Capn3m0 WebSecurity

In questi ultimi giorni persino sulla carta stampata si intravedono articoli riguardanti “fatti informatici” come lo scontro tra Google e il Governo Cinese oppure l’invito di alcuni Governi (Francia e Germania) a non utilizzare il noto Browser di Microsoft Internet Explorer. Immagino che la domanda di molti sia, cosa sta succedendo?

Andiamo per ordine, circa una settimana fa il colosso di MountView comunica l’individuazione di violazioni nella loro infrastruttura informatica mirati verso alcuni indirizzi email. In un primo momento hanno pensato che si trattasse di “normale amministrazione”, in fin dei conti una grande azienda come Google di violazioni o tentativi ne riceve quotidianamente. Indagando accuratamente, però, è emerso che il mittente di questi attacchi fosse il Governo Cinese e le vittime, invece, fossero alcuni esponenti per i diritti umani oltre ad una ventina di grandi aziende di vari settori: finanziario, chimico, comunicazione, etc.porpo

[...]

In questi giorni analizzando le statistiche dei Webmaster Tools di Google ho notato che risultavano numerosi “Errori di Reindirizzamento” come si vede nella figura seguente:

Testando i link che venivano segnalati in errore, però, mi sono accorto che si dividevano in 3 “sottocategorie”:

• Alcuni venivano correttamente caricati dal Browser;
• Alcuni erano riferimenti al plugin “Global Translator” e, quindi, a file non più in cache o non disponibili in quel momento;
• Altri erano nel formato “url/feed/” e se caricati generavano un errore di “Redirect Loop“.

[...]

Sebbene in ritardo rispetto alla data di pubblicazione di questo Exploit (13/11/2009) oggi vi parlerò di una grave falla individuata nelle versioni 5.2.12/5.3.1 del Php che sfruttando delle falle strutturali delle funzioni symlink() permette di bypassare il check dei permessi della funzione open_basedir.

Di fatto questa vulnerabilità da la possibilità di leggere aree/file del WebServer non autorizzate quali il file “/etc/passwd” e similari.

L’applicazione pratica e più semplice di tale vulnerabilità è il seguente codice:

< ?php
 symlink("/etc/passwd", "prova.txt");
 ?>

Se il “safe_mode” del Php era disabilitato nel proprio spazio sarebbe stato creato un link simbolico dal nome “prova.txt” che puntava al contenuto di “/etc/passwd”. In questo modo richiamando dal browser il link simbolico nel seguente modo:

http://<dominio>/prova.txt

avremmo visualizzato a video il contenuto del file “/etc/passwd”. A seconda dell’Hosting questo file può contenere anche le password dell’account web del Cliente e pertanto la gravità della vulnerabilità è elevata.

Nel caso, invece, il safe_mode del Php fosse stato attivo sarebbe stato visualizzato un messaggio di errore che indicava l’impossibilità di eseguire l’operazione a causa della mancanza dei permessi di accesso al file “/etc/passwd”.

Ho provato ad applicare questa tecnica su diversi Hosting dove ho sitarelli o spazi per fare dei test e in base ad alcune configurazioni di sicurezza (privilegi, followsymlink,etc.) si poteva o meno accedere a dati sensibili come, per esempio, visualizzare i file di configurazione di altri domini presenti sullo stesso server dove siamo noi.

Questa vulnerabilità del Php ha fatto nascere alcune discussioni legate ai vari attacchi di massa che si sono verificati lo scorso anno su vari Hosting condivisi noti e meno noti. Dal mio punto di vista è plausibile pensare, quindi, che questa falla abbia dato la possibilità di accedere e violare centinaia di spazi Web rubando informazioni preziose per eventuali ulteriori attacchi.

Link correlati:

Exploit

PHP 5.2.12/5.3.1 symlink() open_basedir bypass – SecurityReason.com

Symlink Attack – HTML.it