)【新朋友】点击标题下面蓝字「皮鲁安全之家」关注 【老朋友】点击右上角,分享或收藏本页精彩内容 【公众号】搜索公众号:皮鲁安全之家,或者ID :piluwill |
著名黑客CyberZeist最近入侵了FBI网站(FBI.gov),并将几个备份文件(acc_102016.bck,acc_112016.bck,old_acc16.bck等)公布在了Pastebin,数据内容包括姓名、SHA1加密密码、SHA1盐和电子邮件等。
CyberZeist这名黑客颇有名气,他曾是Anonymous的一员,2011年有过黑入FBI的经历。除此之外,巴克莱、特易购银行和MI5都曾是他手下的受害者。
入侵的具体时间是在2016年12月22日——CyberZeist利用Plone内容管理系统(CMS)的0-day漏洞侵入了FBI.gov。Plone的内容管理系统被认为是迄今为止最安全的CMS,很多高级部门使用这个CMS,其中就包括FBI。
CyberZeist解释说,他所利用的这个0-day不是他发现的,他只是想用FBI的网站测试一下这个漏洞,结果就成了。其他网站同样可能遭受相同的0-day攻击,比如说知识产权协调中心以及欧盟网络信息安全机构。
德国和俄罗斯的媒体相继报道了此次黑客入侵事件,而美国的许多主流媒体却刻意忽视了这件事。
FBI在得知了CyberZeist的入侵后,就立即指派安全专家展开修复工作,但是仍未修复Plone内容管理系统的0-day漏洞。CyberZeist发现了FBI的修复工作后,并发了一条具有嘲讽性质的的推特。
他对这条推特进行了补充:
我当然没有得到root权限(这明显嘛),但是我就是能知道他们在跑6.2版本的FreeBSD,这份数据最早可以追溯到2007年。他们最后的重启时间是2016年12月15日晚上6:32。
CyberZeist透露说:
这个0-day漏洞是他从tor网络上买到的,而卖家不敢侵入FBI.gov这种网站。现在已经停止出售,我会在推特上亲自放出这个0-day漏洞。
该漏洞目前仍存在于CMS的某些python模块中。
点击这里可以看到CyberZeist在Pastebin之上的动态。
后续更新
Plone安全团队看到CyberZeist这样黑Plone的CMS系统,他们当然坐不住了。于是Plone发了一篇博客全盘否认了CyberZeist的“发现”。
“Plone的安全团队已经看到了CyberZeist的犯罪声明,并对此Plone进行了检测,事实证明‘FBI被黑’是一个骗局。无论是Plone还是在基于Plone的系统都不存在0-day漏洞。”
小编看到这篇博客的时候表情是这样的。哇,好足的底气。你这不光打了CyberZeist的脸,还留下一个懵逼的小编。让我们继续往下看。
Matthew Wilkes(Plone安全团队的成员)解释了为什么他们的团队认为‘FBI被黑’和‘Plone存在0-day漏洞’是骗局的原因。
原因一 ——版本不对
Plone是用python语言写的且运行在Zone的上层。Zone是一个基于python的网页应用服务器。而在CyberZeist的推特中,他是这么写的“我当然没有得到root权限(这明显嘛),但是我就是能知道他们在跑6.2版本的FreeBSD”。你们造吗,FreeBSD 6.2只支持Python2.4和2.5版本,但是Plone并不能在这种老版本上跑。
原因二——哈希值、盐值不一致
CyberZeist所泄露的数据的密码哈希值、盐值与Plone将生成的值不一致。这表明这些泄露的数据使在另一台服务器上批量生成的。值得一提的是,CyberZeist泄露的这些FBI邮箱在几年前就曾公之于众。(嘿嘿,就算FBI真的被黑了,也不是Plone的锅)
原因三——文件名称不符
CyberZeist声称他在含有.bck扩展文件的网页服务器的中发现了备份文件里的登录信息。但是,Plone数据库备份系统不会生成含有.bck扩展名的文件,而且Plone生成的备份存储在web服务器目录之外。
Wilkes说:
原因四-截图有破绽“修改这种行为方式很难,而且对于他来说没有任何好处。”
CyberZeist在推特上上传的某些截图迫使FBI.gov暴露部分源代码。然而此类攻击通常是针对PHP应用程序的,对于没使用cgi-bin扩展类型的Python网站是不可能成功。
有一张截图显示的是邮件信息,这些信息很有可能是从FBI服务器的邮箱日志里提取的。
