July 25, 2007
La patch che doveva risolvere i molteplici problemi riguardante il login e i permessi, non ha risolto un ultimo problema. Infatti un hacker è riuscito, avendo accesso a vhcs come utente, a creare un utente amministratore e cancellare di conseguenza tutti gli account. Chi recentemente è stato vittima di hacking tramite quest’ultimo bug di vhcs, con molta probabilità l’ha subito da un proprio utente! L’hacker che ha realizzato l’exploit afferma che, riuscendo ad entrare come utente ed eseguendo il codice php riservato all’amministratore “www.nomedominio/vhcs2/admin/add_user.php”, è possibile creare un utente amministratore. Questo exploit fa notare l’assenza del codice che controlli quale utente cerchi di eseguire lo script.
Un utente ha illustrato il codice che a suo parere debba essere modificato ed ha applicato tale modifica per prevenire futuri attacchi. Nel file sopracitato “admin/add_user.php” sostituire il codice originale:
function add_user(&$tpl, &$sql)
{
if (isset($_POST[’uaction’]) && $_POST[’uaction’] === ‘add_user’) {
if(check_user_data()){
con il seguente:
function add_user(&$tpl, &$sql)
{
if (isset($_POST[’uaction’]) && $_POST[’uaction’] === ‘add_user’) {
if ($_SESSION[’user_type’] != “admin”) die(”You are not authorized to use this command”);
if(check_user_data()){
Leggendo vari forum inoltre ho potuto notare come qualcuno abbia adottato la soluzione drastica di cancellare il file admin/add_user.php, limitandosi a non poter creare più utenti amministratori.
Il mio consiglio, per utilizzare con maggior sicurezza vhcs, è di cambiare semplicemente il nome del file in modo che nessuno sappia quale sia il file da eseguire per aggiungere l’utente amministratore, e ovviamente modificare il link del pulsante presente nell’interfaccia amministratore. A questo punto solo voi e gli altri amministratori del sistema saranno a conoscenza del nome del file da eseguire per creare utenti
Leave a Reply