To Τμήμα Φυσικής του Πανεπιστημίου της Πάτρας έπεσε θύμα επίθεσης Τούρκων hackers, που βρήκαν την ευκαιρία να ζητήσουν με τον δικό τους τρόπο την έκδοση των 8 Τούρκων στρατιωτικών που ήρθαν στην Ελλάδα αμέσως μετά το πραξικόπημα κατά της κυβέρνησης του Recep Tayyip Erdoğan.
Έτσι την Τετάρτη 1η Φεβρουαρίου, η επίσημη ιστοσελίδα του Τμήματος Φυσικής του Πανεπιστημίου Πατρών βρέθηκε παραμορφωμένη με το ανορθόγραφο μήνυμα των Τούρκων hackers οι οποίοι απαιτούσαν να τους επιστρέψουμε τους “στρατιώτες μας.”
Και ολόκληρη η σελίδα:
Να αναφέρουμε ότι αν κοιτάξετε σήμερα τη σελίδα του Πανεπιστημίου της Πάτρας έχει επανέλθει στην αρχική της μορφή και είναι σαν να μην προηγήθηκε κάποια επίθεση. Όμως σύμφωνα με καταγγελία που δεχτήκαμε από αναγνώστη μας (Nyo/GHS) η ευπάθεια που επέτρεψε στους Τούρκους να αναρτήσουν το μήνυμά τους είναι ακόμα ανοιχτή, δηλαδή δεν επιδιορθώθηκε.
Για να το αποδείξει ο ερευνητής μας απέστειλε ένα screenshot που διακρίνεται ότι έχει συνδεθεί στο site με τον λογαριασμό της Γραμματείας του Πανεπιστημίου. Οπότε όπως μπορείτε να καταλάβετε εφόσον η ευπάθεια υπάρχει ακόμα, μπορεί να την αξιοποιήσει ο οποιοσδήποτε.
Το κενό ασφαλείας μπορεί να μην δίνει πλήρη πρόσβαση στο site ή στον server καθώς οι τεχνικοί του Πανεπιστημίου έχουν προσθέσει ορισμένα φίλτρα, αλλά είναι εξίσου σοβαρό γιατί αφήνει κάποιον κακόβουλο ή μη κακόβουλο χρήστη να προσθέσει κώδικα σε μορφή html ή javascript και να επηρεάσει όλους όσους μπαίνουν στο site. Φυσικά με την javascript μπορούν να παραμορφώσουν όλη τη σελίδα (Post Reflected Deface).
Να αναφέρουμε ότι το link που οδηγεί στην ευπάθεια είναι διαθέσιμο για όλους και βρίσκεται στο footer σελίδας. Το χρησιμοποιούν μέλη αλλά και η ομάδα διαχείρισης της ιστοσελίδας. Η επίθεση που έγινε από αυτό το σημείο, ήταν μια πολύ απλή μορφή SQL injection (SQLi).
Με ένα πολύ απλό SQLi query, ο Nyo κατάφερε να προσπεράσει το login form και να μπει στο site. Από το panel διαχείρισης θα μπορούσε να πραγματοποιήσει δημοσιεύσεις, να ανεβάσει αρχεία και διάφορα άλλα όπως θα δείτε παρακάτω:
Εντωμεταξύ αξίζει να αναφέρουμε ότι το SQLi query που χρησιμοποίησε ο Nyo, ήταν πολύ απλό και ο ερευνητής τόνισε ότι θα μπορούσε να επηρεάσει τις δημοσιεύσεις του site με Persistent XSS.
Με την ίδια μέθοδο θα μπορούσε να επηρεάσει και από τον admin μέχρι και τους επισκέπτες της σελίδας, αλλάζοντας σελίδες και δημοσιεύσεις και προσθέτοντας κακόβουλα scripts.
Θα πρέπει να αναφέρουμε ότι μας κάνει εντύπωση που ακόμα και σήμερα ένα τέτοιο κενό στην ασφάλεια συνεχίζει να υπάρχει, αφήνοντας εκτεθειμένα δεδομένα της σελίδας αλλά και από διαχειριστή μέχρι τους επισκέπτες της.
Ο Nyo μας ανέφερε μάλιστα ότι το κενό δεν είναι νέο, ότι υπάρχει αρκετό καιρό και ότι η σελίδα έχει παραβιαστεί κι άλλη φορά από hackers που χρησιμοποίησαν ακριβώς το ίδιο SQLi.
Ας ελπίσουμε ότι αυτή τη φορά θα επιδιορθωθεί, πριν αρχίσει να υπερηφανεύεται και κάποιος άλλος για το πόσο αποτελεσματικός hacker είναι, σε μια σελίδα που δεν επιδιορθώνει κανείς.
Το SecNews.gr παραμένει στην διάθεση κάθε ενδιαφερόμενου διαχειριστή που επιθυμεί να επιδιορθώσει την ευπάθεια.