Quase diariamente eu visito sites que listam domínios de malwares. Visitando um destes sites vi que dos 50 domínios listados na primeira página, 47 eram sites legítimos que utilizam OSCommerce.
OSCommerce é um sistema para criação de lojas virtuais. É muito simples de usar e criar lojas inteiras. Por ter código aberto, é altamente customizável. Existem comunidades inteiras dedicadas a dar suporte e criar novos plugins para este sistema. Com certeza é um dos mais conhecidos e usados sistemas para lojas online.
Um sistema maravilhoso. Mas tudo que é muito usado fica visado. Com o OSCommerce não é diferente. De tempos em tempos alguém descobre uma nova vulnerabilidade no OSCommerce. Então hackers fazem a festa.
Quando eu comecei a estudar segurança da informação, eu tinha 14 anos. Na época o OSCommerce já era alvo de hackers e de tempos em tempos alguém postava no mail list do SecurityFocus uma nova vulnerabilidade deste sistema. E quem pensa que isso ficou no passado, se engana.
Há alguns dias atrás descobri, em uma página legítima que estava espalhando trojans bancários, um scanner de vulnerabilidades que recebia comandos por um canal de IRC. O scanner busca por sites, usando o google e comandos como inurl e intext, que atendam os requisitos. Quando encontra, verifica se o site é vulnerável e, se for, já instalava um shell para controle remoto do servidor. Um dos exploits deste scanner era para o OSCommerce.
O Oscommerce, ao que me parece, é o sistema de ecommerce preferido dos hackers pela facilidade que se pode quebrar toda a segurança do sistema. Ao longo da história do OSCommerce já houveram casos de Remote File Inclusion, SQL Injection, XSS, mas com certeza a que está sendo mais explorada atualmente é Arbitrary File Upload Vulnerability.
Esta vulnerabilidade é séria porque nos permite fazer o upload de qualquer coisa sem sequer ter permissão para tal. Sobre esta vulnerabilidade, veja http://www.securityfocus.com/bid/47855 e http://www.securityfocus.com/bid/44995
Peguei um dos links que estavam marcados com malware e tentei explorar o Arbitrary File Upload do OSCommerce. Vejam que após conseguir enviar um shell, vi que existiam vários bots na pasta, mailers para enviar e-mails em nome do bradesco, shells, etc.
Atualmente não existe correção para esta vulnerabilidade do OSCommerce. Por isso, caso você use este sistema, restrinja o acesso ao diretório admin (veja este exemplo: http://usedbooksnewgifts.com/admin )
Abraços e até a próxima
Sucesso Santana.. parabéns pelo blog!
ReplyDelete