I fredags blev det känt att sajten Patreon hackats, och att cirka 13 GB data och filer från sajten läckt ut på nätet. Informationen inkluderade bland annat e-postadresser och meddelanden, till exempel privata brev mellan användare. Men hur kunde det ske?
Det var det svenska säkerhetsföretaget Detectify som först noterade säkerhetshålet hos Patreon, och meddelade dem om det den 23 september. Patreon svarade att man jobbade på det, men det räckte tydligen inte eftersom någon fick möjligheten att köra kod lokalt på servern och därigenom kunna ladda ner mängder av data.
Säkerhetshålet ligger i att programvaran Werkzeug Debugger körs på servern. Det är en debugger som, om den är felkonfigurerad, gör det möjligt att skicka lokala kommandon via strängar i webbadressen (GET). Det öppnar för så kallad Remote Code Execution – den allvarligaste formen av säkerhetshål som öppnar för i stort sett full tillgång till servern.
Att det här upptäcktes beror på att sökmotorn Shodan, som indexerar alla former av anslutna enheter till Internet och som därför kan fungera som en ren adresslista hackare, hade indexerat den öppna användningen av Werkzeug Debugger.
”What Shodan also exposed was that the Debugger got triggered, basically presenting the visitor with a RCE-console right away on the domain’s root URL just by visiting the domain.” [Källa: Detectify]
Patreon är inte ensamma om det här. Shodan har många servrar i sin sökmotor som kör samma konfiguration, och som därför är öppna för intrång.
”Unfortunately there are thousands of publicly available instances of Werkzeug Debugger out there and each and every one of them should take proper mitigation actions as if they have already been exploited.” [Källa: Detectify]
Så om du använder Werkzeug Debugger på din server, bör du kontrollera att den är konfigurerad rätt, så att den inte tillåter att vem som helst kan köra kod på din server. Du kan läsa mer om det här på Colin Keighers blogg (länktips från Detectify).
Källa: Detectify
