Oświadcznie w sprawie wykrycia krytycznej luki serwerów Home.pl

Home.pl to największy w Polsce provider wirtualnych serwerów. Firma działa od 1997, co gwarantuje im bogate doświadczenie. Można łatwo się domyślić, że na serwerach home.pl znajdują się wszelakie serwisy internetowe - od stron ministerstw (np. MEN), po strony partii politycznych (PiS, Samoobrona), jak i strony dużych portali i sklepów internetowych, czy też banków.

Home.pl jest swoistym kolosem i liderem w swojej dziedzinie. Wg rankingu top100.pl, home wyprzedza konkurencję będącą na drugim miejscu o 100% w liczbie zarejestrowanych domen.

Jak to w życiu bywa nawet najwięksi liderzy zaliczają wpadki. W tym przypadku jest to wpadka na najwyższym poziome, krytyczna luka w bezpieczeństwie serwerów dotycząca wszystkich kont wirtualnych na home.pl, włączając w to konto główne, czyli sam serwis home.pl, na którym klienci tejże firmy sprawdzają pocztę, czy też np. konfigurują bazy danych.

Oficjalne oświadczenie HACK.pl w sprawie luki krytycznej home.pl:

O luce w serwerach home.pl poinformowaliśmy w celach informacyjnych, równocześnie proponując pomoc. Wynika to bezpośrednio z treści korespondencji, która została wymieniona pomiędzy HACK.pl a home.pl. Z korespondencji jasno wynika, że złożyliśmy propozycję dla home.pl dotyczącą ujawnienia informacji, którymi tenże serwis mógłby być zainteresowany. O szantażu nie może być mowy. Co więcej, z treści wiadomości, które otrzymali Przedstawiciele home.pl, wynika jasno i klarownie, że zwróciliśmy się w celu zaoferowania pomocy. Cytaty z korespondencji:

"Chcieliśmy z góry zauważyć, że piszemy do Państwa w celu informacyjnym i naszym zamiarem nie jest wykorzystanie tego błędu w sposób niezgodny z prawem."

"Chcemy postąpić maksymalnie przyjaźnie wobec home.pl, z naszego punktu widzenia, dobrze byłoby gdyby na łamach HACK.pl pojawił się news dotyczący luki w home.pl, ale też rozumiemy Państwa sytuację."

"Zaznaczam, że ujawnił Pan treść prywatnej wiadomości - została ona wysłana tylko i wyłącznie do home.pl, nie została wysłana do pozostałych serwisów. Informacja, którą otrzymał portal home.pl, została wysłana w celu poinformowania Państwa o zaistniałej sytuacji, nie jest ona próbą wyłudzenia pieniędzy."

Opis techniczny luki [Michał Semeniuk]

Dlaczego nazywam to odkrycie błędem krytycznym? Luka umożliwiała przeglądanie pełnych logów serwera każdego konta wirtualnego na home.pl. Log taki zawiera w sobie informacje o każdym wywołaniu dowolnego adresu serwera (strony, pliku) otoczonym takimi informacjami jak host i ip odwiedzającego, dokładny czas, referera (poprzednio otwarta strona), jak i status połączenia, dzięki któremu możemy wyłapać wszystkie strony wywołujące błąd serwera.

Log zawiera w sobie np. wszelkie strony otwierane w phpmyadmin - narzędziu służącym do obsługi baz mysql - oficjalnie uznanym, domyślnie zainstalowanym i skonfigurowanym dla każdego konta na home.pl. Przykładowo znaleziony wpis w logu:

XXXXX.neoplus.adsl.tpnet.pl - - [02/Apr/2007:16:38:20 +0200] "GET /sql/sql.php?db=*nazwa_konta*2&table=*nazwa_tabeli
*&token=f330213d49aabe[...]&sql_query=SELECT+%2AFROM+%60
*nazwa_tabeli*%60++ORDER+BY+%60*pole_w_tabeli*%60+ASC&
zero_rows=Rekord+zosta%B3+skasowany&goto=tbl_properties_structure.php
&message=Skasowane+rekordy%3A%26nbsp%3B1+%28Wykonanie+zapytania
+trwa%B3o+0.0003+sekund%28y%29%29 HTTP/1.1" 200 7111 "[...]" "Mozilla/5.0
(Windows; U; Windows NT 5.1; pl; rv:1.8.1.3) Gecko/20070309 Firefox/2.0.0.3"

Powyższy przykład pokazuje, że wszelkie działania przez phpmyadmin są rejestrowane w logu wraz z wykonywanymi zapytaniami, przez co bez większego problemu możemy poznać strukturę tabel, które były obsługiwane poprzez to narzędzie. Z punktu widzenia bezpieczeństwa serwisów korzystających z home.pl, taka możliwość była olbrzymim ułatwieniem dla najróżniejszych ataków.

