Выпустили автоматизированную утилиту для компрометации сайтов

На этой неделе исследователи Джулиано Риццо и Тай Донг выпустили анонсированную в феврале утилиту Padding Oracle Exploitation Tool (Poet) , которая позволяет получать персональную информацию и выполнять произвольный код на тысячах веб-сайтов. Для этого Poet использует уязвимость в популярной платформе разработки JavaServer Faces.

Программа Poet способна расшифровывать закодированные данные без знания секретного ключа. Она позволяет хакерам обходить CAPTCHA, получать доступ к личной информации, хранимой на порталах банков, онлайн-магазинов и других компаний. В некоторых случаях утилиту можно использовать для запуска на серверах вредоносного кода.

Poet эксплуатирует хорошо известную уязвимость при шифровании текста, хранимого в cookie, скрытых полях HTML и параметрах запросов. Модифицируя зашифрованную информацию и отправляя ее обратно на сервер, злоумышленники имеют возможность восстанавливать небольшие фрагменты зашифрованных данных, получая таким образом доступ к паролям и закрытым директориям веб-серверов.

Эксплуатация данной бреши становится возможной благодаря ошибке, допускаемой платформой JavaServer Faces при использовании алгоритмов шифрования AES/DES. Утилита пользуется тем, что на многих сайтах применяется одно лишь шифрование, а не связка шифрования, аутентификации и проверки целостности данных.

Приложение было протестировано на серверах Apache и Sun Mojarra, работающих в паре с JavaServer Faces. Однако, исследователи полагают, что уязвимыми могут оказаться и многие другие платформы. Poet работает под управлением Windows, Mac OS X и Linux. Загрузить программу можно здесь. Видео, демонстрирующее процесс взлома, прилагается.