Kisebb szabad szofteres projektekbe mar vettem eszre aprobb sebezhetosegeket es a bejelentessel egyutt patcheltem is. Termeszetesen mar eleve kitesztelve erdemes az ilyet bekuldeni. Viszont egyszer egy kereskedelmi szoftvergyartoval (UbiSoft) is volt tapasztalatom ahova barmennyire szerettem volna patchelni ugye nem volt ra lehetoseg (zart kod).
A dolog 2011-ben tortent. Az egyik altaluk kiadott, de mar nem tamogatott, jatekhoz csinaltam egy ACL-t ami az adminok szamara lehetove tette hogy eltero jogosultsagokkal legyenek felruhazva (osszevissza banolgattak), ekozben hajmereszto dolgokat talaltam:
Meg mielott a user eljutna oda hogy belepjen adminkent, elotte be kell jelenkezni a UbiSoft accountjaba a jatekkliensbol. Na itt volt az elso bibi: _mindez cleartextben tortent_ es ugye html URL-ben. Ugyanez a usernev/jelszo paros egyebkent a ubi.com webaccount-on is mukodott, persze ott mar elegansan SSL-en keresztul (csak hat akkor mar minek az SSL masutt?). A session hash az termeszetesen minden alkalommal ugyanaz volt igy trivialis volt generalni is. Csak random user nev kellet aztan mehetett a moka, gyonyoruen le lehetett kerdezni barmely account-bol adatokat.
Aztan, a Ubi megoldasa szerint ha ezutan valaki admin jogokat akart akkor siman beirta a jelszot a konzolba, sikeres beleptetes utan azt a kliens oldal pedig eltarolta. Termeszetesen, elegansan cleartextben, "ahogy kell" es egy olyan konyvtarba amely (szervertol fuggoen) webrol is olvashato. Az igazi agyrem viszont ezutan jott: minden alkalommal mikor a jatekos bejelentkezet _teljesen mingyegy hogy milyen idegen szerverre_ a kliens oldal elkulde a az admin jelszot hogy ellenorizze vajon az ominozus user admin-e az adott szerveren.
Ennyi eleg is volt. Ezutan egy oran at kerestem egy nyamvadt email cimet ahol bejelenthetem es posztolhatom a reszleteket. Nem talaltam. A forumukon nyitottam egy uj topikot ahol jeleztem hogy szeretnek reszleteket megosztani a sebezhetosegrol amit talaltam. A moderator nehany percen belul reagalt is, felvette a nevemet egy privat csoportba, csatolta a topikomat majd ket vezeto beosztasu szakembert hozzadadott es ertesitette oket.
Remenykedtem. Megosztottam a fenti reszleteket, exploitokat es felhivtam ra a figyelmuket hogy ahol ilyen ovatlanul van egy belepteto rendszer megtervezve ott atfogo vizsgalatot kell vegezni es surgosen felul kell vizsgalni azt is hogy ez milyen kockazatokat jelenthet a felhasznaloi adatokra nezve. Aztan vartam a valaszukra. Aztan vartam, vartam es meg honapokkal kesobb is vartam, vegul pedig hagytam a fenebe az egeszet.
A konkluziom annyi a jelen topik kapcsan, hogy nemely gyarto pedig egyenesen tesz ra hogy milyen sebezhetosegek vannak a meregdraga sz-jaiban. A penz doljon, a tobbi nem erdekes!
Ja egyebken kb. 2 ev mulva ilyenhez hasonlo hirekbe botlottam szanaszet a neten:
http://www.bbc.co.uk/news/technology-23159997
http://www.theguardian.com/technology/2013/jul/03/ubisoft-hack-users-wa…
Meglepett ez engem?
Ha valaki csupasz s*ggel, egy celtablaval a hatan "Lojj ide!" felirattal futkaroz egy csatateren azt elobb utobb lelovik. A hulyesegnek ara van.