Imgur-kwetsbaarheid misbruikt bij aanval op 4chan

Afbeeldingendeeldienst Imgur kampte met een beveiligingslek waardoor kwaadaardige code aan imagelinks kon worden toegevoegd. De exploit leidde tot een ddos-aanval op 4chan en 8chan, en liet mogelijk ook malware achter op de pc's van gebruikers van die sites.

Imgur bevestigt het lek en zegt maatregelen genomen te hebben om het te patchen. "Na analyse door ons team lijkt het erop dat de exploit speciaal op gebruikers van 4chan en 8chan gericht was, met afbeeldingen die via een specifieke sub-reddit gedeeld werden met Imgurs hosting- en sharing-tools", staat op de site.

Volgens Imgur was het met de kwetsbaarheid mogelijk om kwaadaardige code in een image-link te injecteren. Het ging daarbij om javascript en volgens de ceo van Imgur, Alan Schaaf, is het inmiddels niet meer mogelijk om javascript-code vanaf i.imgur.com te serveren.

De code had volgens Reddit-gebruikers tot gevolg dat als een Imgur-afbeelding vanaf r/4chan werd ingeladen, er op de achtergrond honderden links naar afbeeldingen vanaf 4chan en 8chan werden geopend. Naast deze ddos-aanval maakten gebruikers melding van een voor gebruikers schadelijkere aanval, die op de achtergrond plaatsvond. De javascript-code zou heimelijk een iframe met een Adobe Flash-bestand openen dat nog meer javascript-code naar het systeem van de getroffene bracht en een verbinding met een webservice mogelijk zou maken.

Dit laatste is nog niet bevestigd en onduidelijk is wat het doel van deze aanval zou zijn. Imgur raadt gebruikers aan browsegegevens, cookies en localstorage te wissen.

IT-banen

Reacties (24)

nieternie 23 september 2015 12:21

Slecht onderzocht artikel.
4chan heeft er helemaal niets mee te zien, buiten dat de imgur afbeeldingen op /r/4chan stonden en de aanvaller een domein gebruikte dat lijkt op een domein van 4chan. (4cdns.org vs 4cdn.org van 4chan)
Verder was er ook geen ddos, er werd maar 1 bestand gedownload van 8chan servers, een swf bestand met meer javascript in, en eenmaal dit bestand ingeladen is werd het ingeladen bij elke pageview op 8chan, waardoor de aanvallers dus iedere keer code konden injecteren, soort van CSRF dus. Voor zover ik weet is er nooit echte aanvallerscode ingeladen geweest en hebben de aanvallers hun ding altijd op standby laten staan, waarschijnlijk omdat het spelletje ontdekt was.

CMD-Snake @nieternie • 23 september 2015 14:30

Er staat in de thread op reddit een goede uitleg.

En ik quote:

This isn't a DDOS. It's targeting 8chan users and leaving javascript code in their local storage that causes their browsers ping back to a command and control server each time they hit an 8chan page. Thus far the C&C server hasn't sent out any commands (or stopped issuing commands before this was discovered). Over the evening whoever authored this has been updating and changing their code. It only effects very specific imgur images/pages. Why is not yet known.

Things to take away:

•If you visit imgur and 8chan you may very well have a big issue. Clear your localstorage (go to 8chan, open your browsers console, type localstorage and see what's there - then type localstorage = [] and hit enter) as well as all browser private information (cookies, passwords, offline storage, etc). See edit #4 for a better way to ensure you're safe. Don't go to 8chan before clearing all local storage.

•Imgur is compromised. This is the big one and should be very worrisome to anyone on this site. There are three possibilities:

1.) There is an exploit in how imgur processes images that allows someone uploading an image to get code injected into the page when someone else loads the image from imgur

2.) Imgur has one or more servers that are compromised

3.) Imgur has a rogue employee injecting malicious code.

In all cases, this is really, really bad. It's very unlikely that a 0day exploit on a site as big as imgur is just being used to go after 8chan (unless it's case 3. and someone has a grudge). This allows whoever knows how to take advantage of the exploit to launch an XSS attack against anyone who visits a malicious page on imgur. And there's no way to tell before visiting the page. Not all pages on imgur are compromised and right now it appears to be a very small number of images that had malicious payloads sitting on their page.

How the attack appears to have worked:

1.) Malicious javascript got onto imgur's server somehow (via one of the three routes outlined above)

2.) This js created iframes and embedded a flash file hosted on 8chan. The iframe was off screen so a user would not notice. Since imgur typically uses flash for parts of its functionality flash asking to run on imgur wouldn't be seen as suspicious.

3.) This flash file injected more javascript into the page (while on the surface looking like an innocuous pikachu animation). This javascript was stored to the user's localstorage (which, since the iframe was pointing at 8chan, allowed the attacker to attach js to 8chan's localstorage). It's functionality is to issue a GET request to 8chan.pw (not an 8chan server AFAIK) and then decrypted the response. So far no one has been able to see a response from that web service, meaning it likely wasn't activated yet or has already been deactivated. The outcome is that every time a user visited an 8chan page, it would "phone home" to check for instructions and then execute more javascript code.

