Súlyos sérülékenységet fedezett fel Matek

Matek KamillóEgy magyar informatikus, Matek Kamilló, az egyik nagy magyarországi tanácsadócég it-csapatának senior etikus hackere talált a nemzetközi sztenderdek szerint 9.8-as erősségű sérülékenységet a számos multinacionális cég által használt Pandora FMS nevű monitorozó szoftverben. A gyártó javította a hibát, a hírt a nemzetközi szaksajtó is felkapta. A hacker kisebb-nagyobb sérülékenységeket láncoltan kihasználva jutott be a Pandora szerverébe. Az etikus hacker a forráskódot saját maga által készített eszközökkel vizsgálva fedezte fel a különböző sérülékenységeket. Ezeket összekötve és együtt kihasználva szerzett egyre magasabb hozzáférést a környezetben. A sérülékenységeket etikus hacker lévén bejelentette a szoftver gyártójának és a MITRE-nek is. Ezzel egy időben elküldte az analizáláshoz és javításhoz szükséges technikai információkat a gyártónak, egy példa támadó kódot, valamint egy demonstrációs videót is. A gyártó a sérülékenységeket megvizsgálta és kijavította. A javítások publikálása után, a hacker nyilvánosságra hozta a sérülékenységeket a saját honlapján.

A Pndora szoftverének alaphibája egy Cross Site Scripting, röviden XSS volt. Ennek lényege, hogy a rendszer bizonyos esetekben nem ellenőrzi megfelelően a felhasználótól érkező beviteli adatokat és megbízható szűrés nélkül elmenti őket az adatbázisba. Ilyenkor előfordulhat, hogy egy felhasználó nem egy másiknak szóló üzenetet helyez el egy chat-ben, hanem egy programkódot, amit a másik felhasználó böngészője szó nélkül lefuttat. Képzeljünk el egy rosszul védett vendégkönyvet, amibe valaki a kiszolgálás értékelése helyett kártékony kódot helyez el. A többi vendég, és a rendszer üzemeltetője rendszeresen megnyitják az oldalt, és a gépük máris futtatja a kódot. Ez történt a Pandora FMS esetében is. A hacker egy alapszintű hozzáféréssel a „visual console” definiálásához használt beviteli mezőjében helyezte el a JavaScript nyelven írt kártékony kódot. Fontos, hogy ez az egyetlen lépés, amit maga a támadó hajt végre, minden más automatikusan történik.

A legtöbb szoftveren sajnálatos módon egyáltalán nem végeznek biztonsági forráskód vizsgálatokat. Ha végeznek is, a forráskód vizsgálatát csak automata eszközökkel végzik el, mert az viszonylag gyors és olcsó. Ezek az eszközök azonban – bár számos sérülékenységet és hibát feltárnak – nem képesek pótolni az emberi hozzáértést. Olyan ez, mint a helyesírás ellenőrző, vagy a fordítóprogramok: a rosszul leírt szavakat kiszúrják, a lefordított szavakat több-kevesebb sikerrel egymás mellé rakják, de ma még így sem születnek nyelvtanilag hibátlan, stilisztikailag vagy akár tartalmilag kifogásolhatatlan szövegek. A Pandora FMS szoftvere nyílt forráskódú és több alkalommal egymástól függetlenül végeztek rajta forráskód elemzést, ennek ellenére egyes feltárt biztonsági hiányosságok hosszú évek óta megtalálhatók voltak a rendszerben, és ilyenek összekötése tette lehetővé a magyar etikus hacker számára is a hozzáférés megszerzését.

Vélemény, hozzászólás?

Az e-mail-címet nem tesszük közzé.