Régi verziók kipróbálása

Update (2015.11.01): Az rtvstat.hu cikkek íráskori tartalma 2015. november 1-től a streamstat.hu címen érhető el, az rtvstat.hu domain új tartalommal szolgál ugyanekkortól (tehát jelenleg már biztonságos az rtvstat.hu cím!)

Továbbá bekerült a /etc/hosts fájl tartalom ellenőrzése is. Itt jelenleg az xcp.unrealhosting.hu címet figyeli, amely átvette a korábbi cím szerepét a frissítések ellenőrzésére.

Eredeti bejegyzés:

FIGYELEM! Ez a cikk csak azzal a szándékkal készült, hogy fejlesztők, valamint szakértők kipróbálhassák az MSCP Lite korábbi verzióinak beismert biztonsági réseit. Senki ne telepítse azt szervergépére, vagy otthoni számítógépére. Csak saját felelősségre!

A bejegyzés biztonsági okokból ezidáig vissza volt tartva, hogy mindenkinek legyen kellő ideje frissíteni/eltávolítani a kártékony verziókat.

A verziók letölthetőek a következő cikkek archívumaiból:

http://mscplite.blogspot.hu/2013/03/mscp-lite-napjainkban.html

http://mscplite.blogspot.hu/2013/03/mscp-lite-korai-verzioi.html

A szükséges lépések:

1. Telepíts egy teszt környezetet (Például VirtualBox/VMWare alá Debian 6.0)

2. Töltsd le valamelyik verziót, és juttasd fel a teszt környezetre

3. A /etc/hosts fájlba vidd fel a következő sort: 127.0.0.1 rtvstat.hu www.rtvstat.hu

4. Csomagold ki a tar.gz fájlt

5. Indítsd el a telepítő scriptet: install_upgrade_debian_hun / install_upgrade_debian_eng

6. Kövesd a választott verzióhoz tartozó leírást a backdoor kipróbálásához.

Mivel a "hibát" a fejlesztő maga is elismerte, bár más magyarázattal próbálta leplezni, és azonnali frissítést kényszerít ki a meglévő felhasználók szervereire, amely állítása szerint már nem tartalmaz semmit, így őket nem veszélyeztetik a blogon közzétett információk.

Azonban azt is figyelembe kell venni, hogy ez a hiba akkor lenne sima hibának nevezhető, ha azt nem tudatosan helyezték volna el a programban. Mivel a program frissítéseket keres minden egyes adminisztrációs felület megnyitáskor, és abban az aktuális verziót is közli, a fejlesztő könnyű szerrel megtudja, hogy hova lett telepítve a programja, és milyen verzióval. Ezen információk birtokában ő úgymond egy botnet hálózatot hozott létre, ami súlyos bűncselekménynek minősül.

Biztonsági okokból a teszt környezet internet felől ne legyen kívülről elérhető, de eddig tudomásunk szerint a frissítés keresésen kívül nem kommunikál mást a távoli szerverrel, és azt is csak a hosts fájlba már előzőleg felvitt címekkel próbál, így azokat nem fogja elérni.

--

Többen is jelezték, hogy hasonló problémájuk, illetve támadások érték a számítógépüket, szervergépüket. 

Online is olvasható pár panasz, a következő helyeken:

http://hup.hu/node/119601#comment-1585026

http://www.gyakorikerdesek.hu/szamitastechnika__weblapkeszites__2368730-mscp-lite-telepitese-windowsra

Illetve hozzánk is érkezett, hozzászólás formájában: 

http://mscplite.blogspot.hu/2013/03/megkezdodott-tuzoltas.html?showComment=1367397434110#c5512659279194304487

Aki úgy érzi, hogy őt is megkárosították, írjon az mcp[kukac]mpp[pont]hu email címre!

Megkezdődött a tűzoltás

Számítani lehetett rá, hogy amint nyilvánosságra kerül az igazság, úgy egyből megpróbál a fejlesztő majd mentegetőzni. Ezt el is kezdte, a blogról érkező hivatkozásokra, valamint a korábbi na.html-t is lecserélte egy magyarázkodó szövegre, ahol azt taglalja, hogy milyen jó, hogy kiderült a hiba, de valójában ezt jelezni kellett volna felé, mert így ez jogsértő tevékenység.

Az eredeti szöveg:

A blog oldalon lévő kiváló - szinte tökéletes - részletességgel leírt hibákat
és backdoorra utaló megoldásokról szóló információkat mi egyetlen egy esetben
sem kaptuk meg. Ezzel a hibák 'becsületes' megtalálója elvesztette becsületét
és visszaélt a helyzettel, ami nagyon komoly jogi következménnyel jár.