I would stress that everyone should disable flash and javascript on imgur for the time being. This attack may not be the only use of this exploit and a lot of very, very bad things could be done through XSS if more people are exploiting this. You should treat the entire site as potentially compromised until imgur addresses this and explains what happened.

Edit: The original thread has been deleted. What the hell. (In fairness this could have been done by the original poster or the mods "for the lulz" since it was in /r/4chan after all).

Edit2: And now it's back

Edit3: localStorage.clear() is all around a better idea

Edit4: More help to clear local storage

Edit5: We're internet famous

Edit6: Imgur response saying they've patched it

Edit7: /u/MrGrim (from imgur) responded here, adding this for visibility

De payload is een swf (flash) bestand wat bij 8chan staat.

Shamone @nieternie • 23 september 2015 13:00

Inderdaad slecht onderzocht, zeker omdat het 'nieuws' al een dag oud is. Verder is het best een populaire website, dus het feit dat Tweakers zulke dingen niet sneller vermeldt op de website stoort mij nogal.

Auteur

Olaf @Shamone • 23 september 2015 16:21

We hebben gewacht op de officiele bevestiging van Imgur in de hoop op meer feiten. Die bevestiging is er nu wel maar een grondige analyse door een expert nog niet. Het is lastig te controleren wat er klopt en wat niet.

Anoniem: 381588 @Olaf • 23 september 2015 16:51

Bevestiging van Imgur was er al de 21e:

https://twitter.com/imgur/status/646109652615217153

ro8in @Shamone • 23 september 2015 13:09

Je kan niet altijd met al het tech nieuws van over de hele wereld er direct bij zijn. Er is genoeg waar tweakers er wel snel bij is..

RickDB @ro8in • 23 september 2015 15:27

Snel erbij zijn met verkeerde info is niet zoals het hoort, begint een beetje een trend aan het worden bij t.net en hopelijk geen blijvende...

Anoniem: 221563 @Shamone • 23 september 2015 13:39

Mwa, ik ken meer mensen die nooit naar die site gaan dan mensen die er wel ooit heen gaan. Waar trek je de grens? Tweakers kan immers niet elke bekende site bijhouden.

MrHarry 23 september 2015 12:02

Hackers die boos zijn ivm de overname?

Menn- @MrHarry • 23 september 2015 12:15

Aangezien 8chan ook aangevallen werd lijkt dat me niet helemaal logisch.. Het zou natuurlijk wel zo kunnen zijn.

MrHarry @Menn- • 23 september 2015 12:17

4chan en 8chan zijn beide van dezelfde eigenaar sinds kort. Niet iedereen is het daar mee eens.

Aerkhanite @MrHarry • 23 september 2015 12:28

Nee.

Hiroyuki was de eigenaar van 2channel (kort 2ch, NIET 2chan wat iets anders is), Moot heeft 4chan aan hem 'verkocht'.

Jim Watkins / Hotwheels is eigenaar van 8chan en nu ook 2ch.

Doe alsjeblieft eerst onderzoek voordat je iets plaatst.

broodjekaas92 @MrHarry • 23 september 2015 12:29

Dit klopt niet
2ch en 8chan zijn van de zelfde eigenaar
De nieuwe eigenaar van 4chan heeft 2ch wel opgericht maar is daar nu weg
http://pastebin.com/gv3n9qMK

Menn- @MrHarry • 23 september 2015 12:30

Als ik het goed begrepen heb (kan best zijn dat dat niet zo is) zijn ze beide op dit moment wel in handen van (ex-)2chan admins, maar zijn dit twee verschillende mensen, namelijk Nishimura voor 4chan en Watkins voor 8chan.

Watkins heeft ooit Nishimura uit 2chan gegooid voor het publiceren van persoonlijke gegevens o.i.d., dus de twee zijn niet twee handen op een buik lijkt me..

Maar zoals ik al zei, het kan best dat ik het fout heb, het is een beetje rommelig met al die overnames de laatste tijd

Cryothic @MrHarry • 23 september 2015 12:17

Overname van wat?

the_shadow @Cryothic • 23 september 2015 12:55

4chan is recentelijk overgenomen door Hiroyuki Nishimura, de opricher van 2chan. Dit is een redelijk impopulaire zet geweest, aangezien Hiroyuki tijdens zijn werkzaamheden bij 2chan data over de gebruikers van de site zou hebben verkocht. Toen hij daar ontslagen is, heeft hij geprobeerd om weer controle te krijgen over de site door middel van DNS poisoning, DDOSen, het aanmaken van een nieuwe (neppe) 2chan en meer van zulks. Niet helemaal een fris persoon dus.

Cryothic @the_shadow • 29 september 2015 09:28

Sorry voor de late reactie, maar dank je wel.
Dat klinkt niet tof nee.