Innym przykładem wykorzystania takiej luki jest możliwość wykrycia nazw plików czy folderów ukrytych przed ogólnym dostępem. Wiele osób nadaje skomplikowaną nazwę plikowi / katalogowi na serwerze (np. panelowi administracyjnemu serwisu), aby nikt z zewnątrz nie mógł na nią przypadkowo wpaść. W przypadku możliwości dostępu do logów spowodowej wykrytą przez nas luką, widzimy każde wywołanie pliku, a więc także wszystkie wywołania wykonane przez autoryzowanych użytkowników, którzy znają ich skomplikowaną nazwę.

Sposób uzyskania dostępu

Home.pl do momentu otrzymania pierwszych informacji od nas utrzymywał wszystkie logi, wraz ze statystykami serwisu w katalogu: nazwa_konta.home.pl/statsXXX , gdzie XXX to 3 cyfrowa liczba generowana losowo. W momencie dostania się do katalogu, użytkownik nie był w żaden sposób weryfikowany (poprzez np. wcześniejszą autoryzację zawartą w cookie). Inaczej rzecz ujmując znając trzycyfrową frazę po ciągu nazwa_konta.home.pl/stats każdy użytkownik internetu mógł przeglądać logi serwera, które nie były w żaden inny sposób chronione. Aby poznać trzy losowe cyfry wystarczyło napisać skrypt sprawdzający czy istnieje katalog od nazwa_uzytkownika.home.pl/stats100 aż do nazwa_uzytkownika.home.pl/stats999 na danym koncie. Skrypt taki wykonuje się 2 sekundy! Wniosek? Największy provider w Polsce od kilku lat nie zabezpieczył dostatecznie dostępu do pełnych logów wszystkich serwisów korzystających z serwerów home.pl (np. men.gov.pl, pis.org.pl), bo losowo dobrane 3 cyfry zawarte w nazwie katalogu są jak na dzisiejszy poziom zabezpieczeń w internecie zabezpieczeniem żadnym.

Ewidentny efekt wykorzystania luki - dostęp do paneli MEN.GOV.PL

Aby przykładowo pokazać jak prosto można wykorzystać dostęp logu serwera, sprawdziłem pierwsze lepszy adres wyszukany w google poprzez zapytanie site:home.pl - padło na MEN. Po krótkim sprawdzeniu jaki katalog z logami przypisany jest dla serwisu http://men.home.pl dowiedziałem się, że jest to: http://men.home.pl/stats320.

Jak widać na załączonym obrazku na górze strony widnieją do pobrania pliki .txt - są to omawiane logi serwera (warto zauważyć, że statystyki są analizą danych zawartych w logach). Pod lupę wybrałem losowo jeden z plików z logiem: http://men.home.pl/stats320/statslog.20070329.txt , który oczywiście nie jest już ogólnie dostępny po naszej interwencji w home.pl. Po krótkiej analizie zwróciłem uwagę na katalog, który może oznaczać panel administracyjny (nie będę zdradzać jego nazwy gdyż sprawa jest aktualna). Dalej wyszukałem wszelkie wywołania plików w tym katalogu, i doszedłem do strony w której użytkownik dostawał potwierdzenie o poprawnym zalogowaniu. Po otworzeniu tej strony okazało się, że mam pełen dostęp do panelu administracyjnego www.men.gov.pl - mogę edytować każdą treść przez ich własny panel cms. Na dowód:

W tym momencie mogłem przerobić obecny już artykuł na stronie, podmienić zdjęcia, napisać cokolwiek bym chciał, aby ukazało się na oficjalnej stronie Ministerstwa Edukacji Narodowej, które zdecydowało się hostować swoją stronę na home.pl.

Jak widać HACK.pl nie ma i nigdy nie miał złych zamiarów. Naszą intencją było poinformowanie właścicieli serwisu home.pl o bardzo poważnej luce w bezpieczeństwie serwerów wirtualnych i zaoferowanie pomocy w ich usunięciu.

Mamy nadzieję, że przykład MENu (który jest jednym z kilku) pozwoli wystarczająco zrozumieć jak bardzo home.pl narażał wszystkich swoich klientów na najróżniejsze formy ataków przez kilka ostatnich lat.

Podsumowanie:

Pamiętajmy o tym, że nawet profesionalistom zdarzają się poważne wpadki - tak się stało w przypadku home.pl. Uważamy za nieuczciwe, że administratorzy serwerów home.pl przypisali sobie wykrycie zgłoszonej przez nas luki. Jeden z cytatów z korenspondencji wysłanej 12 minut po tym jak szczegółowo opisaliśmy problem i 4 godziny i 32 minuty po tym jak zgłosiliśmy wykrycie luki:

"[..] Za pożno - luka jest już usunięta od 15 minut... Analizując Państwa poczynania w logach doszliśmy do tego jakąś godzine temu....[..]".

Nadal nie rozumiemy tego zdania. Za późno na co.. (home.pl przecież istnieje kilka dobrych lat...)

Jeden z większych (teoretycznie zajmujących się bezpieczeństwem) wortali informacyjnych, który napisał o wykrytej przez nas luce jakby jej istnienie i usunięcie nie było specjalne groźne czy ważne, mija się również z prawdą kto wykrył i ułatwił jej usunięcie. Nie będziemy tego komentować.

HACK.pl

Realizacja: SIPLEX Studio