流行的高防服务器平台Bluehost摆脱了缺陷

By | 2019年1月21日

他说,在Dreamhost,HostGator,OVH和iPage网络托管平台上也发现了类似的漏洞。

UPDATE

一位研究人员在流行的Bluehost高防服务器平台上发现了几个单击客户端漏洞。根据分析,这些将使网络犯罪分子能够轻松地完成账户接管。

Bluehost已经承认了这个问题,并告诉Threatpost,“我们知道Paulos的研究,我们已采取措施解决潜在的漏洞问题。”

独立研究员和臭虫猎手Paulos Yibelo与Website Planet合作,建立了一个Bluehost测试站点,该站点根据其“ 关于我们 ”页面为全球200多万个站点提供支持。他发现平台中存在多个帐户接管和信息泄漏漏洞,并且在更改帐户凭据时缺少密码验证。

Yibelo发现的最严重的问题是跨域资源共享(CORS)的错误配置,它允许网站在其域之间共享资源。

一般来说,在一个域上运行的JavaScript只能读取该特定域中的数据(称为“同源策略”); 这可以防止网站被武器化,比如窥探用户在他或她的浏览器中的另一个标签中所做的事情,例如电子邮件。没有这种隔离,潜伏在用户打开的一个网站上的恶意代码可以用来轻松地从浏览器中打开的任何其他网站收集数据。

但是,有合法的用例将请求发送到其他域,例如使用允许任何人查询它们的公共API – 这是CORS的目的。不幸的是,错误配置可能允许恶意方控制的域向合法域发送请求 – 合法域将回答,为数据收集打开了大门。

根据研究人员的说法,在Bluehost中,Yibelo表示CORS功能没有适当的过滤器来管理哪些网站应该被允许访问Bluehost托管网站上的数据。基本上,任何具有Bluehost域名(http://my.bluehost.com/)的网站都将允许具有Bluehost域名的其他网站阅读其内容。

“例如,如果发送请求的浏览器来自http://my.bluehost.com.EVIL.com,Bluehost会允许它,”根据周一发布的调查结果显示。“Bluehost只检查了第一个字符串,并没有考虑Bluehost.com之后的内容。这意味着恶意攻击者可以托管一个名为my.bluehost.com.EVILWEBSITE.com的子域名,[合法的Bluehost网站]将允许EVILWEBSITE.com读取其内容。“

在测试中,Yibelo能够访问各种个人身份信息(PII),例如姓名,地点(城市,街道,州,国家),电话号码和邮政编码; 部分付款详情,包括到期月份和年份,卡片的最后四位数字,卡片上的姓名,卡片类型和付款方式; 和令牌,可以访问用户的托管WordPress,Mojo,SiteLock和各种OAuth支持的端点。

由于不正确的JSON请求验证,第二个中等偏高的漏洞将允许帐户接管,从而打开跨站点请求伪造(CSRF)的大门。该漏洞允许攻击者将任何Bluehost用户的电子邮件地址更改为他们选择的地址,然后使用新电子邮件重置密码以获得对受害者帐户的完全访问权限。根据Yibelo的说法,当受害者点击一个恶意链接或访问一个恶意网站时,就会执行攻击。

“根据分析,这个漏洞可以被利用,因为Bluehost处理请求并验证它们时存在某些错误配置。” “当用户尝试更改其个人详细信息(例如姓名,电话号码,地址或电子邮件)时,Bluehost会向平台发送[请求]。如果仔细观察,您会发现没有与该请求一起发送的唯一令牌。这意味着任何网站都可以实际将请求发送到该特定端点的跨域,并更改您的详细信息。“

通常这种攻击会被挫败,因为它使用了依赖于Adobe Flash Player的JSON; 但Yibelo发现“特殊技巧和服务器配置错误”允许它在任何浏览器中工作,而不使用Flash:

由于浏览器通常在输入名称的末尾添加=(等号),我们可以操纵JSON以在FirstName中包含等号,并在“value”属性中添加其余值:organization“:null}。请求将与Content-Type:text / plain而不是application / json一起发送 – 但Bluehost并不介意,这使得我们的漏洞利用工作跨域起源。通常,Bluehost会检查引荐来源域是否为bluehost。com – 如果请求是从任何其他网站发送的,则Bluehost将拒绝该请求并返回500响应。这可以通过在元标记中使用Content =“no-referrer”轻松绕过,因为如果没有发送引用者,Bluehost将允许该请求。

第三个也是中等高度的漏洞将允许通过跨站点脚本(XSS)进行帐户接管。Yibelo确定,在更改一个人的电子邮件地址时,Bluehost不需要当前密码,因此攻击者可以使用此XSS漏洞接管CSRF攻击,从而加剧了这一点(在概念验证中证明)任何帐户; 并且,Bluehost在敏感cookie上没有任何HttpOnly标志,这意味着任何JavaScript都可以访问它们并将它们发送给恶意攻击者,并且攻击者可以使用这些cookie作为用户进行身份验证。

“该漏洞允许攻击者在bluehost.com上执行命令作为客户端 – 这意味着能够更改,修改和添加内容,包括电子邮件地址,”报告解释说。“当受害者点击恶意链接或访问网站时,攻击者可以阅读有关受害者的内容,或更改其网站上的内容。”

这里可以看到一个攻击视频。

最后,由于CORS验证不正确而导致中等严重性问题,这可以实现中间人攻击。

这里,Bluehost不允许验证域,而是在允许CORS读取其内容时不验证方案/协议,这意味着它将允许HTTP域请求访问(即,流量未加密)。

报告指出:“这次降级攻击使得Bluehost使用SSL证书完全没用,并且首先无法使用HTTPS请求。”

值得注意的是Bluehost并不孤单–Yibelo表示在Dreamhost,HostGator,OVH和高防服务器平台上也发现了类似的漏洞。

“通过不太关注安全和隐私,网络托管平台提供商不知不觉地让不良行为者窃取消费者信息并进行欺诈,”媒体信托的数字安全和运营经理Mike Bittner通过电子邮件说道。“这种宽松的做法使平台供应商,他们的客户和消费者面临严重的风险,因为全球消费者数据隐私法规一方面收紧,另一方面恶意行为者的攻击也在加剧。此类提供商应在产品生命周期中构建安全测试和增强功能,因为他们托管的每个站点的每个用户都可能成为网络窃贼和欺诈者的牺牲品。如果世界各地拥有一百万个网站的提供商采用slapdash方法来保护隐私和安全,那么想象一下有多少网站访问者会受到影响,因

发表评论

电子邮件地址不会被公开。 必填项已用*标注