Aanvallers kapen sites via verkeerde NFS-permissies hosters

[Captain Kirk]

Aanvallers hebben websites die bij verschillende hostingbedrijven waren ondergebracht kunnen compromitteren omdat de NFS-permissies van de shared hostingomgeving verkeerd stonden ingesteld en er onnodig informatie werd gelekt. Het ging onder andere om iPage, FatCow, PowWeb en NetFirms.

Door de kwetsbaarheden konden aanvallers de databases van de websites aanpassen, zonder dat ze directe toegang tot de websites hadden. Bij shared hosting worden meerdere klanten op één server gehost. Elke klant krijgt een account op de server en zijn website is aan dat account gekoppeld.

In het geval van de kwetsbare hostingproviders werden de websites van klanten op een gedeeld bestandssysteem (NFS) gehost. Alle directories op dit gedeelde bestandssysteem waren standaard "world-traversable" of "group-traversable" en alle klantbestanden "world-readable" of "group-readable". Daarnaast was het pad naar de website-directory van de klant openbaar of kon eenvoudig worden geraden.

De aanvallers konden zo een beheerdersaccount genaamd 'badminton' toevoegen dat vervolgens werd gebruikt om op de website in te loggen. Zodra de aanvallers waren ingelogd werd er via de WordPress theme editor kwaadaardige code aan de website toegevoegd die verkeer van zoekmachines kaapte en bezoekers van de websites naar spamsites doorstuurde.

De kwetsbaarheden werden door securitybedrijf Wordfence ontdekt, dat de hostingbedrijven waarschuwde. Die namen vervolgens maatregelen om de problemen te verhelpen. Hoeveel websites op deze manier zijn gecompromitteerd is onbekend. Een zelfde probleem werd vorig jaar ook bij verschillende andere hostingbedrijven aangetroffen.

 

 

bron: security.nl