest te komen.
[Reactie gewijzigd door kimborntobewild op woensdag 14 maart 2012 05:02]
LAAT ZE DAN EEN EIGEN SERVER HUREN!!!
Om maar geen grote klanten kwijt te raken.Met zo'n instelling is 't geen wonder dat 't mis gaat. Een instelling die het gevolg is van een te ver doorgeschoten hang naar vrije marktwerking (in het algemeen).
[Reactie gewijzigd door kimborntobewild op woensdag 14 maart 2012 04:48]
Ik had ze gezegd dat ze dan maar een VPS of dedicated server moeten afnemen.
Dus ze hebben het aangepast, maar nooit meer naar omgekeken?Volgens hem en een andere medewerker van het bedrijf deed het probleem met de uploadfunctie zich voor door een verhuizing, waarna htaccess-bestanden niet meer werden geaccepteerd.
Dus "bepaalde grote klanten" staan op een webserver met 124 andere sites, blijkbaar, en hebben daarmee zeggenschap over de veiligheid van al die andere klanten? Lekker is dat.
Hoe groot ben je overigens als klant als je op shared-hosting account staat met zoveel anderen? Of is die "webserver" een heel rack?
Het is uiteraard onwetmatig het zo in te stellen dat een beheerder van een website zomaar bij andere bestanden op die server kan die niet van zijn bedrijf zijn.Dus "bepaalde grote klanten" staan op een webserver met 124 andere sites, blijkbaar, en hebben daarmee zeggenschap over de veiligheid van al die andere klanten?
e-Quest zou zeker vervolgd moeten worden. Dat gaat niet gebeuren (vrije marktwerking is heilig, he...). M.a.w: deze malafide praktijken zoals e-Quest die doet, blijven gewoon voortduren.
Ik herken het wel, ik heb jaren geleden hetzelfde ondekt bij de provider waar ik een website hostte. Via een normaal http adres was er niets aan de hand, maar via script talen kon ik in gedeelten komen waar ik geen rechten toe behoorde te hebben. Iets in de trand van:
/ was de root van mijn account,
../ was de directory waar alle websites in stonden.
Ik kon zelfs terug tot de linux root, en /etc directories. Later is dit gepatched, en was het niet langer mogelijk.
[Reactie gewijzigd door kmf op dinsdag 13 maart 2012 14:14]
Dus bv. sfynx en www_sfynx.
De www_ variant is de web user die binnen het account dan alleen kan lezen, tenzij de owner/group/permissies erin zo staan dat deze mag schrijven (voor file uploads e.d.) of juist bepaalde bestanden niet mag lezen.
Zo voorkom je twee dingen:
- geen algemene www gebruker die bij alle accounts iets kan uitrichten
- toegang als de web user betekent geen toegang tot het hele account, dat is uit het perspectief van de klant namelijk een persoonlijke 'root' account.
Dat voldoet wel doorgaans voor een shared setup dacht ik zo
[Reactie gewijzigd door Sfynx op dinsdag 13 maart 2012 19:33]
Hij stelt zich wel vragen bij de expertise van de beveiligingsonderzoeker, maar niet bij de expertise van zijn eigen personeel of zijn eigen beslissingen?Dankers stelt vragen bij de expertise van de beveiligingsonderzoeker...
Waarom denk je dat de persoon in kwestie een schuilnaam gebruikt? Je kan maar proberen, natuurlijk.Hij wil weten wie er achter de naam Ingratefully schuilgaat en dreigt zelfs met aangifte.
Op dit item kan niet meer gereageerd worden.
Populair: Asus Samsung Websites en communities Mobiele telefoons Laptops Sony Games Microsoft Consoles Microsoft Xbox One
© 1998 - 2013 Tweakers.net B.V. Contact Over Tweakers Jouw privacy Algemene voorwaarden Cookies
Tweakers wordt uitgegeven door De Persgroep en wordt gehost door True