Tekintettel arra, hogy a program nagyon sokáig a 0-s verziónál tartott, valamint
a fejlesztés mögött nem egy több 100 főből álló csapat áll, már önmagában jelzi,
hogy éles használatra egyáltalán nem javasolt. Ha valaki mégis megteszi, akkor
a felelősséget saját magára vállalja.
És most el lehet gondolkodni, hogy az utóbbi időkben hány olyan hír látott
napvilágot, ami routerek és egyéb más hálózati eszközök kritikus biztonsági
problémáira derült fény, és a több 100 főből álló mérnöki csapat olyan szinten
nem foglalkozott az üggyel, hogy egyenesen lesz*rták. És mindezért a vásárló
még fizetett is. Ettől függetlenül nekünk nem érdekünk, hogy más rendszereket
tegyünk tönkre, hisz ezzel saját magunkat járatnánk le. Az viszont érdekünk,
hogy a MSCP Lite hibáktól mentesen működjön, de ehhez szükségünk van a
visszajelzésekre, legyen az bármilyen probléma vagy észrevétel.

A következő intézkedéseket tettük eddig:
- Azonnali gyorsjavítást adtuk ki a publikálás után 1 nappal.
- A régebbi verziók használhatalanok lettek a kötelező frissítés miatt,
  ezért más helyről letölteni a programot már nincs értelme (és szigorúan tilos is!).
- további intézkedések pedig folyamatban

Amennyiben bármilyen hibát vélsz felfedezni ezekre az e-mail címekre írj:
hosting@unrealgames.hu, unreal@syserr.hu
A hibát minél részletesebben írd le, és ha tudsz képernyőképet, esetleg videót
is küldj.

Tovább az MSCP Lite oldalára >>>

Na kérem szépen. Komoly jogi következménnyel jár? Menjünk sorba a történteken:

- A blog privát formában megírásra került, SEHOVA nem lett publikálva, csak is biztonsági szakértők kezébe lett kiadva, akik ugyan úgy ellenőrizték a még akkor elérhető "hibás" verziót.

- A "hibás" verzió egyik napon hirtelen eltűnt, és egy a tartalom hiányára felhívó felület jelent meg a letölteni szándékozók számára.

- EZT követően került a blog publikálásra, hogy bárki elolvashassa, tehát letölteni már nem lehetett akkor.

A kérdés csupán az: Ha ez a blog hívta fel a fejlesztő figyelmét a "hibára" akkor mégis miért törölte már azelőtt a tartalmat? Miért akart a bloghoz hozzáférni, amihez direkt kiadott hozzáférése nem volt? Nagyon sántít ez a dolog, de ez még hagyján.

Nézzük a hiba szó fogalmát:

"Tökéletlen helyzet vagy hiányos állapot, ami egy korábban okozott hatás, elvégzett művelet, elkövetett vagy elmulasztott tett, bekövetkezett esemény eredménye."

Tehát, végül is lehet hibának nevezni, amennyiben a tisztelt fejlesztő úgy érti, hogy szándékosan hibázott. Más esetben ez véletlen/figyelmetlenség eredményeképp lehetett volna.

Sajnos az előbbi az igaz, mivel véletlenül vagy figyelmetlenségből ilyen program kódot nem lehet elhelyezni egy szoftverben. Ami külön kiemelendő, hogy két fajta "hiba" is volt. Az első "hiba" olyan jellegű volt, ami szimplán egy szöveges fájlban elhelyezett, és DIREKT elhelyezett kód részlet volt. Azután egyszer csak eltűnt a programból ez a túl nyilvánvaló "hiba", és érdekes módon a korábban még TISZTA webszerver forráskódjába került bele egy olyan "hiba", amelynek hatására egy előre meghatározott felhasználónév és jelszó ellenőrzését követően hozzáférést biztosított a rendszerhez ezen "hiba".

A hab a tortán, hogy egy olyan "hibás" paraméter is bekerült, amely csak a "hibás" felhasználó esetén lép életbe, és tetszőleges program futtatását teszi lehetővé. Két különböző módszerrel lett tehát ugyan az a dolog "elhibázva".

Ez eddig rendben is van, megfejtettük a hiba háttérjelentését. A másik dolog pedig az, amit olyan sok felhasználója megtapasztalt a programnak. Kimenő támadások az MSCP-t futtató számítógépekről, váratlanul eltűnő adatok. Az is érdekes, hogy pont egy rádió szervereket kezelő panelból, pont egy rádió szerverekben érdekelt fejlesztőtől, pont rádió szerverekkel foglalkozó személyeket támadott meg, vagy csak szimplán a programot használó felhasználókat károsította meg.

Csupa véletlenek forognak a program körül. Ugye az sem véletlen, hogy ezt oly sokan meg tudják erősíteni, nem igaz D.?

A szomorú tények után azért mégis vannak szórakoztató jelenségek. Például a tisztelt fejlesztő ismerősi köréből egy magát meg nem nevező illető megtanulta használni a Google-t, sőt sajátos stílusával még egy Dr. Hannibal Lecter filmben is szerepelhetne. Ezeket mind komment formájában közvetíti a blog felé, amin jókat derülünk.

