Włamanie na jakdojade.pl prawdopodobnie skutkiem niezałatanej podatności

dodał 29 marca 2017 o 21:44 w kategorii Włamania  z tagami:
Włamanie na jakdojade.pl prawdopodobnie skutkiem niezałatanej podatności

Dzisiaj około godziny 20 spora część użytkowników smartfonów mogła poczuć się lekko zagubiona w swoich miastach, ponieważ włamywacze z Pakistanu podmienili stronę  główną oraz kilka podstron popularnego serwisu JakDojade.pl.

Choć podmiany stron internetowych zdarzają się w sieci dość często, to rzadko dotyczą one serwisów większych niż zwykły blog uruchomiony w oparciu o WordPressa, Drupala czy Joomlę. Oczywiście znane są przypadki, gdy włamywacze uzyskiwali dostęp do stron WWW poważnych instytucji (by nie szukać daleko wystarczy spojrzeć na przypadek Netii, GPWGetin Banku, Plus Banku czy KNF), jednak są to zdarzenia na tyle rzadkie, ze warto się przyjrzeć, jak mogło do nich dojść.

Pakistańska niespodzianka

Osoby, które dzisiaj około godziny 20 próbowały zajrzeć na stronę jakdojade.pl (lub co najmniej główne subdomeny), trafiały na taki oto komunikat:

Hacked by Zero Cool >>>Team Pak Cyber Thunders (Greetz to Pakistani Hackers)

Z ciekawości znaleźliśmy na Facebooku Team Pak Cyber i po chwili ktoś obsługujący to konto był uprzejmy odpowiedzieć na kilka naszych pytań. Dowiedzieliśmy się między innymi, że włamywacze nie bawili się w kradzież danych użytkowników (tak przynajmniej twierdzą) a podmieniając stronę główną podobno starą kopię zapisali z boku, by niczego (za bardzo) nie uszkodzić. Ciekawszy jednak wydaje się wątek wektora włamania – nasz rozmówca wskazał na znaną od początku tego miesiąca podatność w module Apache, Struts2. Co ciekawe, podatność ta ma występować w starej wersji serwisu. Faktycznie, wygląda na to, że jakdojade.pl korzysta ze Struts2, a atak za pośrednictwem tego błędu jest dość trywialny (o czym boleśnie w ostatnich tygodniach przekonały się także inne polskie duże firmy).

Informacje otrzymane od włamywacza przekazaliśmy właścicielowi jakdojade.pl wraz z kilkoma pytaniami, lecz nie mamy jeszcze odpowiedzi. Zhakowana strona została przywrócona w ciągu kilku minut. Na koniec dodamy tylko, że włamywacz nie miał nawet pojęcia, jak ważną rolę w życiu Polaków odgrywał zaatakowany serwis…

PS. Naprawdę, aktualizujcie oprogramowanie i wyłączajcie stare serwery. I debugging na produkcji też.

Aktualizacja 2017-03-29 23:00

JakDojade.pl ekspresowo odpowiedział na nasze zapytania. Serwis potwierdził, że faktycznie doszło do włamania przez lukę w Struts2. Serwis old.jakdojade.pl był utworzony za dawnych czasów dla telefonów obsługujących J2ME i nie był wyłączony, ponieważ lepiej radziły sobie z nim programy dla osób niewidomych. Niestety korzystał z biblioteki Struts2 w wersji 2.3.31, która była podatna na wykonanie kodu. Dodatkowo trzy front-endy (główny, wersja mobilna i wersja old) działały na jednej maszynie, dzięki czemu włamywacz mógł podmienić wszystkie trzy naraz. Serwer old został już wyłączony, środowiska zostaną rozdzielone a cały serwis wkrótce będzie przepisany na HTML5  i JS.

Dziękujemy za szybką i wyczerpującą odpowiedź, takiej reakcji wiele innych serwisów może tylko pozazdrościć.