Note: Bận bịu quá nên mình copy luôn nội dung cái email đã soạn để report cho bên cty web, đồng thời cũng ẩn đi một số thông tin nhạy cảm, theo mình biết thì bên cty sau khi nhận được email report đã tiến hành vá những lỗi nguy hiểm rất nhanh và triệt để, chỉ có điều hơi buồn là không ai reply lại cho mình cả.
Hôm qua mình có thấy một vài thông tin về mật khẩu của các bạn xuất hiện trên một diễn đàn chuyên brute-force hash do một thành viên của một team hack ở nước ngoài post lên với mục đích nhờ hỗ trợ brute-force và họ đã có rất nhiều kết quả được brute-force ra, qua đó mình cũng nhận biết được đây chính là những mật khẩu của website khách hàng mà các bạn đang sử dụng.
link: (...Hide...)
Trong cùng ngày 28/08/2017 thì mình quan sát đã thấy nhóm hacker này đã chiếm được toàn bộ những website mà cty các bạn đang sở hữu và upload file deface lên các site này sau đó tiến hành show off ở trang web chuyên dùng để khoe thành tích của các nhóm hacker trên thế giới.
link: http://zone-h.org/archive/notifier=black_raptor/page=1
Theo những thông tin mình nắm được thì mình có pentest thêm theo phán đoán của mình và phát hiện ra rằng hệ thống của các bạn đang tồn tại khá nhiều lỗ hổng nguy hiểm.
1. Lỗ hổng SQL Injection trên toàn bộ các website sài mã nguồn Joomla.
2. Sài chung mật khẩu cho toàn bộ tài khoản có quyền quản trị cao nhất.
3. Sài chung mật khẩu tài khoản FTP cho gần như toàn bộ hosting.
Chi tiết các lỗ hổng:
1. Lỗ hổng SQL Injection trên toàn bộ các website sài mã nguồn Joomla.
Exploit: /?option=com_vnmshop&catid=[SQLi]&Itemid=211
Poc:
/?option=com_vnmshop&catid=-110 UNION SELECT
1,2,3,4,5,6,7,8,9,10,11,12,13,14,15,16,17,18,19,20,21,group_concat(user(),0x3a,version(),0x3a,database()),23,24,25,26,27,28,29,30,31,32,33,34,35,36,37,38,39,40,41,42,43,44,45,46,47,48,49--
-&Itemid=211
Từ những thông tin lỗ hổng này mình có thể select ra những thông tin nhạy cảm của admin và tiến hành brute-force để chiếm quyền quản trị của website các bạn đang có, giống như cách mà nhóm hacker kia đã sử dụng để tấn công hệ thống các bạn, qua đó mình có được những thông tin quan trọng ở mục 2 và 3 bên dưới
2. Sài chung mật khẩu cho toàn bộ tài khoản có quyền quản trị cao nhất.
(...Hide...)
3.Sài chung mật khẩu tài khoản FTP cho gần như toàn bộ hosting.
(...Hide...)
Lời khuyên:
- Rà soát lại toàn bộ mã nguồn của những website bị hack để tìm ra lỗ hổng khác, hoặc mã độc đã bị các hacker đó upload lên.
- Các bạn nhanh chóng fix lỗi SQLi cho toàn bộ các website mà các bạn sử dụng mã nguồn này.
- Thay đổi lại toàn bộ mật khẩu mà các bạn đang sử dụng, từ tài khoản admin tới các hostting.
- Xóa hết những tập tin deface của hacker đó upload trên hệ hống các bạn file tên: id.html dựa theo danh sách mà nhóm đó đã show off trên zone-h
- Nên update mã nguồn lên các version mới hơn, hoặc gia cố bảo mật thêm cho các website của khách hàng vd như: Đặt thêm mật khẩu bảo vệ cho thư mục /administrator/ dù nó dễ nhưng là rào cản lớn nhất cho các hacker không thể đăng nhập vào dashboard để upload mã độc và chiếm toàn quyền được.
Kết luận:
- Do mã nguồn và module các bạn code và sử dụng tồn tại lỗ hổng nguy hiểm SQLi nên đã bị hacker nước ngoài tấn công chiếm quyền.
- Thói quen sử dụng chung mật khẩu cho toàn bộ hệ thống là điều rất nguy hiểm, nhất là việc áp dụng cho toàn bộ site của khách hàng.
- Cũng rất may mắn là nhóm hacker này không thay đổi file index.php của các website mà chỉ tạo thêm file id.htm để show off, nếu không thì thiệt hại về uy tín của cty các bạn sẽ không thể đo đếm được.
- Hãy tranh thủ fix lỗ hổng càng sớm càng tốt, thay đổi mật khẩu, thêm pass bảo vệ administrator, và xóa hết những tập tin mà nhóm hacker đó để lại để tránh bị google cho site các bạn vào danh sách nguy hiểm, sẽ vô cùng phiền phức.
Concobe
Mình rất phục bạn
Trả lờiXóa