Heyah – bez ściemy… ale i bez rozumu…

Dwóch studentów informatyki z Dąbrowy Górniczej i z Gdańska, zajmujących się zawodowo i hobbystycznie bezpieczeństwem informacji, znanych w sieci jako neos i zim, wykryło w serwisie internetowym heyah.pl błąd umożliwiający uzyskanie dostępu do informacji poufnych.

Polega on na nieprawidłowym weryfikowaniu zmiennych przekazywanych do skryptu PHP. Jedna ze zmiennych wykorzystywana jest przez skrypt do wyświetlania podstron, jednakże kod został źle zaprojektowany i umożliwia wyświetlenie zawartości dowolnego pliku i katalogu dostępnego dla użytkownika, z uprawnieniami którego pracuje serwer WWW. Z pobieżnych oględzin przeprowadzonych po wykryciu błędu wynika, iż umożliwia on zapoznanie się z dokładną konfiguracją serwera (co w przypadku chęci uzyskania nieautoryzowanego dostępu do całości systemu i/lub sieci lokalnej firmy Polskiej Telefonii Cyfrowej, z pewnością bardzo by potencjalnemu włamywaczowi pomogło), z zawartością znajdujących się na nim baz danych (dane osobowe abonentów dokonujących zakupu zestawów startowych najprawdopodobniej znajdują się na zupełnie innej maszynie, w zupełnie innej lokalizacji) o bliżej nieokreślonej zawartości, loginów i haseł administratorów serwisu, oraz wielu innych, zapewne bardzo ciekawych, informacji. Razem z wiadomością o błędzie dostarczono mi fragment jednego ze skryptów, głównie dla autorów, aby nie mieli wątpliwości iż informacja jest prawdziwa, oraz plik /etc/passwd z serwera na którym utrzymywany jest serwis. (nazwisko autora skryptu zostało ukryte).
index.php

// +——————————————————————+
// | DynaMap 4 |
// +——————————————————————+
// | Copyright (c) 2001-2004 FFCreation Sp. J. |
// +——————————————————————+
// | Author: Michal BXXXXXXXXXX michal.bXXXXXXXXXX@ffcreation.com |
// +——————————————————————+
//
// $Id: index.php,v 1.8 2003/01/08 20:56:11 boryn Exp $

/etc/passwd

root:*:0:0:Charlie &:/root:/usr/local/bin/zsh
toor:*:0:0:Bourne-again Superuser:/root:
daemon:*:1:1:Owner of many system processes:/root:/sbin/nologin
operator:*:2:5:System &:/:/sbin/nologin
bin:*:3:7:Binaries Commands and Source:/:/sbin/nologin
tty:*:4:65533:Tty Sandbox:/:/sbin/nologin
kmem:*:5:65533:KMem Sandbox:/:/sbin/nologin
games:*:7:13:Games pseudo-user:/usr/games:/sbin/nologin
news:*:8:8:News Subsystem:/:/sbin/nologin
man:*:9:9:Mister Man Pages:/usr/share/man:/sbin/nologin
sshd:*:22:22:Secure Shell Daemon:/var/empty:/sbin/nologin
smmsp:*:25:25:Sendmail Submission User:/var/spool/clientmqueue:/sbin/nologin
mailnull:*:26:26:Sendmail Default User:/var/spool/mqueue:/sbin/nologin
bind:*:53:53:Bind Sandbox:/:/sbin/nologin
uucp:*:66:66:UUCP pseudo-user:/var/spool/uucppublic:/usr/libexec/uucp/uucico
xten:*:67:67:X-10 daemon:/usr/local/xten:/sbin/nologin
pop:*:68:6:Post Office Owner:/nonexistent:/sbin/nologin
www:*:80:80:World Wide Web Owner:/nonexistent:/sbin/nologin
nobody:*:65534:65534:Unprivileged user:/nonexistent:/sbin/nologin
mysql:*:88:88:MySQL Daemon:/var/db/mysql:/sbin/nologin
postfix:*:1002:1001:Postfix Mail System:/var/spool/postfix:/sbin/nologin
opercpd:*:1005:1005:Operator CPD:/home/opercpd:/usr/local/bin/zsh
Odkrywcy błędu zdecydowali nie udostępniać publicznie informacji o tym gdzie jest bug, gdyż nie chcą aby firmy poniosły z tego powodu straty, tym bardziej, że wiele innych produkcji firmy FFcreation opartych jest o ten sam kod, jaki wykorzystano w serwisie heyah.pl.

Dzień później odrzymaliśmy odpowiedź z biura prasowego w sprawie wykrytych błędów o następującej treści:

Biuro Prasowe Heyah informuje, że wszystkie nieprawidłowości związane z działaniem strony internetowej www.heyah.pl zostały zlikwidowane, a firma-twórca dokonała analizy parametrów systemu zarządzającego. Z całą pewnością, nikt nie uzyskał dostępu do danych, które mogły mieć znaczenie marketingowe lub prawne.

Problem bezpieczeństwa jest jednym z kluczowych zagadnień, jakim zajmują się eksperci PTC i firm współpracujących. Wykrycie i naprawienie każdej „luki” w systemie powoduje dodatkowe zwiększenie bezpieczeństwa i niezawodności jego funkcjonowania.

Z poważaniem,
Agata Borowska
Biuro Prasowe Heyah
Zobacz również:

Załap się na 888111111

W sklepach zabrakło zestawów startowych Heyah

Kulawa łapa Heyah