Flere sikkerhedshuller blev opdaget i fem populære web-hosting-tjenester. Fejlene gør det muligt trussel aktører til at stjæle følsomme oplysninger eller endda overtage kunders konti. Sårbarhederne blev udgravet af sikkerhed forsker Paulos Yibelo, der er en velkendt bug jæger. De berørte hosting-tjenester er Bluehost, DreamHost, Hostgator, OVH og iPage.
Målet med Yibelo s forskning var ”at forsøge at se, om hjemmesider hostet på Bluehost, Dreamhost, HostGator, OVH, eller iPage kunne blive kompromitteret med et enkelt klik klientsiden sårbarheder". Da det viser sig,, et kompromis faktisk er muligt på alle fem hosting-udbydere, og på grund af de fundne klientsiden mangler, konto overtagelser kan faktisk ske.
sårbarhederne, som nu fikseret, kunne have været indsat mod nogen af de to millioner domæner under Bluehost, Hostgator og iPage (alle ejet af samme selskab, Udholdenhed), DreamHost er en million domæner og OvH fire millioner domæner. I alt, cirka syv millioner domæner kunne nemt have blevet kompromitteret. Selvom angrebene Yibelo testede var ikke kompliceret overhovedet, de kunne have været nemt bruges mod højt profilerede brugere i målrettede spear phishing kampagner. Da detaljer domæneregistrering er nemme at finde på registrator WHOIS-databaser, potentielle angribere ville kun have behov for at sende det domæne ejer en ondsindet link via e-mail.
Typer af Sårbarheder i alle fem Hosting Providers
Bluehost blev fundet sårbare over for oplysninger lækage angreb, hvor cross-oprindelse-ressource-deling (HEARTS) fejlkonfigurationer misbruges. Andre mulige manipulationsscenarier involverer Bluehost er:
- Konto overtagelse på grund af forkert JSON anmodning validering;
- En mand-in-the-middle-angreb på grund af forkert validering af CORS;
- Cross-site scripting på my.bluehost.com i konto overtagelse angreb.
Dreamhost viste sig at være modtagelige for konto overtagelser, hvor en specifik XSS (cross-site scripting) sårbarhed.
HostGator havde et site-wide CSRF (Cross-Site Request Forgery) beskyttelse bypass, der kunne have tilladt fuld kontrol, og flere CORS fejlkonfigurationer, der kunne have ført til oplysninger lækager og CRLF injektion angreb.
OVH kunne være blevet kompromitteret i CSRF beskyttelse bypass angreb og API fejlkonfigurationer. Og endelig, iPage var sårbare over for konto overtagelser og flere indhold sikkerhedspolitik (CSP) omfartsveje.
Dreamhost blev den første udbyder til at reagere på forskernes opdagelser. Et respons blev også modtaget fra Endurance, selskabet bag Bluehost, iPage, og HostGator.
Forskeren påpegede også, at Bluehost rød-flagede hans konto og ”lukket det uden videre", uden begrundelse eller forklaring. "Men, siden det blev gjort efter hack blev afsluttet, Vi kan kun antage at det er fordi de så, hvad vi gjorde,”Forskeren konkluderede.
Opdatering
Her er OVH svar om sagen.
Milena Dimitrova
En inspireret forfatter og indholdschef, der har været hos SensorsTechForum siden projektets start. En professionel med 10+ års erfaring med at skabe engagerende indhold. Fokuseret på brugernes privatliv og malware udvikling, hun tror stærkt på en verden, hvor cybersikkerhed spiller en central rolle. Hvis almindelig sund fornuft giver ingen mening, hun vil være der til at tage noter. Disse noter senere kan blive til artikler! Følg Milena @Milenyim
Følg mig:
OVH hævder, at dette er helt forkert..
twitter.com/olesovhcom/status/1085284004721541122