4日前、
8chanボードの管理者(ロシアでブロックされているボード/獣/)は、サイトへのDDoS攻撃を報告しました。 負荷の最大の増加は、post.phpを投稿するためのスクリプトによって受け取られました(ボードにはキャプチャはありませんでした)。 DDoSは、スクリプトが実行されていたPHP-FPMをクラッシュさせました。 トラフィック調査の過程で、ブロックされたサイトにアクセスするための人気のあるブラウザー拡張機能である
Holaを使用するユーザーのチャネルが、海外およびロシアで人気があり、攻撃を実行するために使用されたことが判明しました。
拡張機能のユーザーは、知らないうちに、インターネットチャネルを子会社
Luminatiに提供しました。実際には、拡張機能とユーザーチャネルにより、900万を超える一意の出力ノードを所有していました。 どうやら、彼らは非常によく稼ぐ:トラフィックの最初の100ギガバイトは、顧客がギガバイトあたり20ドルの費用がかかりました。
プロジェクトのFAQでは、ユーザーチャンネルの使用に関する言及はありませんでしたが、この点に関してHolaにいくつかのポイントがすぐに追加されました。 今、あなたがあなたのLimunatiチャンネルを譲りたくないならば、あなたは月5ドルを払わなければならないでしょう。
FAQのアーカイブバージョン現在のFAQバージョン8chan管理者がこの情報を公開した後、ある
グループがこの拡張機能に4つの脆弱性を発見しました 。
- NULLバイトまでの任意のファイルの読み取り(/file_read.json)
- 一意のユーザーID(/callback.json)の開示
- 一部の機能のアドレスの開示(/ procinfo / ps、ASLRのその後のトラバース用)
- リモートコード実行(/vlc_mv.jsonおよび/vlc_start.json)
- WindowsでのSYSTEMへの権限昇格
HolaのすべてのバージョンはJSON REST HTTPサーバーを127.0.0.1に上げますが、ヘッダー
Access-Control-Allow-Origin: *を使用すると、インターネット上の任意のページからアクセスできます。 ブラウザに拡張機能だけでなくサービスもインストールするWindowsバージョンは、SYSTEMに代わって実行されます。
VLCビルトインビデオプレーヤーの起動ラインの引数のフィルタリングの欠如に関連するリモートコード実行の脆弱性の1つは既にHolaにパッチされていますが、研究チームはWindows計算機を起動する研究者Webサイトの悪用が機能しなくなったため、それが単に隠されていることを確認しています。
拡張機能の脆弱性に特化したAdios、Hola!Webサイトでは、出口ノードであるかどうか、識別できるかどうか、および特権SYSTEMユーザーからコードを実行できるかどうかを確認できます。 このサイトには、Chrome、Firefox、Internet Explorer、Androidバージョンの複合体全体
を削除するための詳細な手順も含まれています。
現在、Hola拡張機能はFirefoxアドオンから削除されていますが、Chrome Webストアにありますが、検索されていません。 検閲バイパスリストのすべての作成者に、オプションのリストからHolaを削除するか、チャネルの使用に関する警告を書くことをお勧めします。 ちなみに、
私はリストを更新しました。
この会社は
Habréで発表さ
れましたが、アカウントを更新しませんでした。
UPD: Holaの公式回答TL; DR:私たちは革新的な企業です。 Skypeもトラフィックを使用しました。 Luminatiは、Torではなく、立派な顧客にのみ販売しています。 Apple iCloud、Snapchat、Skype、Sony、Evernote、Microsoftなど、誰もが脆弱性を抱えています。管理者8chanからの情報研究者からの技術情報Redditの最大のスレッド副のニュースTJournalのニュース