Сайт ZPanel был взломан после оскорбительного сообщения одного из разработчиков панели у

Тема в разделе "Новости информационной безопасности", создана пользователем Mila, 17 май 2013.

  1. Mila
    Оффлайн

    Mila Команда форума Основатель

    Сообщения:
    4.970
    Симпатии:
    13.601
    Использование небезопасного метода кодирования в ZPanel неоднократно подвергалось критике.

    Разработчики открытой панели управления хостингом ZPanel расплачиваются за свое пренебрежительное отношение к проблемам безопасности панели. Использование небезопасного метода кодирования неоднократно подвергалось критике, однако разработчики реагировали на нее в грубой форме и не предпринимали действий по улучшению безопасности.

    Ранее один из участников проекта ZPanel Найджел Колдуэлл (Nigel Caldwell) на официальном форуме ZPanel заявил, что панель является более безопасным продуктом, чем имеющиеся аналоги, и что у пользователей больше шансов компрометации систем через уязвимости в ОС, чем через уязвимости в ZPanel.

    В ответ на это заявление нидерландский разработчик ПО Свен Слутвег (Sven Slootweg) опубликовал на форуме сообщение, в котором заявил о проблеме, затрагивающей систему шаблонов, остававшейся неисправленной более 8 месяцев. Обнаруженная уязвимость позволяла выполнить произвольный PHP-код с правами root. Слутвег опубликовал данные о методе эксплуатации бреши.

    Тем не менее, разработчики ZPanel отказались признать это серьезной проблемой, заявив, что для эксплуатации уязвимости требуется загрузка шаблона, а эта операция доступна только пользователю с привилегиями администратора. При этом, несмотря на запрет по умолчанию, при включении функции изменения внешнего вида интерфейса, любой получивший право перепродавать услуги хостинга может выполнить свой код с правами root на сервере.

    После того, как Слутвег продолжал настаивать на том, что ZPanel следует пересмотреть свое отношение к безопасности и, в частности, исправить проблемы с возможностью осуществления межсайтовых запросов, Колдуэлл ответил ему на официальном форуме в весьма грубой форме, назвав Слутвега «f*cken little know it all».

    Через несколько часов после оскорбительного сообщения сайт ZPanel и учетные записи на форуме, принадлежащие Колдуэллу и еще одному разработчику, Тому Гейтсу (Tom Gates), были взломаны. При этом, якобы от лица Колдуэлла, было опубликовано сообщение: «Привет. Недавно мы поняли, что не в состоянии обеспечить безопасность кода и решили закрыть проект. До свидания». Кроме того, в открытом доступе оказались скриншот входа с правами root на один из серверов инфраструктуры ZPanel и файл с хэшами паролей некоторых участников проекта.



    источник
     
    3 пользователям это понравилось.

Поделиться этой страницей