انتشر قبل ساعات في احدى مواقع الثغرات استغلالين خطيرين يستهدفان كل من سكريبت ادارة المحتوى Joomla و سكريبت WordPress المستخدم في انشاء المدوّنات. يتمكن المهاجم بواسطتهم من التسبب بضغط شديد على السيرفر مما يؤدي لتوقّفه Denial of Service عن بعد.
لقد قمنا في iSecur1ty بتجربة الاستغلالين على سيرفر محلّي وكانت النتائج غير متوقّعة. بعد 3 ثوان من تنفيذ الاستغلال وصل استهلاك المعالج الى 100% كذلك الرامات والضغط على الجهاز أصبح 66!!! طبعاً تنفيذ الاستغلال على مواقع بعيدة لن يكون بنفس السرعة لكنه سيعطي مفعوله خلال 30 ثانية كحد أقصى مالم يتدخل الجدار الناري أو أنظمة الحماية في السيرفر لحظر IP جهاز المهاجم.
الاستغلالين عبارة عن bash script مبرمجين بنفس الطريقة تقريباً وهما لا يمكّنان المهاجم من اختراق الموقع أو التعديل على محتوياته لكنّه سيتمكّن من ايقاف عمله وحتى ايقاف السيرفر كاملاً في بعض الحالات!
طريقة عمل الاستغلال مبنيّة على ارسال آلاف الطلبات لروابط تحتوي على متغيّرات عشوائيّة لكنّها لنفس الصفحة, هذا سيتسبب بضغط كبير على نظام الكاش في السيرفر وعلى مفسّر php وسيرفر قواعد البيانات أيضاً.
رغم أننا في iSecur1ty نؤمن بمدء الكشف الكامل عن المعلومات لكن نشرها بهذه الطريقة الغير مسؤولة سيعرض الكثير من المواقع والمدوّنات للتوقف بسبب أفعال المخرّبين! كان من الأجدر أن يبلغ المكشتف مطوّري السكريبتات السابقة قبل القيام بنشر استغلال مثل هذا بشكل علني!
تحديث: انتشر استغلال آخر يستخدم نفس أسلوب الاستغلالات السابقة يستهداف سكريبت ادارة المحتوى Drupal أيضاً…
السلام عليكم
شكرا اخي على المعلومات القيمة
أرجوا أن تقدموا حلا للثغرة
و جزاكم الله خيرا
fadwa777::هذا يعتمد علي مبدا عمل الثغرة يا اخي وكما ذكر عبد المهيمن في منتديات vb عن طريق search يفي وضع كود للتحقق من مدخلات البحث في هذا الوقت لن يستطيع المهاجم تنفيذ الثغرة لو تسمح يا عبدوا معلومات اكثر اكواد قابله للفحص والفهم لكي نستطيع سدها او عمل اي شئ يلغي عمها
ايضا تم نشر استغلال لثغرة DoS للـ vBulletin قبل قليل .
وقمت بتجربتها على منتديات اصدار V3.6.3
وكانت النتائج ثواني بسيطة ويتوقف عمل المنتدى !
شاهدت استغلال vBulletin لكنه أقل خطورة ويختلف عن هذه الاستغلالات فهو مبرمج بطريقة أخرى تعتمد على استهلاك موارد السيرفر عن طريق صفحة البحث search.php وهذا يتطلّب عدم وجود صورة التحقق الأمني المضادة للسبام.
المشكلة لا يوجد حل بسيط يمكن أن يتبعه المستخدم النهائي, ايقاف هذه النوعية من الهجمات يقع على عاتق مدير السيرفر.. وبالمناسبة هي أسهل بكثير من الـ DDoS التي تتطلب في بعض الأحيان استخدام فايروول هاردوير!
على كل حال لايقاف هذه النوعية من الثغرات وهجمات DoS بشكل عام يمكن لمدير السيرفر أن يستخدم mod_evasive بالاضافة لـ mod_security في حال كان السيرفر Apache طبعاً…
ضبط اعدادات sysctl والجدار الناري iptables لتحديد أكبر عدد اتصالات مسموح به للويب سيرفر خلال الثانية لكل IP.
كحل أسهل يمكن استخدام جدار ناري مثل CSF أو APF وضبطه لايقاف هذه الهجمات بشكل اوتوماتيكي, سكريبت بسيط مثل هذا: http://deflate.medialayer.com
قد يفي بالغرض أيضاً…
شكرا على المعلومات ..
عندي سوال .. ما هو الفرق او هل هناك فرق بين الـbuffer overflow و zeroday ؟
#!/bin/sh
PATH=$PATH
while true; do
sleep 60
UNIQ=`netstat -tpn | grep -i established | awk ‘{print $5}’ | cut -d’:’ -f1 | uniq`
for IP in $UNIQ; do
WC=`netstat -tpn | grep $IP | wc -l`
if [ ${WC} -gt “10” ]; then
PID=`netstat -tpn | grep $IP | awk ‘{print $7}’ | cut -d’/’ -f1 | sort -n`
KILL=`echo $PID | cut -d’ ‘ -f10-`
kill -s 9 $KILL
logger -sp daemon.notice -t Web_Server “Established threshhold exceeded for IP ${IP} and PID ${KILL}”
fi
done
done
GreyZer0: مصطلح 0day يطلق على الثغرات التي انتشر استغلالها قبل وجود ترقيع للثغرة أو معرفة صاحب المنتج بها. أما buffer overflow فهو احدى أنواع ثغرات البرامج والأنظمة يحدث نتيج حدوث طفح في الذاكرة (غالباً عند التعامل مع مدخلات المستخدم) مما يمكن المهاجم في بعض الحالات من حقن shellcode يمكّنه من التحكم بسير البرنامج أو ايقافه عن العمل.
باحث عن المعرفة: شكراً أخي باحث على السكريبت وان شاء الله سأحاول تجربته قريباً 🙂
من الممكن أن يكون كود استغلال الثغرة نشر على موقع offsec.com
ويمكن الاطلاع على الكود عن طريق موقع Explo.it
http://www.exploit-db.com/exploits/10820
السلام عليكم
بارك الله فيك أخي عبد المهيمن على الخبر
و لكن أليس هناك طرق للتصدي لهذه الهجمات لأن لدي مدونة wordpress
و لا أريد أن تضيع كما أن أحد أصدقائي يملك موقع يستعمل سكربت Joomla
شكراً لكم على المجهودات التي تقومون بها
Drupal DoS
http://www.exploit-db.com/exploits/10826
http://www.exploit-db.com/exploits/10825
على العموم جزاكم الله خيرا
هل من حل لهده الثغرة ؟
هل من حل لهده الثغرة ؟ أو بالأحرى كيف يمكنني حماية السيرفير
الثغره خطيره ومواقع مهمه مركبه السكربتات هاذي
الله يعينهم .. سلام