原因五-CyberZeist有“造假”前科“这很有可能是他自己的服务器日志,他虽然把这个服务器日志名称改得和FBI一样,但是却忘记把邮件显示的时区从印度标准时间到东部标准时间”
没错,CyberZeist在这之前曾有“造假”记录。而伪造这次攻击的目的,可能是为了捞钱。FBI.gov作为一个使用Plone的知名网站,成功侵入它对于其他黑客来说具有很大的吸引力,很多黑客自然会到Tor网络上去买这个实际上不存在的0-day漏洞。要知道这个0-day的售价是8比特币,约9000美金。
在CyberZeist的“谣言”传出之前,Plone已经宣布了将在1月17日之前发布新的安全补丁,新的补丁与此次的0-day无关,旨在修复次要,低危的安全问题。
*参看来源:https://securityaffairs.co/wordpress/55042/data-breach/fbi-hacked.html、https://www.networkworld.com/article/3155104/security/plone-dismisses-claim-that-flaw-in-its-cms-was-used-to-hack-fbi.html#tk.rss_all 来自Freebuf
之前的报道: FBI 网站被入侵,数据被公开后遭黑客嘲讽
近日,FBI 遭遇黑客打脸,不仅网站被黑,网站数据被直接公布在网上,而且入侵者还通过社交网络公开表达了自己略带嘲讽的“新年问候”。
据雷锋网了解,泄露出来的数据为网站的几个备份文件,目前已经被公布在 Pastebin 网站上,其中包括FBI网站的用户名、电子邮件地址、经过SHA1算法加密后的密码以及加密用的盐值。
此次入侵者 CyberZeist 入侵的手法主要是利用了FBI 网站 所使用的 CMS 内容管理系统的一个零日漏洞,而这个名为 Plone 的系统被公认为有史以来最安全的CMS内容管理系统。
据悉,入侵者 CyberZeist 曾经是“匿名者”黑客组织 Anonymous 的一员,其本人在业界也可谓“臭名昭著”。2011年,他就曾经入侵过FBI的相关机构,除此之外,还黑过巴克莱、特易购银行以及 MI5(没错,就是 你在 特工007电影里看到的那个“军情五处”)
当雷锋网编辑尝试访问 CyberZeist 的推特时,他正在发起一个公开投票,让所有人来帮他确定下一个网络入侵的目标,里面有四个选项:政府组织、银行机构、军方、其他。
看到该页面,雷锋网编辑仿佛听到了 黑客 CyberZeist 内心的嘶吼:“还有谁!?”
然而,虽然 CyberZeist 是入侵者,但其入侵 FBI 时利用的零日漏洞并不是他自己发现的。CyberZeist 对外表示:
我并不是这个漏洞的发现者,只是拿着这个漏洞去FBI的网站试了一下,没想到居然成了!
CyberZeist 透露,该漏洞是他从匿名网络 Tor 上买来的,漏洞存在于 Plone 内容管理系统的某些 python 模块中,卖家并不敢利用该漏洞来入侵 FBI 的网站(但是他敢),目前已经停止出售。但 CyberZeist 表示自己之后会在推特上公布该漏洞。
FBI 在得知了 CyberZeist 的入侵消息后,立即指派安全专家展开修复工作,但目前 Plone 内容管理系统的 0-day 漏洞仍未被修复,对此 CyberZeist 还发布过一条具有嘲讽性质的的推特。
除此之外,CyberZeist 还对 FBI 在安全方面的疏忽表达了强烈不满,他表示,自己原本就是担心黑客利用该漏洞对FBI进行攻击,出于安全测试的目的才将在FBI网站上尝试,结果发现 FBI 的网站管理员犯下了一些低级错误,他们将大量备份文件直接暴露在同一台服务器上,最终导致 CyberZeist 成功访问到这些文件。
此后,CyberZeist 又发布了一条消息,表示国际特赦组织的网站也收到此漏洞的影响,该消息得到了对方的证实。
据雷锋网了解,只要该漏洞仍未被修复,所有使用该系统的网站都可能面临相同风险,其中包括欧盟网络信息与安全机构以及知识产权协调中心等等。
来自:雷锋网
回复 |
获得以下图文等信息 |
论坛 |
可进入微论坛畅谈 |
任意 |
官方机器人陪聊 |
首页 |
查看技术文档(逐步更新中) |
留言 |
进入留言板 |
相册 |
国内外大牛真容 |
我来说两句排行榜