Сайт ZPanel был взломан после оскорбительного сообщения одного из разработчиков панели управления
Использование небезопасного метода кодирования в ZPanel неоднократно подвергалось критике.
Разработчики открытой панели управления хостингом ZPanel расплачиваются за свое пренебрежительное отношение к проблемам безопасности панели. Использование небезопасного метода кодирования неоднократно подвергалось критике, однако разработчики реагировали на нее в грубой форме и не предпринимали действий по улучшению безопасности.
Ранее один из участников проекта ZPanel Найджел Колдуэлл (Nigel Caldwell) на официальном форуме ZPanel заявил, что панель является более безопасным продуктом, чем имеющиеся аналоги, и что у пользователей больше шансов компрометации систем через уязвимости в ОС, чем через уязвимости в ZPanel.
В ответ на это заявление нидерландский разработчик ПО Свен Слутвег (Sven Slootweg) опубликовал на форуме сообщение, в котором заявил о проблеме, затрагивающей систему шаблонов, остававшейся неисправленной более 8 месяцев. Обнаруженная Уязвимость – недостаток в компьютерной системе, использование которого, приводить к нарушению целостности системы и некорректной работе. Уязвимость появляются в результате ошибок программирования, недостатков, которые допускались при проектировании системы, ненадежных паролей, вредоносных программ, скриптовых и SQL-инъекций.
Уязвимость позволяет атакующему нарушить корректную работу приложения, к примеру, с помощью внедрения данных незапланированным способом; выполнения команды на системе, на которой выполняется данное приложение; или, используя упущение, которое позволяет получить доступ к памяти для выполнения кода на уровне привилегий программы. Запись данных в буфер, без проверки его границ, приводит к переполнению буфера и как результат происходит выполнение произвольного кода. Это также является уязвимостью. В результате недостаточной проверки данных, вводимых пользователем, возникает уязвимость, которая позволяет напрямую выполнить SQL (SQL-инъекции).
Уязвимости были обнаружены во всех основных операционных системах, включая Microsoft Windows, Mac OS, UNIX и OpenVMS.
Тем не менее, разработчики ZPanel отказались признать это серьезной проблемой, заявив, что для эксплуатации уязвимости требуется загрузка шаблона, а эта операция доступна только пользователю с привилегиями администратора. При этом, несмотря на запрет по умолчанию, при включении функции изменения внешнего вида интерфейса, любой получивший право перепродавать услуги хостинга может выполнить свой код с правами root на сервере.
После того, как Слутвег продолжал настаивать на том, что ZPanel следует пересмотреть свое отношение к безопасности и, в частности, исправить проблемы с возможностью осуществления межсайтовых запросов, Колдуэлл ответил ему на официальном форуме в весьма грубой форме, назвав Слутвега «f*cken little know it all».
Через несколько часов после оскорбительного сообщения сайт ZPanel и учетные записи на форуме, принадлежащие Колдуэллу и еще одному разработчику, Тому Гейтсу (Tom Gates), были взломаны. При этом, якобы от лица Колдуэлла, было опубликовано сообщение: «Привет. Недавно мы поняли, что не в состоянии обеспечить безопасность кода и решили закрыть проект. До свидания». Кроме того, в открытом доступе оказались скриншот входа с правами root на один из серверов инфраструктуры ZPanel и файл с хэшами паролей некоторых участников проекта.
Никогда не поздно готовиться к цифровому апокалипсису - подписывайтесь на наш канал и узнавайте, как выжить в киберхаосе!