На портале Министерства транспорта США обнаружены три критические уязвимости

Согласно  сообщению представителей группы хакеров, называющих себя «The Wiki Boat Brazil», им удалось обнаружить три критические уязвимости на web-сайтах Министерства транспорта (Department of Transportation, DoT) США.

Как следует из сообщения  на портале группировки, такие web-сайты, как dot.gov, environment.fhwa.dot.gov и fhwa.dot.gov могут быть скомпрометированы посредством проведения CSRF-атаки, SQL-инъекции и XSS-атаки. Кроме того, хакеры опубликовали в открытом доступе часть данных, похищенных с ресурса itsdeployment.its.dot.gov.

«The Wiki Boat Brazil» также предоставили различные POC-коды, в том числе для осуществления CSRF-атаки, которая позволяет удаленному злоумышленнику сделать обычного пользователя администратором ресурса, если действующий администратор пройдет по специально сформированной ссылке.

http://www.environment.fhwa.dot.gov/strmlng/searchresults.asp?id=1&keyword=&StateSelect=%3Ccenter%3E%3Cimg%20src=%22http://4.bp.blogspot.com/-uTsGOMJD3js/TpzEs5S9tVI/AAAAAAAAArc/tXoUEwWH0Cc/s1600/aprendiz.jpg%22%20/%3E%3Ch1%3ETheWikiBoatBrazil%3C/h1%3E%3C/center%3E&ShowNewPractices=&CategorySelect=all&startrow=1&ResultsSelect=10&ShowDescription=true&print=&InnovativePract= 

На момент публикации новости код работал. 

Напомним, что несколькими днями ранее «The Wiki Boat Brazil» провели ряд успешных атак на порталы Министерства финансов и федеральной полиции Франции. POC-код для проведения XSS-атаки на бразильский Центральный Банк bcb.gov.br был опубликован на сервисе Pastebin.