Taloussanomat

PayPalin tiedostot avautuivat vanhasta Java-aukosta

Kuva: © Pichi Chuang / Reuters

26.1.2016 16:32 PayPalista oli mahdollista noutaa tiedostoja vanhalla haavoittuvuudella.

Tietoturvatutkija pääsi tunkeutumaan maksuliikenneyhtiö PayPalin palvelimille yli vuoden ikäisen Java-haavoittuvuuden kautta, kertoo Softpedia.

Kyseessä oli aiemmin löydetty Javaan liittyvä deserialisointiongelma, joka mahdollistaa minkä tahansa palvelimelle lähetetyn luokan objektien kutsumisen.

Riippumaton tietoturvatukija Michael Stepankin lähetti PayPalin palvelimille yrityskäyttöön tarkoitetulla PayPal Manager -käyttöliittymällä koodia, jolla hän sai palvelimen tekemään dns- ja http-kutsuja omalle palvelimelleen.

Seuraavalla yrityksellä hän sai noudettua /etc/passwd-tiedoston sisällön.

Tutkija ilmoitti asiasta PayPalille joulukuussa. Hän sai löydöstään 5000 dollarin palkkion, ja haavoittuvuus julkaistiin vasta korjauksen jälkeen. Pimeillä markkinoilla haavoittuvuuden arvo olisi todennäköisesti laskettu sadoissa tuhansissa.

Jutun kirjoitti: Digitoday

Teksti on lisensoitu Creative Commons Nimeä-Ei muutoksia-Epäkaupallinen -lisenssillä.

Kommentit (3)

Sivut: 1
EdellinenSeuraava

Anonyymi
passwd ei nykyään kerro salasnoja koska ne on kryptattu, joten tuosta kyseisestä tiedostosta tuskin kukaan olisi ollut innostunut.

ja tuossa järjestelmässä tuskin on ollut kovin tärkeää dataa kuin vain tuon kyseisen palvelun ydintiedostot, jotka taatusti on varmuuskopioitu moneen kertaan.

5k on ollut mielestäni liikaa palkkiota tuonkaltaisesta löydöksestä, ellei sitten tosiaan palvelin ole pitänyt sisällään jotain oikeasti arvokasta, passwd tiedostossa nyt ei kuitenkaan ole pidetty paypalin käyttäjien tunnuksia vaan tuon yksittäisen palvelimen käyttäjät ja yksittäisten palveluiden kuten tietokantojen käyttäjätunnukset.

Toki pelkillä käyttäjätunnuksilla olisi mahdollista yrittää kirjautua palveluihin sisään ns. brute force tekniikalla joka pommittaa erilaisia merkkiyhdistelmiä salasanaksi, mutta oikeasti passwd, tai edes shadow tiedostot.. ei mitään arvoa.
Anonyymi: Janne_Granstrom 26.1.2016 23:44

Anonyymi
@Janne_Granstrom

Tuo on RCE, eli Remote Code Execution, ja selkeästi 5k€ arvoinen. Pimeillä markkinoilla varmasti arvokkaampikin.

/etc/passwd luettiin vain koska se on yleinen & melko harmiton tapa demonstroida pääsyä tiedostojärjestelmään.
Anonyymi: Asiant 27.1.2016 3:08

Anonyymi
Janne_Granstrom; totta, mutta reikä mikä reikä ja hyvä kun palkitsevat niiden löytämisestä niin se houkuttelee muitakin paljastamaan löydöksiään.
Anonyymi: Suursurffi 27.1.2016 7:58
Sivut: 1
EdellinenSeuraava
Ohjeet: Pysy aiheessa ja kirjoita napakasti. Muista, että haastateltavilla, kanssakeskustelijoilla ja toimittajilla on oikeus omaan, eriävään mielipiteeseen. Ole kohtelias, äläkä tarkoituksella provosoi tai hauku muita keskustelijoita. Taloussanomat varaa oikeuden poistaa asiattomat viestit.
Lue koko keskusteluetiketti
Varaa oma nimimerkkisi Taloussanomien uutiskommentointiin rekisteröitymällä käyttäjäksi tai kirjaudu sisään.

Rekisteröityminen ja nimimerkin varaus eivät ole pakollisia.

Nimimerkissä saa käyttää ainoastaan kirjaimia ja numeroita. Sen minimimitta on viisi merkkiä ja maksimi kaksikymmentä merkkiä.
Olet kirjautunut sisään, muttet ole vielä valinnut omaa, muille käyttäjille näkyvää nimimerkkiäsi. Varaa nimimerkki omaksesi kirjoittamalla se nimimerkki-kenttään.

Varauksen jälkeen muut eivät voi käyttää nimimerkkiäsi ja se näkyy automaattisesti kaikissa kirjoittamissasi viesteissä.

Huomioithan, ettei nimimerkkiä ei voi muuttaa jälkikäteen.

Nimimerkissä saa käyttää ainoastaan kirjaimia ja numeroita. Sen minimimitta on viisi merkkiä ja maksimi kaksikymmentä merkkiä.

Uusimmat uutiset

Digiyesterday


2013

Kolme vuotta sitten

Googlen perustajan aviodraama ja uusi rakas sekoittuivat liiketoimintaan

30.08.2013 Googlen perustajan Sergei Brinin asumusero, uusi työpaikkarakastettu ja Android-johtajan lähtö Kiinaan ovat sotkeutuneet tosielämän saippuaoopperaksi.

.