Durva sérülékenységek a Webgalamb hírlevélkezelő rendszerben, sok száz hazai weboldal lehet veszélyben

A hazai fejlesztésű Webgalamb hírlevélkezelőt használó weboldalak „kellemes” újévi problémával néznek szembe, mert a Full Disclosure listán január 2-án megjelent riport szerint 7 súlyos sérülékenység található a Webgalamb rendszerben.

 

A riportot jegyző „Daniel Jones” (ál)nevű kolléga igen alapos munkát végzett, mind a 7 találat igen kellemetlen eredménnyel járhat, azonban a legsúlyosabbak azok a sérülékenységek, amelyekkel megkerülhető a Webgalamb rendszer hitelesítése, és hozzáférhetővé válik az adatbázis.

Ez már csak két okból is igen kellemetlen, egyrészt az összes felhasználó (feliratkozó) adata hozzáférhetővé válik (dumpolható az adatbázis), illetve olyan kódok illeszthetők az adatbázisba, amelyek a rendszer adminisztrátorának bejelentkezésekor fognak lefutni, és amelyekkel akár hozzáférhetővé válik az adminisztrátor gépe, vagy akár azon keresztül a teljes hálózat.

A kedvencem azonban az a sérülékenység, melyen keresztül lehetősége van a támadónak fájlokat feltölteni a hírlevélküldő szerverre, így kiválóan használható malware terjesztésre (is), azonban alkalmas shell (backdoor), vagy más csalafinta kód- és parancs futtatásra – amellyel viszont már a Webgalamb rendszert hostoló szerver válik kompromittálhatóvá.

„Daniel Jones” a timeline szerint még tavaly október végén felvette a kapcsolatot a gyártóval, és október 31-én meg is küldte a riportot a Webgalamb fejlesztőinek, akik aztán november 12-ére igazolták is a sérülékenységeket, de a javításról, illetve az ügyfelek kiértesítéséről nem áll rendelkezésre információ.

A riport szerint a Webgalamb 6-os és 7-es verziója biztosan érintett a sérülékenységekkel kapcsolatban, így az ilyen verziójú Webgalamb alkalmazásokat célszerű addig letiltani, amíg a gyártó nem ad ki hozzájuk javításokat.

(A Webgalamb egy alkalmazás, amelyet beledrótoznak a weboldalba, ezen keresztül történik a feliratkozás, a feliratkozások kezelése és persze az alkalmazásból történik a hírlevelek kiküldése is, szóval a letiltás inkább azt jelenti, hogy le kell venni a feliratkozási (és egyéb Webgalamb) formokat az oldalról, és a Webgalamb mappájára érdemes egy „BASIC AUTHENTICATION”-t beállítani, hogy csak egy külön (a Webgalambtól független) felhasználónév/jelszó párossal lehessen mappa szinten hozzáférni az alkalmazáshoz.)

webgalamb-sql.png

A riport is megemlíti, és némi kereséssel ezt sajnos egyszerű igazolni, hogy sok esetben a Webgalamb-tulajdonosok sem jártak el helyesen a rendszer beüzemelésekor, a fájlokat és logokat tartalmazó mappák korlátozás nélkül elérhetőek, ez persze jelentősen megkönnyíti az SQL injection-alapú sérülékenység kihasználását (persze magát a támadást a Webgalamb sérülékenysége teszi lehetővé, az ellen nem védene a megfelelő jogosultság-beállítás, legfeljebb kissé megnehezítené a támadó dolgát).

Megint a GDPR, ugye?

A Webgalambos hírlevélküldők meglehetősen kellemetlen helyzetben vannak, nyilván mindenki elkészítette már a megfelelő hozzájárulásokat, illetve adatvédelmi szabályzatokat – azonban ennek a jogi keretnek éles próbája lehet, ha valaki lementi a felhasználói (feliratkozói) adatokat – és esetleg visszaél vele, vagy publikálja az innen származó adatokat.

Egy gyors keresés alapján legalább 482 Webgalamb-ügyfél biztosan van (tuti, hogy több van), hogy ezekből mennyi érintett, azt macerásabb megállapítani, a riportot jegyző kolléga régebbi verziókra vonatkozó “probably also affected” jelzése alapján nem túl rózsás a helyzet.

Nem tudom, hogy a Webgalamb fejlesztője mit lépett az ügyben, vagy mit nem, csak remélni tudom, hogy ha még nem tette, akkor nagyon hamar felveszi a kapcsolatot az érintett ügyfelekkel, tájékoztatja őket a problémáról, és persze mihamarabb kiadja a szükséges javításokat.

Forrás: https://kiber.blog.hu