Algunos de los mayores sitios web de alojamiento eran vulnerables a la cuenta simple adquisición de hacks

Zack Whittaker

@zackwhittaker
/
9 horas

Un investigador de seguridad ha encontrado, informó, y manifestado ahora a una docena de errores que hizo fácil robar información sensible o tomar el control de cualquier cuenta del cliente de algunas de las mayores empresas de alojamiento web en internet.

En algunos casos, al hacer clic en un enlace sencillo habría sido suficiente para Paulos Yibelo, un conocido y respetado bug hunter, para hacerse cargo de las cuentas de ninguno de los cinco grandes proveedores de hosting — Bluehost, Dreamhost, Hostgator, OVH, y iPage.

“Los cinco tenían al menos una grave vulnerabilidad que permite a un usuario de la cuenta de secuestro”, dijo a TechCrunch, que compartió sus hallazgos con el antes de hacerlo público.

Los resultados de sus pruebas de vulnerabilidad probable que no llenan los clientes con mucha confianza. Los errores, ahora se fija de acuerdo a Yibelo la valoración crítica, representan casos de envejecimiento de las infraestructuras, complicado y extenso de la web basados en sistemas de back-end, y la empresa de cada uno de ellos con una enorme base de usuarios —con el potencial de ir fácilmente mal.

En todos, los errores podrían haber sido usados para hacer objetivo a cualquier número de los colectivos de dos millones de dominios en virtud de la Resistencia de propiedad de Bluehost, Hostgator y iPage, Dreamhost de un millón de dominios y OVH cuatro millones de dominios — con un total de unos siete millones de dominios.

La mayoría de Yibelo ataques de que eran bastante simple, pero eficaz si se combina con un objetivo de phishing selectivo de la campaña que el blanco de alto perfil de los usuarios. Con el registro del dominio de los datos disponibles para la mayoría de los grandes clientes en bases de datos de WHOIS del registrador, la mayoría de los ataques se han basado en el envío de la titular del dominio de un enlace malicioso por correo electrónico y con la esperanza de que se haga clic.

En el caso de Bluehost, Yibelo incrustado el código JavaScript malicioso en una página llena de gatitos o cachorros, o cualquier cosa que él desee. Tan pronto como un usuario registrado en Bluehost usuario hace clic en un vínculo de un correo electrónico o un tweet a esa página, el oculto JavaScript en la página, e inyectar el atacante de la propia información de perfil en la declaración de la víctima — el supuesto de que el usuario ya ha iniciado sesión en Bluehost — mediante la explotación de un cross-site request forgery (CSRF) de la falla. Que permite que el atacante modificar los datos en el servidor de su sitio malicioso, mientras que la víctima es ninguno de los sabios. Mediante la inyección de su propia información — incluyendo dirección de correo electrónico — el atacante puede solicitar una nueva contraseña para que el atacante de la dirección de correo electrónico, y la toma de posesión de la cuenta.

Una demostración de un simple hack, que implica un uno-haga clic en el enlace que permite a un atacante descanso y toma de control de una cuenta de usuario. (Paulos Yibelo/YouTube)

Yibelo también se encontró que el ataque podría trabajar en la forma de un cross-site scripting (XSS) ataque. Él demostró cómo un solo clic en un enlace malicioso puede instantáneamente intercambiar un Dreamhost del titular de la cuenta dirección de correo electrónico para que un atacante utiliza, permitiendo Yibelo — o a un atacante enviar un restablecimiento de contraseña de código para ser enviadas al correo electrónico de la atacante, que permite que una cuenta de toma de posesión.

Hostgator, por su parte, sufrió de varias vulnerabilidades, incluyendo una similar CSRF defecto que engañar a las contramedidas para evitar un cross-site script de ejecución, que le permite agregar, editar o modificar cualquiera de los datos en el perfil de la víctima, tales como una dirección de correo electrónico que podría ser utilizado para restablecer la contraseña del usuario.

Yibelo también encontró varios otros menos probable, pero todavía serias fallas, permitiendo a los hombres-en-el-medio de los ataques en una red local — como un hotspot Wi-Fi público.

OVH, mientras tanto, había un defecto similar que permitió Yibelo para eludir su CSRF protecciones que le permiten agregar, cambiar o editar los datos de perfil de usuario. Mediante el uso de otra vulnerabilidad en su API, que podría haber permitido a un atacante obtener y leer las respuestas de OVH.

Y, iPage, había uno similar clic defecto que podría ser fácilmente explotados debido a que el host web no requieren de un viejo o contraseña actual al restablecer la cuenta de los detalles de inicio de sesión. Que hizo posible que un atacante crear una web maliciosos dirección de la que, cuando se hace clic, sería restablecer la contraseña a uno de los del atacante elección — lo que les permite iniciar la sesión como usuario.

La mayoría de las empresas de alojamiento web también se ha corregido la información y filtraciones de datos de fallas, también descubierto por Yibelo.

Todas las empresas, además de OVH — que no responden a una solicitud de comentario enviado antes de la publicación — confirmó que los errores fueron corregidos.

Kristen Andrews, un portavoz de la Resistencia, una empresa de alojamiento web que posee Bluehost, Hostgator y iPage, dijo que la compañía “ha tomado medidas para abordar y revisión de las posibles vulnerabilidades en cuestión,” pero, cuando se le preguntó, no dicen si los errores han sido explotados o si las cuentas de los clientes o de los datos había sido comprometida.

Dreamhost, mientras tanto, dijo que se han corregido los errores de “menos de 48 horas después”, según el portavoz de Brett Dunst, y no encontró ninguna evidencia para sugerir que alguien aprovechara el error fuera Yibelo de pruebas.

“Después de una minuciosa revisión de nuestro sistema de acceso a los registros de podemos confirmar que no hay cuentas de los clientes se han visto afectados y no los datos de los clientes se ha visto comprometida”, dijo. “El ataque se habría requerido un sesión en DreamHost usuario haga clic en un formato especial vínculo malicioso para alterar su propia cuenta la información de contacto”.

Es admirable pensar que, de todas las formas de entrar en un sitio web, a menudo — como Yibelo mostró — no a través de cualquier enrevesado ataque o rompimiento de los firewalls. Es simplemente a través de la puerta de el host del sitio, requiere un poco de esfuerzo para el promedio de hacker.

La ciberseguridad 101: Cinco simples guías de seguridad para proteger su privacidad