Hackers iranianos alegam ter derrubado energia em Israel
Ransomware atinge empresa de logística no Brasil
USP, UFRJ e UFMG sob ataque de negação de serviço
Pane de rede retardou produção na Volkswagen
Site da Prefeitura de Suzano (SP) está fora do ar
DDoS atinge subdomínio da NASA

Assine nossa newsletter Premium e ganhe acesso ao grupo de WhatsApp In_Cyber.
Conheça também a versão Básica

Segredo hacker: jQuery FileUpload furado desde 2010

Share on linkedin
Share on twitter
Share on facebook

O plugin FileUpload, um dos widgets mais populares da plataforma jQuery, contém uma falha de código que ilude a comunidade de segurança há oito anos: o FileUpload do jQuery ficou vulnerável desde o lançamento do Apache 2.3.9 em 2010. Esse bug permite que um invasor carregue arquivos à sua escolha em servidores da Web. Incluindo shells de comando, é claro.

Desde 2015 estão surgindo tutoriais online explicando como ele poderia ser explorado e nem assim a vulnerabilidade foi corrigida. Há um vídeo de 2015 disponível no YoutTube com instruções passo a passo sobre como encontrar sites vulneráveis e como fazer defacement, mas também há vídeos mais recentes.

Larry Cashdollar, pesquisador de segurança da Akamai, descobriu a falha ao analisar o código do widget. Para provar o conceito, conseguiu fazer o upload de um shell da web e executar comandos em um servidor de testes. O problema foi melhor compreendido com a ajuda de Sebastian Tschan, o desenvolvedor do plugin. A falha introduzida no Apache 2.3.9 fazia com que os arquivos .htaccess, que armazenam as configurações de segurança dos subdiretórios, se tornassem inativos por default. A menos que especificamente habilitados pelo administrador, os arquivos .htaccess são ignorados.

Uma razão para isso era proteger a configuração do sistema do administrador, impedindo que usuários personalizassem as configurações de segurança em pastas individuais. Outra foi melhorar o desempenho, pois o servidor não precisava mais verificar o arquivo .htaccess ao acessar um diretório.

E assim, após o Apache 2.3.9, os plugins que usavam arquivos .htaccess para restrições de acesso não se beneficiavam mais dessa configuração de segurança de acesso a pastas personalizadas. Foi infelizmente o caso do jQuery File Upload, que adiciona arquivos a um diretório raiz.

A falha está registrada como CVE-2018-9206 e foi corrigida na última versão do jQuery File Upload. O autor alterou o código para permitir upload apenas de arquivos de imagem GIF, JPG, JPEG e PNG. Instruções sobre como ativar mais conteúdo sem correr um risco de segurança estão em

https://github.com/blueimp/jQuery-File-Upload/blob/master/server/php/index.php