Dringend | whmcs zero day

[Problemfall]

Ich poste dies hier, da seit wenigen Stunden ein Exploit im Netz ist.

Betroffen:
- ALLE WHMCS Installationen

Art des Exploits:
- CSRF ZERO DAY

Risiko:
- SEHR HOCH

Beschreibung:
Vor wenigen Stunden bzw. an anderen Stellen Minuten wurde ein Exploit im Internet veröffentlicht mit Datum 30.5.2012, mit diesem Exploit kann ein Admin User erstellt werden durch eine Sicherheitslücke in der Datei /admin/configadmins.php via Extern. Der Code wird hier bewusst nicht veröffentlicht. Diese Lücke wird meines erachtens nicht durch den gestern veröffentlichten XSS Security Patch geschlossen, zumal XSS und CSRF zwei verschiedene Angriffsarten sind. CSRF wurde bisher nicht erwähnt.

Hersteller informiert:
JA

Sofortmassnahme:
Admin Verzeichnis zusätzlich mit einem Passwort schützen und unbedingt umbennen! Beides ist erforderlich! Datenbank überprüfen!

[chichy]

http://www.webhostlist.de/forum/webh...tml#post751653 (ACHTUNG ADMINS! WHMCS.COM wurde komplett kompromittiert!)

[Problemfall]

Aktuell wird die Lücke als nicht ausnutzbar gewertet durch den Hersteller, zumal dem Angreifer der Token bekannt sein müsste, was wiederum eine weitere Lücke benötigen würde welche aber nicht veröffentlicht wurde.

Der Hersteller untersucht den Vorfall, die Sofortmassnahme sollte trotzdem ernst genommen werden und wird auch vom Hersteller empfohlen.

Alle die den Patch von gestern noch nicht installiert haben, bitte hier runterladen und installieren:
http://go.whmcs.com/26/secpatch

@chichy
Hier geht es um die Software WHMCS, die tausende Webhosting Unternehmen einsetzen und nicht um die Webseite whmcs.com die durch ein "social engineering" geknackt wurde.

[chichy]

Wenn du keine Zusammenhänge siehst, dann denk noch mal gut darüber nach.

Das Social Hacking fand nicht ohne Grund statt.

[Mr. Brain]

Alle die den Patch von gestern noch nicht installiert haben, bitte hier runterladen und installieren: http://go.whmcs.com/26/secpatch

Die Lücke war seit Februar WHMCS bekannt * , aber es wurde scheinbar bis gestern kein Patch dagegen zur Verfügung gestellt. Ich frage mich, wieso erst jetzt!?!

* http://krebsonsecurity.com/2012/05/w...f-the-trouble/

[Problemfall]

Wenn du keine Zusammenhänge siehst, dann denk noch mal gut darüber nach.

Das Social Hacking fand nicht ohne Grund statt.

Begründet wurde das mit den gespeicherten Kreditkartendaten... ja, ich kenne die Begründung (habe das 1:1 auf Pastebin gelesen). Die die das gemacht haben, wurden übrigens verhaftet, der letzte gestern (3 Stück sitzen derzeit im Knast...).

@Brain
Diese Lücke hat damit gar nichts zu tun und das was Krebs schreibt, hat er selbst letzte Woche das erste Mal publik gemacht. Die Lücke war dem Hersteller nach dessen Angaben nicht bekannt.

[Mr. Brain]

Diese Lücke hat damit gar nichts zu tun und das was Krebs schreibt, hat er selbst letzte Woche das erste Mal publik gemacht. Die Lücke war dem Hersteller nach dessen Angaben nicht bekannt.

Du solltest den Text mal genau lesen. Es gibt a gar keine Bestätigung seitens WHMCS welche SQL-Lücke geschlossen wurde. Des weiteren wurde die erwähnte SQL-Lücke im WHMCS-Forum im Februar gepostet. Somit sollte es WHMCS sehr wohl bekannt sein.

[Problemfall]

Du solltest den Text mal genau lesen. Es gibt a gar keine Bestätigung seitens WHMCS welche SQL-Lücke geschlossen wurde. Des weiteren wurde die erwähnte SQL-Lücke im WHMCS-Forum im Februar gepostet. Somit sollte es WHMCS sehr wohl bekannt sein.

Stimmt... ist irgendwie ein grosses Durcheinander. Ich hoffe jetzt mal das kein Remote File Upload Exploit rauskommt.. solange es nur die Adminarea betrifft ist das noch halbwegs verschmerzbar kann man ja abtrennen via htaccess rule. Hoffentlich beruhigt sich das in den nächsten 2 Wochen, sonst überlege ich mir ernsthaft auf eine Alternative umzusteigen wie Hostbill oder Billexec... was gar nicht toll ist wenn man ein paar tausend Verträge drin hat...