HARD CORE SECURITY LAB

Wczoraj w trakcie poszukiwania sterownika do skanera firmy Mustek natknąłem się na interesujący problem na stronie http://www.mustek.com.tw/. Po przejściu do sekcji Support, strona nie odpowiadała przez dłuższy czas, a następnie wyświetlany był komunikat, który uchwyciłem na powyższym zrzucie ekranu. Zapewne w wyniku błędów, które pojawiły się w konfiguracji strony, serwer zgłaszał błąd. Nie to jednak najbardziej mnie zaciekawiło...

Pod komunikatem o błędzie, serwer podpisał się beztrosko jako: Apache/2.0.52 (Red Hat) Server at www.mustek.com.tw Port 80. Na pierwszy rzut oka może się wydawać, że takie informacje nie niosą ze sobą żadnego zagrożenia, jest jednak zupełnie odwrotnie. Przede wszystkim, potencjalny włamywacz dowiaduje się, że strona firmy Mustek przechowywana jest na serwerze działającym pod kontrolą Linux Red Hat, a sam serwer WWW to Apache w wersji 2.0.52.

Pierwszy etap każdego ataku stanowi zawsze przecież rekonesans, czyli zbieranie informacji o używanych w docelowym systemie rodzajach i wersjach oprogramowania, tak by następnie móc zaatakować znane słabości odnalezionego oprogramowania. W tym wypadku firma Mustek podaje potrzebne włamywaczom informacje na tacy. Uwagę komputerowych włamywaczy może również zwrócić wersja samego serwera WWW. Obecnie, stabilna wersja tego oprogramowania jest dostępna w wersji 2.2.13. Mustek korzysta więc z oprogramowania nieaktualnego, zawierającego wiele znanych luk.

Apache 2.0.52 zawiera między innymi następujące znane błędy:

Artykuł autorski HCSL - Wojciech Smol