Истина где-то ниже
Октябрь 23, 2018

Баг в плагине загрузки jQuery угрожает тысячам веб-проектов

Очень плохоПлохоСреднеХорошоОчень хорошо (Еще нет голосов, оставьте первым)
Загрузка...

Серьезная уязвимость в скрипте jQuery File Upload может затрагивать тысячи интернет-проектов, включая CMS-платформы, плагины для WordPress, расширения для Joomla и другие продукты. К такому выводу пришел ИБ-специалист Ларри Кэшдоллар (Larry Cashdollar) после изучения исходного кода программы. Брешь позволяет беспрепятственно загружать на целевой сервер вредоносные файлы, такие как установщики бэкдоров или веб-оболочки для запуска сторонних макросов.

Плагин jQuery File Upload бесплатно распространяется через репозиторий JavaScript-упаковщика NPM и является составной частью многих веб-продуктов. Исследователь обнаружил на GitHub почти 8 тыс. разработок, содержащих оригинальный или модифицированный скрипт. Макрос предназначен для загрузки пользовательских фото, аудио- и видеофайлов с поддержкой функций drag-and-drop, индикатора выполнения и проверки целостности объекта.

Уязвимость повлияла только на PHP-сайты и возникла из-за изменения политики безопасности Apache Web Server, вступившей в силу 23 ноября 2010 года. Начиная с версии 2.3.9, создатели мейнфрейма отказались от поддержки файла .htaccess, в котором прописывались разрешения для загружаемых объектов. Разработчик jQuery File Upload не учел этих изменений, и плагин по-прежнему обращался к этому источнику для получения необходимых параметров. В результате киберпреступники могли доставить на сервер установщики зловредов и получить максимальные привилегии на их исполнение в целевой папке.

Как показало исследование ИБ-эксперта, злоумышленники знали об уязвимости и применяли ее в атаках. В Интернете он нашел несколько видеороликов, демонстрирующих эксплуатацию бага, самый ранний из которых датируется 2015 годом.

Ларри Кэшдоллар зарегистрировал брешь под номером CVE-2018-9206 и сообщил разработчику jQuery File Upload о своей находке. Создатель плагина исправил недоработку, однако тысячи сторонних разработчиков все еще используют уязвимый код скрипта. ИБ-специалист проверил более 1000 веб-проектов, включающих в себя код макроса, и обнаружил, что почти все они содержат баг. Эксперт обратился к администрации GitHub с просьбой проинформировать о проблеме авторов затронутых программ.

Как подчеркнул специалист, даже если исходники всех скриптов будут исправлены, конечные проекты останутся под угрозой до тех пор, пока их администраторы не обновят программы. Этот процесс может занять значительное время, и уязвимость еще долгое время будет представлять опасность.

Уязвимости в сторонних плагинах могут привести к утечке данных и угону веб-ресурса. В сентябре этого года стало известно о бреши в приложении Duplicator, предназначенном для переноса WordPress-проектов на новый хостинг. Как выяснили исследователи, расширение некорректно работает с файлами архива, что позволяет злоумышленнику установить взломанную копию сайта поверх легитимной. Разработчик исправил баги, однако киберпреступники по-прежнему сканируют Интернет в поисках непропатченных скриптов.

Источник: https://threatpost.ru/bug-in-file-upload-plugin-affects-thousands-webprojects/28830/