szukaj

29.03.2017 | 21:44

avatar

Adam Haertle

Włamanie na jakdojade.pl prawdopodobnie skutkiem niezałatanej podatności

Dzisiaj około godziny 20 spora część użytkowników smartfonów mogła poczuć się lekko zagubiona w swoich miastach, ponieważ włamywacze z Pakistanu podmienili stronę  główną oraz kilka podstron popularnego serwisu JakDojade.pl.

Choć podmiany stron internetowych zdarzają się w sieci dość często, to rzadko dotyczą one serwisów większych niż zwykły blog uruchomiony w oparciu o WordPressa, Drupala czy Joomlę. Oczywiście znane są przypadki, gdy włamywacze uzyskiwali dostęp do stron WWW poważnych instytucji (by nie szukać daleko wystarczy spojrzeć na przypadek Netii, GPWGetin Banku, Plus Banku czy KNF), jednak są to zdarzenia na tyle rzadkie, ze warto się przyjrzeć, jak mogło do nich dojść.

Pakistańska niespodzianka

Osoby, które dzisiaj około godziny 20 próbowały zajrzeć na stronę jakdojade.pl (lub co najmniej główne subdomeny), trafiały na taki oto komunikat:

Hacked by Zero Cool >>>Team Pak Cyber Thunders (Greetz to Pakistani Hackers)

Z ciekawości znaleźliśmy na Facebooku Team Pak Cyber i po chwili ktoś obsługujący to konto był uprzejmy odpowiedzieć na kilka naszych pytań. Dowiedzieliśmy się między innymi, że włamywacze nie bawili się w kradzież danych użytkowników (tak przynajmniej twierdzą) a podmieniając stronę główną podobno starą kopię zapisali z boku, by niczego (za bardzo) nie uszkodzić. Ciekawszy jednak wydaje się wątek wektora włamania – nasz rozmówca wskazał na znaną od początku tego miesiąca podatność w module Apache, Struts2. Co ciekawe, podatność ta ma występować w starej wersji serwisu. Faktycznie, wygląda na to, że jakdojade.pl korzysta ze Struts2, a atak za pośrednictwem tego błędu jest dość trywialny (o czym boleśnie w ostatnich tygodniach przekonały się także inne polskie duże firmy).

Informacje otrzymane od włamywacza przekazaliśmy właścicielowi jakdojade.pl wraz z kilkoma pytaniami, lecz nie mamy jeszcze odpowiedzi. Zhakowana strona została przywrócona w ciągu kilku minut. Na koniec dodamy tylko, że włamywacz nie miał nawet pojęcia, jak ważną rolę w życiu Polaków odgrywał zaatakowany serwis…

PS. Naprawdę, aktualizujcie oprogramowanie i wyłączajcie stare serwery. I debugging na produkcji też.

Aktualizacja 2017-03-29 23:00

JakDojade.pl ekspresowo odpowiedział na nasze zapytania. Serwis potwierdził, że faktycznie doszło do włamania przez lukę w Struts2. Serwis old.jakdojade.pl był utworzony za dawnych czasów dla telefonów obsługujących J2ME i nie był wyłączony, ponieważ lepiej radziły sobie z nim programy dla osób niewidomych. Niestety korzystał z biblioteki Struts2 w wersji 2.3.31, która była podatna na wykonanie kodu. Dodatkowo trzy front-endy (główny, wersja mobilna i wersja old) działały na jednej maszynie, dzięki czemu włamywacz mógł podmienić wszystkie trzy naraz. Serwer old został już wyłączony, środowiska zostaną rozdzielone a cały serwis wkrótce będzie przepisany na HTML5  i JS.

Dziękujemy za szybką i wyczerpującą odpowiedź, takiej reakcji wiele innych serwisów może tylko pozazdrościć.

Powrót

Komentarze

  • avatar
    2017.03.30 08:42 Huczas

    Hasło i tak zmienione – 1Password robi robotę przy takich wydarzeniach :) a swoją drogą, hakerzy gadający przez fb dobre ;)

    Odpowiedz
  • avatar
    2017.03.30 10:27 Tomek

    A tak nieco z innej beczki… Kojarzy ktoś co robi aplikacja CluifyBeaconService, która działa w pamięci telefonu z androidem po uruchomieniu aplikacji JakDojade? To jakiś moduł śledzenia do celów marketingowych?

    Odpowiedz
    • avatar
      2017.03.30 10:42 Adam Odpowiedz
      • avatar
        2017.03.30 19:39 Lucysan

        Ja pierdziele, ale to jest złe

        Odpowiedz
        • avatar
          2017.03.31 13:36 Tomek

          Tak, to zdecydowanie złe. Aplikacja do usunięcia :-) pozostaje strona mobilna.

          Odpowiedz
          • avatar
            2017.04.08 08:15 Dev

            nie ma tam nic strasznego. Biorą jedynie Ad.ID, które bierze Google więc nowego zagrożenia nie ma

  • avatar
    2017.03.30 12:42 kink-kong

    > Serwis old.jakdojade.pl był utworzony za dawnych czasów dla telefonów obsługujących J2ME i nie był wyłączony, ponieważ lepiej radziły sobie z nim programy dla osób niewidomych.
    I tym oto sposobem powiela się stereotyp „dostępność = stare technologie, czyt nie warto”. Jeśli jakiś niewidomy czyta zts, a kilku znajdzie się na pewno to polecam raczej ich stronę mobilną. Zresztą old już tam przekierowuje.

    Odpowiedz
  • avatar
    2017.03.31 01:37 Jan

    Na zgłoszenie odpowiadać to odpowiadają szybko, jednak od kilku miesięcy nie potrafią poprawić błędu usuwania Moich punktów na www.
    //EX[0,1,[„com.molbas.gwt.client.services.exceptions.GWTServiceUnavailableException/3325353518”],0,7]

    Odpowiedz
  • avatar
    2017.03.31 09:51 John Sharkrat

    „włamywacze z Pakistanu ” – włamywacze jak włamywacze, ale jak to brzmi.

    Odpowiedz
  • avatar
    2017.03.31 18:56 zabawne

    nie osmieszajcie sie swoimi komentarzam – że niby pakistanczyk nie wiedzial jaką role pełni serwis – 90k lajków; https; pracujący na sundomenach i mający stare środowiska developerskie – na pewno myślał, że to kolejny blog na WP ]:->

    Odpowiedz
  • avatar
    2017.04.02 01:45 @DonkeyJJLove

    — No jest to dziwna akcja z cyklu (jak sądzę) „by było taniej”. Jest podatność, są inne. Mamy świadomość ale bardziej opłaca się monitorować. Bo wiadomo → DOWN → BLACKBOX → i mamy to. Czy tak? Kto wie? Ciężko jest monitorować „wszystko” jak wszytko ma luki. Reguła a Tamper itd. w praktyce chronisz zdarzenia krytyczne a … a inne…
    .
    • atak na user’a.
    • etc…, etc…
    .
    — Dobrze się to skończyło a serwis i użytkownicy mieli wiele szczęścia. Napisałem to słowo na „s”.
    .
    No właśnie…

    Odpowiedz

Zostaw odpowiedź

Jeśli chcesz zwrócić uwagę na literówkę lub inny błąd techniczny, zapraszamy do formularza kontaktowego. Reagujemy równie szybko.

Włamanie na jakdojade.pl prawdopodobnie skutkiem niezałatanej podatności

Komentarze