На сайтах Yahoo, Microsoft и Orange обнаружена критическая уязвимость

Весьма известный ИБ-эксперт, занимающийся поиском уязвимостей, Ибрагим Хегази (Ebrahim Hegazy) обнаружил критическую уязвимость, которая затрагивает 6 сайтов в домене Yahoo, 4 сайтов в домене MSN и несколько сайтов в доменах серверов Orange.

По его словам, брешь позволяет злоумышленнику получить неавторизованный доступ типа Admin. Это, в свою очередь, предоставляет возможность осуществления инъекции удаленного кода.

Хегази говорит , что посредством эксплуатации уязвимости ему удалось получить доступ к панели администратора домена Yahoo.net. При этом для входа в нее эксперту не пришлось вводить учетные данные. Затем он создал файл формата .aspx и попытался перехватить POST-запрос во время создания новых файлов:

Создав файл «zigoo.aspx», он заметил, что такой же файл появился на ряде других доменов:

Yahoo:

http://pe.horoscopo.yahoo.net;

http://mx.horoscopo.yahoo.net;

http://ar.horoscopo.yahoo.net;

http://co.horoscopo.yahoo.net;

http://cl.horoscopo.yahoo.net;

http://espanol.horoscopo.yahoo.net;

Microsoft MSN:

http://astrocentro.latino.msn.com/;

http://astrologia.latino.msn.com/;

http://horoscopo.es.msn.com/;

http://horoscopos.prodigy.msn.com;

Orange:

http://astrocentro.mujer.orange.es.

Обратившись в Microsoft с просьбой объяснить, почему происходит подобное, Хегази не получил ответ. Сам он считает, что дело в сервисе сети передачи данных (CDN) астрологического ресурса, который кеширует одинаковый контент для его передачи на поддомены.

Несмотря на то, что Yahoo обычно не выплачивает вознаграждения за обнаружения уязвимостей в Yahoo.net, Ибрагиму Хегази все же заплатили, отметив, что он проделал хорошую работу.

В Microsoft, как и в большинстве случаев, брешь исправили, но вознаграждения ИБ-эксперт не получил. С Orange ему связаться не удалось, однако исправление, выпущенное компанией из Редмонда, затронули и ее домены серверов.