Dem Hacker roachie gelang es kürzlich mithilfe einer Update-SQL-Injection, auf das CMS von 1Load, Sharing-Devils und SDX.bz mit Admin-Rechten zuzugreifen.
Das Content Management System der drei Warez-Portale 1Load, Sharing-Devils und SDX hat am vergangenen Sonntag der Hacker roachie übernommen. Er tat dies mittels einer Update-SQL-Injection. Am Ende der Prozedur konnte sich der Unbekannte selbst Admin-Rechte geben und hätte den Inhalt der Webseiten ändern oder Zugriff auf die Datenbanken nehmen können.
roachie schickte uns die Datenbanken als Beweis
Kurz notiert: Wie uns der anonyme Hacker roachie aus dem deutschsprachigen Bereich schrieb, war ihm am vergangenen Wochenende schlichtweg „langweilig“. Infolgedessen probierte er bei den drei Warez-Portalen unter der Domain 1load.sx, sdx.bz und sharing-devils.to ein und dieselbe Schwachstelle aus. Unter Ausnutzung einer Update-SQL-Injection gelang es ihm, sich bei allen drei Zielseiten einen eigenen Account mit Admin-Rechten zu erschaffen. Auf den Webseiten sollen teilweise weitere Schwachstellen (SQL-Injections) vorhanden sein.
Uns liegt als Beweis die Datenbank der Nutzer inklusive der gehashten Passwörter und für alle drei betroffenen Seiten die Zugangsdaten mit administrativen Rechten vor. Außerdem hatte roachie ein Beispielvideo erstellt. Darin demonstrierte er, wie ihm der Hack im Detail gelungen ist. Wir verzichten allerdings bewusst auf die Veröffentlichung des Videos, um Script Kiddies nicht auf dumme Gedanken zu bringen, selbst wenn das Video für die restliche Community noch so spannend gewesen wäre.
Übrigens: Mithilfe dieses Angriffs ist lediglich der Zugriff auf das CMS möglich, nicht auf Serverebene. Die Lücken bestehen bis heute, die Inhalte oder die Datenbanken wurden nicht verändert. Die Betreiber von 1Load, Sharing-Devils und SDX.bz wurden bislang nicht vom Hacker über ihre Bugs in Kenntnis gesetzt. Sie haben von den Vorgängen offenbar bisher noch nichts mitbekommen, ansonsten hätte man dem Eindringling schon längst seinen Account entzogen.
Hier als Beweis noch zwei Screenshots, bei denen oben links zu sehen ist, dass der Nutzer jeweils mit Admin-Zugriff eingeloggt ist. Wir hoffen, dass die Betreiber der drei Seiten ihre Lücken schon bald zum Schutz ihrer User schließen werden. Sie hatten Glück, dass roachie nicht einfach alles gelöscht hat.
Bildquelle des Beitragsbildes, thx! (CC0 1.0)
Tarnkappe.info