Lustige Zombies - Angriffsvektor

Lieber Klaus, liebe Kollegin, lieber Kollege

Hier mal ein Zwischenbericht wegen den lustigen Zombies. Der Hacker Programiix hat verraten, wie er das spip überlistet:

1. http://www.mozaikzeitung.ch/spip/spip.php?page=identifiants&mode=0minirezo

Keine Ahnung, wie der Typ auf diesen String kommt. Wenn man da raufklickt, kommt die Möglichkeit, sich als Autor einzuloggen:

z.B. Mit Theo Schaffner (fiktives Beispiel). Dann kommt:

2. Quartierzeitung Mozaik

Warning: Illegal string offset ‹ id_auteur › in /home/httpd/vhosts/mozaikzeitung.ch/httpdocs/spip/plugins-dist/revisions/inc/revisions_pipeline.php on line 216

Warning: Illegal string offset ‹ nom › in /home/httpd/vhosts/mozaikzeitung.ch/httpdocs/spip/ecrire/inc/modifier.php on line 258

Warning: Illegal string offset ‹ id_auteur › in /home/httpd/vhosts/mozaikzeitung.ch/httpdocs/spip/plugins-dist/revisions/inc/revisions_pipeline.php on line 225

Warning: Illegal string offset ‹ nom › in /home/httpd/vhosts/mozaikzeitung.ch/httpdocs/spip/ecrire/inc/modifier.php on line 258

Warning: Illegal string offset ‹ nom › in /home/httpd/vhosts/mozaikzeitung.ch/httpdocs/spip/ecrire/inc/modifier.php on line 258

Warning: Cannot modify header information - headers already sent by (output started at /home/httpd/vhosts/mozaikzeitung.ch/httpdocs/spip/plugins-dist/revisions/inc/revisions_pipeline.php:216) in /home/httpd/vhosts/mozaikzeitung.ch/httpdocs/spip/ecrire/inc/actions.php on line 89

Ihre neuen Zugangsdaten wurden Ihnen per Mail zugestellt.

3. Im Email-Konto kommt dann

Hallo Theo Schaffner,

Bitte öffnen sie folgenden URL zum Bestätigen ihrer Maiadresse:
http://www.mozaikzeitung.ch/spip/spip.php?action=confirmer_inscription&email=theo%40lampenwerk.ch&jeton=500079018548c2b71(usw.)

Hier sind Ihre Zugangsdaten um Artikel für die Website « Quartierzeitung
Mozaik » (http://mozaikzeitung.ch/spip/ecrire/) vorzuschlagen:

• Login: theo@lampenwerk.ch
• Passwort: 1234abcd (fiktiv)

4. Klickt man auf den Link, wird man aktiviert.

Dann ist man im System und hat Administratoren-Rechte. Deshalb:

5. Ich rate Euch allen, bei der Konfiguration (Interaktivität) das:

Automatische Anmeldung neuer Redakteure vom öffentlichen Bereich aus

zu deaktivieren (Anmeldungen verhindern Button anklicken!)

Die Leute bekommen anscheinend automatisch Administrations-Rechte und nicht Besucher-Status.

Wenn man intern Besucher anmeldet, ist alles okay, dort bekommen die Eingetragenen Redakteuren-Rechte und nicht Admin-Rechte.

Meine Frage: Handelt es sich um die bekannte Formular-Verwundbarkeit?

Ich werde jetzt mal das System von 3.0.5 auf 3.0.17 updaten und hoffen, dass damit die Formular-Verwundbarkeit ausgemerzt ist. Natürlich habe ich auch, gemäss Anweisung von Klaus, alle Passwörter nochmals gewechselt, den Shelldetektor laufen lassen (negativ) den Parasiten-Detektor laufen lassen (negativ). Habe auch alles unnötige Zeug gelöscht (Dateien, User, usw.) Die Site läuft auf einem Reseller-Account, ich denke, dort werden die Hausaufgaben gemacht, ich gebe dort eine tiefe Priorität, was Hackmöglichkeiten anlangt.

Wenn es sich NICHT um die Formular-Verwundbarkeit handelt, wie fixen wir das Loch so schnell wie möglich? Mit dieser Frage habe ich mich jetzt noch nicht vertieft befasst. Ist das überhaupt ein Loch? Jedenfalls: Die öffentlichen Redakteure sollten Besucher-Status erhalten und nicht publizieren dürfen.

Was meinst Du, Klaus, bist Du mit dieser Analyse soweit einverstanden?

Liebe Grüsse und wie immer grossen und herzlichen Dank für die Hilfe

Nicholas

Hallo,

ich überprüfe das noch einmal, es handelt sich wohl um eine bekannte alte Lücke, die durch ein Update beseitigt wird.

Ich würde unbedingt updaten oder, falls das aus irgendwelchen Gründen unmöglich ist, den neuesten Sicherheitsschirm installieren (http://www.spip.net/fr_article4200.html und http://www.spip.net/en_article4201.html).

