Een security-onderzoeker heeft een jQuery File Upload Plugin Zero-day kwetsbaarheid waarmee hackers om duizenden sites misbruik ontdekt. De fout werd aangekondigd aan het publiek, naast het feit dat deze plugin zoals aangenomen door vele diensten en platforms.
CVE-2018-9206: De jQuery File Upload Plugin Zero-day kwetsbaarheid kan gemakkelijk worden misbruikt door hackers
De recente aankondiging van een jQuery File Upload Plugin zero-day kwetsbaarheid heeft gemaakt krantenkoppen over zowel gewone computer gebruikers en gespecialiseerde gemeenschappen. De reden hiervoor is het feit dat veel online diensten, sites en platforms dit onderdeel. Volgens de verschenen rapport door de security-onderzoeker het pakket wordt actief misbruikt door hackers wereldwijd.
De jQuery File Upload is een van de meest gebruikte jQuery widgets waarmee gebruikers bestanden uploaden naar de desbetreffende website - selectie van meerdere bestanden is mogelijk, naast drag & drop ondersteuning. Deze plugin maakt het ook mogelijk de visualisatie van de vooruitgang bars, validatie en preview-schermen, evenals het afspelen van multimedia van zowel audio als video-inhoud. De plugin wordt gebruikt in allerlei omgevingen en platformen die de instantie zeer gevaarlijk maakt.
De plugin is gevonden om twee bestanden die in de worden geplaatst plaatsen “bestanden” directory van de root van de webserver. Als een effect van deze hackers kunnen malware scripts commando's op het slachtoffer hosts uploaden en uitvoeren. Bijgevolg elke site die ongepatchte versies van de jQuery File Upload Plugin gebruikt wordt beïnvloed. Een snelle zoektocht op het internet blijkt dat er tal van tutorials, how-to video's en zelfs opgenomen demonstraties op het aanleren van kwaadaardige acteurs hoe om aanvallen uit te voeren.
De security-onderzoeker merkt op dat de jQuery gedrag is verbonden met de manier waarop de Apache web server handelt bestands operaties. Het geplaatste CVE-2018-9206 adviserende, wanneer deze staat alleen het uploaden van bestanden van de te zijn “beeld” inhoudstype. Dit voorkomt dat shell scripts en andere potentieel gevaarlijke bestanden die door de server te uploaden of uit te voeren. De volledige tekst van het advies is het volgende:
File Upload widget met meerdere file selectie, slepen&drop ondersteuning, voortgangsbalk, validatie en preview-beelden, audio en video voor jQuery. Ondersteunt cross-domain, chunked en hervatbare bestandsuploads. Werkt met elke server-side platform (Google App Engine, PHP, Python, Ruby on Rails, Java, etc.) dat ondersteunt standaard HTML-formulier uploaden van bestanden.
Martin Beltov
Martin studeerde af met een graad in de uitgeverij van de universiteit van Sofia. Als een cyber security enthousiast dat hij geniet van het schrijven over de nieuwste bedreigingen en de mechanismen van inbraak.
Volg mij: