Große Hoster sind voller Lücken: Web-Konfiguratoren leicht angreifbar
Entdeckt wurden die Probleme vom Sicherheitsforscher Paulos Yibelo. Diesem genügte teilweise einfach nur der passende Link, um fremde Nutzerkonten zu kapern. Eklatante Schwachstellen fand dieser dabei bei Hostern wie Bluehost, DreamHost, Hostgator, OVH und iPage. "Alle fünf hatten mindestens eine ernsthafte Schwachstelle, die eine Übernahme von Accounts erlaubte", erklärte Yibelo gegenüber dem US-Magazin TechCrunch.
Und der Sicherheitsforscher konnte auch eine Ursache ausmachen, die zu den Problemen führt: Die Backend-Systeme bei den Hostern sind jeweils nicht besonders gut gewartet und beruhen auf einer alternden Infrastruktur. Und auf dieser laufen dann webbasierte Systeme, mit denen die Anwender ihre Konten und Dienste verwalten können. Diese werden mit der Zeit immer komplexer, was dann in Verbindung mit enormen Kundenzahlen zu gravierenden Problemen führen kann.
In anderen Fällen kam Yibelo weiter, indem er die Inhaber der Accounts auf Webseiten lockte, in die bestimmte JavaScript-Codes eingebettet waren. Dann konnte er über Cross-Site Request Forgery (CSRF)-Angriffe den Session übernehmen, mit der gerade auf die Konfigurations-Oberfläche des Hosters zugegriffen wurden. Oder es gelang, direkt aus dem Code heraus eine eigene E-Mail-Adresse zum Zurücksetzen des Passwortes an den Hoster zu übermitteln.
Alle von dem Sicherheitsforscher gefundenen Schwachstellen sind in ihrer jeweiligen Form behoben worden und damit nicht mehr nutzbar. Allerdings sind die grundlegenden Probleme nicht beseitigt, so dass es durchaus noch weitere Lücken geben kann.
Siehe auch: High End-Hacker? - IT der US-Raketenwaffe hält nichtmal Phishing stand
Und der Sicherheitsforscher konnte auch eine Ursache ausmachen, die zu den Problemen führt: Die Backend-Systeme bei den Hostern sind jeweils nicht besonders gut gewartet und beruhen auf einer alternden Infrastruktur. Und auf dieser laufen dann webbasierte Systeme, mit denen die Anwender ihre Konten und Dienste verwalten können. Diese werden mit der Zeit immer komplexer, was dann in Verbindung mit enormen Kundenzahlen zu gravierenden Problemen führen kann.
Spearphishing mit Erfolg
Die jeweiligen Schwachstellen konnten nach Angaben des Experten insbesondere gut genutzt werden, um gezielt große Angebote zu übernehmen. Dafür mussten im Grunde oft nur Spearphishing-Kampagnen gegen die Betreiber gefahren werden. Wenn diese dann beispielsweise auf einen übermittelten Link klickten, wurde das Hoster-Konto für den Angreifer aufgemacht.In anderen Fällen kam Yibelo weiter, indem er die Inhaber der Accounts auf Webseiten lockte, in die bestimmte JavaScript-Codes eingebettet waren. Dann konnte er über Cross-Site Request Forgery (CSRF)-Angriffe den Session übernehmen, mit der gerade auf die Konfigurations-Oberfläche des Hosters zugegriffen wurden. Oder es gelang, direkt aus dem Code heraus eine eigene E-Mail-Adresse zum Zurücksetzen des Passwortes an den Hoster zu übermitteln.
Alle von dem Sicherheitsforscher gefundenen Schwachstellen sind in ihrer jeweiligen Form behoben worden und damit nicht mehr nutzbar. Allerdings sind die grundlegenden Probleme nicht beseitigt, so dass es durchaus noch weitere Lücken geben kann.
Siehe auch: High End-Hacker? - IT der US-Raketenwaffe hält nichtmal Phishing stand
Diese Nachricht empfehlen
Kommentar abgeben
Netiquette beachten!
Jetzt als Amazon Blitzangebot
Ab 07:25 Uhr 
JCOTTON USB Ladegerät Mehrfach 6 Ports USB Adapter Netzteile
JCOTTON USB Ladegerät Mehrfach 6 Ports USB Adapter Netzteile Original Amazon-Preis
36,99 €
Blitzangebot-Preis
31,44 €
Ersparnis zu Amazon 15% oder 5,55 €
Neueste Downloads
Video-Empfehlungen
Beliebt im Preisvergleich
- Sicherheit & Backup:
Alle Kommentare zu dieser News anzeigen