Plusieurs failles de sécurité ont été découverts dans cinq services d'hébergement web les plus populaires. Les failles permettent aux acteurs de la menace pour dérober des informations sensibles ou même prendre sur les comptes des clients. Les vulnérabilités ont été découvertes par le chercheur en sécurité Paulos Yibelo, qui est un chasseur de bug bien connu. Les services d'hébergement sont affectés Bluehost, DreamHost, Hostgator, Ovh et iPage.
L'objectif de Yibelo de recherche était "pour essayer de voir si les sites Web hébergés sur Bluehost, dreamhost, HostGator, OVH, ou iPage pourrait être compromise en un seul clic vulnérabilités côté client". Comme il s'avère, un compromis est en effet possible sur les cinq fournisseurs d'hébergement, et en raison des défauts découverts côté client, les prises de contrôle de compte peuvent en effet se produire.
les vulnérabilités, qui sont maintenant fixés, aurait pu être déployé contre l'un des deux millions de domaines sous Bluehost, Hostgator et iPage (tous appartenant à la même entreprise, Endurance), un million de domaines et quatre millions de domaines de Ovh de DreamHost. Au total, environ sept millions de domaines auraient facilement pu être compromis. Même si les attaques Yibelo testées ne sont pas compliquées du tout, ils auraient pu être facilement utilisés contre les utilisateurs de haut niveau dans les campagnes de phishing ciblées lance. Étant donné que les détails d'enregistrement de domaine sont faciles à trouver sur les bases de données WHOIS registrar, les attaquants potentiels auraient seulement besoin d'envoyer le propriétaire du domaine un lien malveillant via e-mail.
Types de vulnérabilités dans les cinq fournisseurs d'hébergement
Bluehost a été trouvé vulnérable aux attaques de fuite d'information où le contre-origine-partage des ressources (HEARTS) les erreurs de configuration sont victimes d'abus. D'autres possibles scénarios d'attaque impliquant Bluehost sont:
- prise de contrôle de compte en raison de mauvaise validation de la demande JSON;
- Une attaque man-in-the-middle en raison de la validation incorrecte de CORS;
- Cross-site scripting sur my.bluehost.com dans les attaques de prise de contrôle de compte.
dreamhost a été jugée susceptible de tenir compte des prises de contrôle où un XSS spécifique (cross-site scripting) vulnérabilité.
HostGator avait un CSRF l'ensemble du site (Cross-Site Request Forgery) by-pass de protection qui aurait pu permettre un contrôle complet, et de multiples erreurs de configuration CORS qui auraient pu conduire à des fuites d'information et des attaques par injection CRLF.
OVH aurait pu être compromise dans des attaques de contournement de la protection CSRF et API erreurs de configuration. et enfin, iPage était vulnérable aux prises de contrôle et compte plusieurs politiques de sécurité de contenu (CSP) by-pass.
dreamhost a été le premier fournisseur d'hébergement pour répondre aux découvertes des chercheurs. Une réponse a également été reçue Endurance, l'entreprise derrière Bluehost, iPage, et HostGator.
Le chercheur a également souligné que le rouge battant pavillon de son compte Bluehost et «fermé vers le bas sans cérémonie", sans donner aucune raison ou explication. "Cependant, car il a été fait après le hack a été achevée, nous ne pouvons que supposer qu'elle est parce qu'ils ont vu ce que nous faisions,» Le chercheur a conclu.
Mise à jour
Voici La réponse de OVH à ce propos.
Milena Dimitrova
Un écrivain et gestionnaire de contenu inspiré qui travaille avec SensorsTechForum depuis le début du projet. Un professionnel avec 10+ années d'expérience dans la création de contenu engageant. Axé sur la vie privée des utilisateurs et le développement des logiciels malveillants, elle croit fermement dans un monde où la cybersécurité joue un rôle central. Si le bon sens n'a pas de sens, elle sera là pour prendre des notes. Ces notes peuvent se tourner plus tard dans les articles! Suivre Milena @Milenyim
Suivez-moi:
OVH affirme que cela est totalement faux..
twitter.com/olesovhcom/status/1085284004721541122