PHPBB.com ‘un Hacklenmesi Üzerine

Çarşamba, Haziran 17, 2009

Selamlar; aslında olayın üzerinden zaman geçti, lakin ancak bir şeyler yazacak zamanı bulabildim. Biliyorsunuz PHPBB.com hacklendi. Bu saldırıyı diğerlerinden farklı kılan ise saldırganın tüm detayları ve elde ettiği bilgileri blogspot üzerinden açtığı bir blogda yayınlaması oldu. Düşünün hackleniyorsunuz, cümle aleme madara durumdasınız, üzerine tüm konfigürasyonunuz, problemleriniz, üyelerinizin emailleri, hashleri internette yayınlanıyor.

Olayın teknik tarafından bahsetmek gerekirse; kısaca adamımız Yerel Dosya Ekleme (LFI) zafiyeti buluyor, avatarı sayesinde kafasına göre kod çalıştırıyor ve anlı şanlı PHPBB.com server’i çay bahçesine dönüyor. (Salak bir not, SecureImage ile resim görünen malicious dosyaların gerçek yüzü ortaya çıkartılabilir , benzer bir atak senaryosuna Grafik Manipülasyonu Saldırıları ‘nda değinmiştim. Daha önce anlattığım bir atağın kullanıldığı bir saldırı’yı görmenin dayanılmaz hafifliğini ve aynı ölçüdeki yüzeyselliğin hissediyorum)

Şimdi atağı birazcık irdeleyelim.

Olay kısaca PHPBB.com sitesinin phpList isimli yazılımı kullanmalarından başlıyor. Basitçe bu yazılım bir Local File Inclusion zafiyeti içeriyor.
Local File Inclusion zafiyetinden faydalanan saldırgan sistemdeki kritik bilgiler içeren dosyaların içeriğini görebiliyor. Veritabanı isimleri, parolaları gibi, ve tamamen şifrelenmemiş şekilde diskte tutuluyormuş.
Olay Local File Inclusion’a döndüğü için, exploitation yapabilmek için teme olarak iki yol vardır:
- Web sunucunun hata kayıtları (error loglar)
- Sunucuya bir şekilde dosya upload edebilmek
Saldırıda birinci metod işe yaramıyor, fakat avatarlar itibariyle dosya upload etmek mümkün. Ve avatarların herhangi bir yerinde bir Local File Inclusion saldırısında kullanılacak kodları temizlemesi ya da kabul etmemesi durumu mevcut değil.
Saldırgan avatar upload ediyor ve avatarların tutulduğu yer community/images/avatars/upload/ klasörü altında, isimlendirme olarak da hash_id yapısı kullanılmış.
Local File Inclusion ile istediği kodu çalıştırıp, db dump’ını almış ve internette yayınlamış.

Aslında saldırıyı arkadaşımız blogundan çok daha detaylı şekilde açıklamış, aşama aşama anlatmış. Gördüğünüz üzere atak çok komplike bir saldırı değil, basit bir Local File Inclusion, yeterince harden edilmemiş bir web sunucu ve sonuç ortada.

Burada üzerinde durulması gereken konu ise Local File Inclusion’a izin veren vulnerable kod parçası, kodun önemli kısmı şu şekilde :

if (!ini_get("register_globals") || ini_get("register_globals") == "off") {  # fix register globals, for now, should be phased out gradually  # sure, this gets around the entire reason that regLANGUAGE_SWITCHister globals  # should be off, but going through three years of code takes a long time....

  foreach ($_REQUEST as $key => $val) {    $$key = $val;  }}

Burada da görüldüğü üzere, register_globals etkin değil ise basitçe QueryString deki ismi ile değişkene ulaşmak isteyen bir developer, bilmeden diğer global array (SERVER, ENV) ‘lerin değişkenlerine zarar verilebilir bir yapı kurmuş. $_SERVER["ConfigFile"] içine yapılan bir inclusion ile de kod çalıştırmak mümkün hale gelmiş.

Bu örnek üzerinden PHP’nin ne kadar hataya meyilli bir dil olduğu gerçeğini tekrar hatırlayabiliriz, kullanılsa da kullanılmasa da problem yaratan bir register_globals var ortada. Bir de saldırgan, ve OWNED bir web sunucu.

Buradan yapılabilecek çıkarımlar :

PHP kolayca hata yapılabilecek bir web programlama dilidir.
Artık bir yeri hackleyip, aynı isimle açılacak bir blogla bunu duyurmak moda haline gelmiştir, iyi tanıtım sağlar.
Derinlemesine defans pozisyon vermeden maçı bitirmenizi değil, rakibin sağlı sollu ataklarında birinin durmadan ters kademelere girmesi, olmadı çizgiden top çıkarması anlamındadır, hayat kurtarıcıdır. Aksi takdirde bu örneklere konu olunabilir.
Bu yazıyı okurken hayatınızın 10 dakikasını daha yitirdiniz, şimdi mi hatırlatıyorsun dinleyere selam eder, iyi geceler dilerim.

Konu ile ilgili ekstra geyikler için :
Nerede PHP ve güvenlik varsa, oralardan eksik olmayan sayın Stefan Esser’ın konuyu irdelemesi
Saldırgan arkadaşın blogu ve tüm detaylar
PHPBB.com Açıklaması, ıvır, zıvır.