Группа компаний «ABC» выбрала решение Guardant для импортозамещения ключей защиты своих программных продуктов
EOSmobile 4.12: полноценный документооборот в вашем мобильном устройстве
Мировой поставщик семян перенес почтовые архивы из иностранного облака в Cloud.ru: кейс ICL Services
Игорь Марьясов (МТС): На Юге растет конкуренция в IT-решениях кибербезопасности
Бесшовный переход крупного госучреждения на ОС «Альт» обеспечила «Базальт СПО»
ЦБ
°
пятница, 29 марта 2024

Порталы Рунета потеряли исподники

"Белые" хакеры Антон Исайкин и компания "2Товарища" обнаружили уязвимость, присущую в первую очередь крупным интернет-проектам, и сумели получить доступ к файловым структурам ряда сайтов Рунета, а в некоторых случаях — даже к исходным кодам. Среди "пострадавших" называются такие проекты как "Яндекс", "Рамблер" и Mail.Ru.

В статье (опубликованной исследователями на "Хабрахабре", который, кстати, тоже вошёл в число пострадавших) отмечается, что уязвимость связана с системой контроля версий SVN, позволяющей организовать совместную работу множества разработчиков, а потому нередко использующейся крупными порталами.

Особенность архитектуры SVN состоит в способе хранения своих метафайлов, а также последних версий файлов, находящихся в репозитории. Во многих случаях доступ извне к этим файлам администраторы порталов забывают (или не считают нужным) закрыть, хотя исследователи приводят несколько нехитрых способов это сделать — как средствами веб-серверов Apache и nginx, так и средствами самой SVN.

Осознав всё это несколько месяцев назад, исследователи решили просканировать весь Рунет на наличие этой "дыры", для чего написали специальный php парсер. После некоторых усовершенствований, последняя версия скрипта сумела обойти 2 253 388 доменов русскоязычного сегмента Сети и выявить 3320 уязвимых сайтов. От многих из них удалось также получить исходники.

Прежде чем публиковать свои достижения, хакеры сочли нужным связаться с администраторами всех этих ресурсов.

"Статистики по оповещениям пока нет, возможна она будет опубликована через пару недель, — пишут исследователи (орфография сохранена). — Из крупных порталов, ответили шестеро. Самым оперативным оказался Яндекс... Десять проектов никак не прореагировали на наши письма, три проекта закрыли уязвимость не поблагодарив".

Также исследователи хотели провести аналогичную инспекцию доткомов, но для этого потребовались дополнительные усовершенствования (в зоне .com более 700 млн доменов, так что обход при существующих мощностях отнял бы несколько лет), а времени на модернизацию парсера у них сейчас нет.

!-- Yandex.Metrika counter -->