Defacement natalizio su Zone-H.org

Nelle prime ore del 22 Dicembre scorso, zone-h.org ha subito un defacement direttamente sulla propria home page.

Stando al resoconto fatto da Zone-H (disponibile anche in italiano) l’attacco iniziato il 17 Dicembre è stato veramente molto articolato: cominciato con un XSS su Hotmail (scoperto lo scorso Agosto) per rubare la password a membro di Zone-h e continuato con l’inclusione di file locali (era stata precedentemente caricata una shell php) tramite un bug del modulo JCE di Joomla. Avuta la possibilità di eseguire una shell in php l’attaccante ha caricato una nuova shell php e ha creato un file .htaccess per disabilitare il mod_security. Con la nuova shell e il mod_security disabilitato è stato in grado, infine, di cambiare la index.php

Non c’è che dire, questa volta, il fattore umano e i soliti moduli per CMS scritti senza pensare alla sicurezza, hanno fatto la differenza.

Non mi è ben chiaro, però, com’è stato possibile all’attancante richiamare la prima versione della shell con il mod_secuirty attivo e un parametro della query string settato in questo modo:
plugin=..<>/<…<///..<////..<////..<////..<////images/stories/food/x

 

Nessun Commento.. Puoi essere il primo!

Lascia un Commento