شناسایی یک حفره امنیتی خطرناک در Paypal
بر اساس گزارشات رسیده، سیستم پشتیبان جاوای شرکت پیپال در مقابل حمله ای که کارشناسان از یک سال پیش هشدار داده بودند، آسیب پذیر است.
به گزارش کلیک، PayPal یک آسیب پذیری جدی در سیستم مدیریت پشتیبانی خود شناسایی کرده است که حمله کنندگان را قادر می سازد تا دستورات دلخواه خود را اجرا کنند و به طور بالقوه یک برنامه دسترسی مخفی را نصب کنند.
این آسیب پذیری مربوط به تعدادی از باگ ها است که از غیر متوالی سازی برنامه های جاوا ایجاد می شوند و کارشناسان امنیتی از یک سال قبل درباره آن هشدار داده بودند.
در زبان های برنامه نویسی، متوالی سازی شامل فرآیند تبدیل داده ها به یک قالب دوتایی برای ذخیره سازی یا ارسال آن بر روی شبکه است. در صورتی که غیر متوالی سازی، روند معکوس این فرآیند است.
غیر متوالی سازی به خودی خود یک مشکل نیست، اما همانند اکثر فرآیندهایی که شامل پردازش ورودی های نامطمئن احتمالی هستند، اقداماتی باید انجام گیرد تا تضمین شود که این پردازش بدون خطر انجام می شود. برای مثال، یک حمله کننده می تواند برنامه ای متوالی شده بسازد که دارای نوعی کد جاوا باشد که برنامه آن را قبول کند و از آن برای اقدامات مخرب استفاده شود.
در ماه نوامبر پژوهشگرانی از یک شرکت به نام FoxGlove Security یک حمله آزمایشی را برای شناسایی آسیب پذیری غیر متوالی سازی در یک مرکز داده معروف به نام Apache Commons Collections ACC انجام دادند، که این ACC به صورت پیش فرض بر روی بسیاری از سرورهای بر پایه جاوا قرار داشت.
پژوهشگران امنیتی در آن زمان هشدار دادند که هزاران برنامه اینترنتی بر پایه جاوا، مانند انواع برنامه های سفارشی شرکت ها، احتمالاً در مقابل این حمله آسیب پذیر هستند و اعلام کردند که به احتمال فراوان هکرهای خوب و بد هردو برای ارزیابی آن دست به کار خواهند شد.
مایکل استپانکین، که یک شکارچی باگ مزد بگیر است و این آسیب پذیری را در وب سایت manager.paypal.com کشف کرده است، از جمله این هکرها است. او از پژوهش فروهوف، لاورنس و پژوهشگران FoxGlove الهام گرفته بود و حتی از یکی از ابزارهای تولیدی آنها استفاده کرد تا حمله خود را قدرتمند تر کند.
استپانکین بعد از تشخیص آسیب پذیری سایت PayPal نسبت به غیر متوالی سازی جاوا، قادر بود تا از این نقص برای اجرای دستورات دلخواه خود بر روی سرور اینترنتی اصلی این سایت استفاده کند.
استپانکین در یک پیام اینترنتی اعلام کرد: "علاوه بر این، من توانستم یک ارتباط پشتیبانی با سرور خود برقرار کنم و برای مثال، یک برنامه دسترسی مخفی را بارگذاری و اجرا کنم. در نتیجه، توانستم به مرکز تولید داده های مورد استفاده در برنامه manager.paypal.com دسترسی پیدا کنم."
بعد از این که او این مسئله را به PayPal گزارش کرد و آن اثبات شد، با اینکه گزارش او تکراری محسوب می شد اما شرکت طبق برنامه شکار باگ خود به او پاداشی اهدا کرد، زیرا مشخص شد که یک پژوهشگر امنیتی دیگر همین مسئله را چند روز قبل گزارش کرده بود، این اتفاق اثبات می کرد که افرادی اخیراً در جستجو برای یافتن این نوع از آسیب پذیری هستند.
سازندگان باید اطمینان حاصل کنند که این شرکت پایگاه داده های ACC مورد استفاده در سرورها و برنامه های جاوای آنها که در معرض این نقص هستند را حداقل به نسخه های 3.2.2 یا 4.1 به روز رسانی می کند. با این وجود، احتمال دارد این نوع آسیب پذیری در پایگاه های دیگر نیز وجود داشته باشد و هنوز کشف نشده اند.
منبع:PCworld