Man kann auch die Funktion im Code auskommentieren.

grusz klaus++

On Sat, 13 Dec 2014 13:57:27 +0100, Mozaik Redaktion <info@mozaikzeitung.ch> wrote:

Lieber Klaus, liebe Kollegin, lieber Kollege

Hier mal ein Zwischenbericht wegen den lustigen Zombies. Der Hacker
Programiix hat verraten, wie er das spip überlistet:

1.

http://www.mozaikzeitung.ch/spip/spip.php?page=identifiants&mode=0minirezo
[1]

Keine Ahnung, wie der Typ auf diesen String kommt. Wenn man da
raufklickt, kommt die Möglichkeit, sich als Autor einzuloggen:

z.B. Mit Theo Schaffner (fiktives Beispiel). Dann kommt:
2. Quartierzeitung Mozaik

WARNING: Illegal string offset 'id_auteur' in

/HOME/HTTPD/VHOSTS/MOZAIKZEITUNG.CH/HTTPDOCS/SPIP/PLUGINS-DIST/REVISIONS/INC/REVISIONS_PIPELINE.PHP
on line 216

WARNING: Illegal string offset 'nom' in

/HOME/HTTPD/VHOSTS/MOZAIKZEITUNG.CH/HTTPDOCS/SPIP/ECRIRE/INC/MODIFIER.PHP
on line 258

WARNING: Illegal string offset 'id_auteur' in

/HOME/HTTPD/VHOSTS/MOZAIKZEITUNG.CH/HTTPDOCS/SPIP/PLUGINS-DIST/REVISIONS/INC/REVISIONS_PIPELINE.PHP
on line 225

WARNING: Illegal string offset 'nom' in

/HOME/HTTPD/VHOSTS/MOZAIKZEITUNG.CH/HTTPDOCS/SPIP/ECRIRE/INC/MODIFIER.PHP
on line 258

WARNING: Illegal string offset 'nom' in

/HOME/HTTPD/VHOSTS/MOZAIKZEITUNG.CH/HTTPDOCS/SPIP/ECRIRE/INC/MODIFIER.PHP
on line 258

WARNING: Cannot modify header information - headers already sent by
(output started at

/home/httpd/vhosts/mozaikzeitung.ch/httpdocs/spip/plugins-dist/revisions/inc/revisions_pipeline.php:216)
in

/HOME/HTTPD/VHOSTS/MOZAIKZEITUNG.CH/HTTPDOCS/SPIP/ECRIRE/INC/ACTIONS.PHP
on line 89

Ihre neuen Zugangsdaten wurden Ihnen per Mail zugestellt.

3. Im Email-Konto kommt dann
Hallo Theo Schaffner,

Bitte öffnen sie folgenden URL zum Bestätigen ihrer Maiadresse:

http://www.mozaikzeitung.ch/spip/spip.php?action=confirmer_inscription&email=theo@lampenwerk.ch&jeton=500079018548c2b71(usw.)
[2]

Hier sind Ihre Zugangsdaten um Artikel für die Website
"Quartierzeitung
Mozaik" (http://mozaikzeitung.ch/spip/ecrire/ [3]) vorzuschlagen:

- Login: theo@lampenwerk.ch [4]
- Passwort: 1234abcd (fiktiv)

  4. Klickt man auf den Link, wird man aktiviert.

Dann ist man im System und hat Administratoren-Rechte. Deshalb:
  5. Ich rate Euch allen, bei der Konfiguration (Interaktivität) das:

   Automatische Anmeldung neuer Redakteure vom öffentlichen Bereich
aus
  zu deaktivieren (Anmeldungen verhindern Button anklicken!)
  Die Leute bekommen anscheinend automatisch Administrations-Rechte
und nicht Besucher-Status.

Wenn man intern Besucher anmeldet, ist alles okay, dort bekommen die
Eingetragenen Redakteuren-Rechte und nicht Admin-Rechte.

Meine Frage: Handelt es sich um die bekannte Formular-Verwundbarkeit?

Ich werde jetzt mal das System von 3.0.5 auf 3.0.17 updaten und
hoffen, dass damit die Formular-Verwundbarkeit ausgemerzt ist.
Natürlich habe ich auch, gemäss Anweisung von Klaus, alle
Passwörter nochmals gewechselt, den Shelldetektor laufen lassen
(negativ) den Parasiten-Detektor laufen lassen (negativ). Habe auch
alles unnötige Zeug gelöscht (Dateien, User, usw.) Die Site läuft
auf einem Reseller-Account, ich denke, dort werden die Hausaufgaben
gemacht, ich gebe dort eine tiefe Priorität, was Hackmöglichkeiten
anlangt.

Wenn es sich NICHT um die Formular-Verwundbarkeit handelt, wie fixen
wir das Loch so schnell wie möglich? Mit dieser Frage habe ich mich
jetzt noch nicht vertieft befasst. Ist das überhaupt ein Loch?
Jedenfalls: Die öffentlichen Redakteure sollten Besucher-Status
erhalten und nicht publizieren dürfen.

Was meinst Du, Klaus, bist Du mit dieser Analyse soweit einverstanden?

Liebe Grüsse und wie immer grossen und herzlichen Dank für die Hilfe

Nicholas

     -->

Links:
------
[1]

http://www.mozaikzeitung.ch/spip/spip.php?page=identifiants&mode=0minirezo
[2]

http://www.mozaikzeitung.ch/spip/spip.php?action=confirmer_inscription&email=theo@lampenwerk.ch&jeton=500079018548c2b71d82b52.96826152
[3] http://mozaikzeitung.ch/spip/ecrire/
[4] http://webmail.lampenwerk.ch/imp/dynamic.php?page=mailbox

Oui klaus

Une mise à jour est importante

Cette faille est corrigée

http://blog.spip.net/Lecon-de-Hack-et-mises-a-jour-de.html

Q.