Beveiligingsonderzoeker Paulos Yibelo heeft ongeveer tien bugs naar buiten gebracht die het erg eenvoudig maakten om gevoelige informatie te stelen of om een account van een klant over te nemen via hacks. De bugs zaten in een aantal van de grootste webhostingbedrijven op het internet, meldt TechCrunch.
In een aantal gevallen was het genoeg om te klikken op een eenvoudige link om een account over te nemen van iemand die gebruikmaakte van de vijf grootste hosting-providers. Het ging om Bluehost, DreamHost, Hostgator, OVH en iPage. “Alle vijf hadden in ieder geval één serieuze kwetsbaarheid waarmee een account over te nemen was”, aldus Yibelo. De kwetsbaarheden zijn gemeld voor Yibelo ze openbaar maakte. De fouten zijn ook opgelost.
De bugs konden gebruikt worden op de in totaal zeven miljoen domeinen die de providers samen hosten. De meeste aanvallen van Yibelo waren eenvoudig, maar erg effectief als ze samen werden gebruikt met een spearphishing-campagne. De meeste data van een domeinregistratie van grote klanten zijn te vinden op WHOIS-databases. De meeste hacks zouden werken door de eigenaar van een domein een malafide link per e-mail te sturen en te hopen dat hij er op zou klikken.
Bluehost
In het geval van Bluehost plaatste Yibelo malafide JavaScript op een pagina vol met kittens of puppies. Zodra een ingelogde Bluehost-gebruiker klikt op een link uit een e-mail of een tweet naar die pagina, activeert de verborgen JavaScript en injecteert dit de profielinformatie van de aanvaller in het account van het slachtoffer – mits het slachtoffer al ingelogd is.
Dit doet de hacker door een cross-site request forgery (CSRF) probleem te misbruiken. Daarmee kan de aanvaller data op de server van zijn malafide website aanpassen, zonder dat het slachtoffer dit weet. Daardoor kan de aanvaller een nieuw wachtwoord opvragen die naar het e-mailadres van diegene verstuurd wordt, en zo het account overnemen.
Hostgator had meerdere kwetsbaarheden, waaronder een vergelijkbaar CSRF-probleem dat ervoor zorgde dat tegenmaatregelen om een cross-site script niet te laten draaien, uit werd geschakeld. Daardoor kon Yibelo alle data in het profiel van een slachtoffer aanpassen en data toevoegen. Het gaat onder meer om een e-mailadres dat gebruikt kan worden om het wachtwoord van de gebruiker te resetten. Verder vond de onderzoeker kwetsbaarheden die man-in-the-middle-aanvallen op een lokaal netwerk toelieten.
OVH en iPage
OVH had een vergelijkbare fout waardoor Yibelo zijn CSRF-beschermingen kon omzeilen, waardoor hij ook hier data op het profiel van een gebruiker kon toevoegen of wijzigen. Door een andere kwetsbaarheid in de API te misbruiken, kon een aanvaller ook reacties van OVH ophalen en lezen.
iPage had eenzelfde soort fout dat eenvoudig misbruikt kon worden, omdat de web host geen oud of huidig wachtwoord vereist als de logingegevens gereset werden. Daardoor kon een aanvaller een malafide webadres maken, die het wachtwoord reset naar eentje die de aanvaller kiest als een slachtoffer er op klikt.
De meeste webhostingbedrijven hebben de fouten opgelost. Alleen OVH gaf geen reactie op het verzoek van TechCrunch. De andere bedrijven hebben bevestigd dat de problemen zijn verholpen.
15 uur geleden
