Беспечность разработчиков ZPanel обернулась взломом инфраструктуры проекта
16 мая 2013 года
Поучительная история развивается вокруг открытой панели управления хостингом ZPanel, разработчики которой пренебрежительно отвечали на критику об использовании небезопасного стиля кодирования (например, использование eval, прямая подстановка переменных из массива $_POST в запросы SQL, наличие процесса zsudo для запуска любого кода ZPanel с правами root). Критика игнорировалась даже при демонстрации конкретных уязвимостей.
Создатели ZPanel ссылались на то, что они Web-разработчики, а не эксперты по безопасности. Кроме того, разработчики излишне доверяли результатам ранее заказанного стороннего аудита кода, который судя по всему являлся лишь формальной и поверхностной проверкой. Если явная уязвимость, которая позволяла поменять пароль администратора, была исправлена, то вторая проблема, затрагивающая систему шаблонов, оставалась неисправленной более 8 месяцев, после чего выявивший недоработку энтузиаст опубликовал данные о методе эксплуатации. Уязвимость позволяла выполнить произвольный PHP-код с правами root.
Авторы ZPanel отказались признать это серьёзной проблемой, так как для эксплуатации уязвимости требуется загрузка шаблона, а эта операция доступна только пользователю с правами администратора, реселлеры по умолчанию не имеют доступа к загрузке шаблонов. При этом несмотря на запрет по умолчанию, при изменении настроек штатная возможность загрузки шаблона реселлером имеется, т.е. при включении функции изменения внешнего вида интерфейса, любой получивший право перепродавать услуги хостинга может выполнить свой код с правами root на сервере.
Так же принципиально не исправлялись проблемы с возможностью осуществления межсайтовых запросов ( CSRF), которые не признавались авторами как уязвимости. В мае один из участников проекта заявил, что ZPanel является более безопасным продуктом, чем имеющиеся аналоги, и что у пользователей больше шансов компрометации систем через уязвимости в ОС, чем через уязвимости в панели управления. После возобновления попыток доказать в форуме проекта, что это не так и давно следует переработать подход к безопасности в ZPanel, представители проекта в достаточно грубой и неуважительной форме показали энтузиасту его место и охарактеризовали его критику как "f*cken little know it all".
Спустя несколько дней, от имени лидера службы поддержки ZPanel в форуме было опубликовано сообщение о закрытии проекта в связи с невозможностью обеспечить безопасность кода. Как оказалось, данное сообщение было отправлено злоумышленниками после взлома ряда служебных аккаунтов участников проекта. Кроме того, в сети были опубликованы скриншот входа с правами root на один из серверов инфраструктуры ZPanel и файл с хэшами паролей некоторых участников проекта. В настоящее время работа сайта ZPanel остановлена и ведётся разбор причин инцидента. По сведению от администраторов инфраструктуры ZPanel, злоумышленники смогли получить полный контроль над сервером одного из сотрудников компании, на котором размещался сервис ZPanelCP Module Directory, в котором имелась неисправленная уязвимость, позволяющая осуществить подстановку SQL-запроса. Сведения о способе взлома аккаунтов на форуме проекта не сообщаются.
Дополнение: Администрация проекта ZPanel объявила, что основные серверы инфраструктуры не пострадали, атакован был только хост с ZPanelCP Module Directory, при этом для взлома использовалась уязвимость в данной службе. Пароли доступа к форуму были получены на основе утечки параметров аккаунтов на атакованном хосте, пострадавшие разработчики использовали одни и те же пароли на форуме и на взломанном сервере. Проблема безопасности в системе шаблонов устранена.
Грубиян исключён из числа участников проекта.
Источники
править
Любой участник может оформить статью: добавить иллюстрации, викифицировать, заполнить шаблоны и добавить категории.
Любой редактор может снять этот шаблон после оформления и проверки.
Комментарии
Если вы хотите сообщить о проблеме в статье (например, фактическая ошибка и т. д.), пожалуйста, используйте обычную страницу обсуждения.
Комментарии на этой странице могут не соответствовать политике нейтральной точки зрения, однако, пожалуйста, придерживайтесь темы и попытайтесь избежать брани, оскорбительных или подстрекательных комментариев. Попробуйте написать такие комментарии, которые заставят задуматься, будут проницательными или спорными. Цивилизованная дискуссия и вежливый спор делают страницу комментариев дружелюбным местом. Пожалуйста, подумайте об этом.
Несколько советов по оформлению реплик:
- Новые темы начинайте, пожалуйста, снизу.
- Используйте символ звёздочки «*» в начале строки для начала новой темы. Далее пишите свой текст.
- Для ответа в начале строки укажите на одну звёздочку больше, чем в предыдущей реплике.
- Пожалуйста, подписывайте все свои сообщения, используя четыре тильды (~~~~). При предварительном просмотре и сохранении они будут автоматически заменены на ваше имя и дату.
Обращаем ваше внимание, что комментарии не предназначены для размещения ссылок на внешние ресурсы не по теме статьи, которые могут быть удалены или скрыты любым участником. Тем не менее, на странице комментариев вы можете сообщить о статьях в СМИ, которые ссылаются на эту заметку, а также о её обсуждении на сторонних ресурсах.