Ui.: A személyiségi jogokat sérelmezni vélő D. kedvéért a publikusan fellelhető Facebook profil linkjét, valamint a vállalkozására mutató linket eltávolítottuk. Csak is a programra mutató tartalmak maradtak fent.

Update:

Érdekes ellentmondás fedezhető fel a nem régiben megírt "blog ellenes" mentegetőző szövegben, és a már régebb óta létező MSCP bemutató oldalán.

"Tekintettel arra, hogy a program nagyon sokáig a 0-s verziónál tartott, valamint a fejlesztés mögött nem egy több 100 főből álló csapat áll, már önmagában jelzi, hogy éles használatra egyáltalán nem javasolt. Ha valaki mégis megteszi, akkor a felelősséget saját magára vállalja."
URL: http://unrealhosting.hu/mscp/most.html (Utoljára módosítva: 2013. március 27. 19:13:50)

"Te is szolgáltató vagy és szeretnél kipróbálni egy betonstabil és átlátható rendszert? Kattints IDE!
Az MSCP Lite verziót te is ingyenesen kipróbálhatod, sőt éles környezetben is használhatod."
URL: http://rtvstat.hu/mscp/ (Utoljára módosítva: 2012. január 29. 11:23:14)

Az URL-t másold ki, és úgy nyisd meg (esetleg Google-n keress rá, vagy nézz tárolt változatot), mivel próbálnak játszani a linkelés ellen. De hogy miért? Ki érti ezt...

Eltávolításra került a hivatalos MSCP Lite!

A Media Server Control Panel eltávolításra került (2013. március 24., 21:32 körül), átmenetileg nem érhető el! Vajon miért? Az okokat igyekszünk kideríteni.

Korábban felvettük a kapcsolatot biztonságtechnikai cégekkel, valamint egy nagy nevű magyar hírportállal is! További információk hamarosan!

A blogger fiók adatait 22:01-kor próbálták lekérdezni, a lekérdező adatait a Google-től bekértük, és válaszra várunk!

Az eltávolítással kapcsolatos információk:

A következő cím 404-es hibát ad vissza:
http://www.rtvstat.hu/mscplite-current.tar.gz

Ezen az oldalon a letöltési linkre egy na.html-t láthatunk:
http://www.unrealhosting.hu/mscp/
A frissítési URL-en még található információ, ám a fent is írt link már nem elérhető:
http://www.rtvstat.hu/mscpliteupdinfo

Az elérhető információkat ezentúl publikusan is közzétesszük, mivel a veszélyforrást jelentő szoftver jelenleg nem érhető el. Valamint a fiók elérésének megkísérlése is azt jelenti, hogy volt miért eltávolítani a tartalmat.

Update:
A Google, és még sok más helyen is tárolódik a korábbi tartalom:

Internet Archive:
http://web.archive.org/web/*/http://unrealhosting.hu/mscp/

Google:
http://webcache.googleusercontent.com/search?q=cache:WXFnGjp2wLgJ:www.rtvstat.hu/mscp/vs.html+mscplite&cd=1&hl=hu&ct=clnk&gl=hu

A letöltés továbbra is elérhető a pár helyen, ahova még korábban feltöltötte a szoftvert (valamint az általunk archiváltak is):
http://sourceforge.net/projects/mscplite/
http://freecode.com/projects/media-server-control-panel
http://en.sourceforge.jp/projects/sfnet_mscplite/
http://webcache.googleusercontent.com/search?q=cache:8OBiII_J2T8J:ftp.jaist.ac.jp/pub/sourceforge/m/ms/mscplite/+http://ftp.jaist.ac.jp/pub/sourceforge/m/ms/mscplite/&cd=1&hl=hu&ct=clnk&gl=hu
http://unrealhosting-hu.ab-archive.net/software/media-server-control-panel.html

Aki használja a szoftvert, felhívjuk a figyelmét, hogy minél előbb szüntesse meg a szervergépén az internet kapcsolatot, és készítsen TELJES biztonsági mentést a merevlemezéről (például a DD parancs segítségével), és csak ezután fogjon neki az eltávolításhoz.

Update 2:

Komment formájában álnéven próbál "kapcsolatot teremteni" a fejlesztő egyik kedves ismerőse. Nehezményezi, hogy névvel került ki az internetre a fejlesztő, azt követően, hogy több évig ilyen szoftvert fejlesztett. Sima hibának találja amit jelezni kellett volna felé. A nevet levettük természetesen, csak olyan információt hagytunk kint, ami magában a szoftverben is hordozódik.

Úgy gondoljuk, visszajelzést kapott eleget a felhasználóktól is.

Update 3:

További kellemes hangvételű hozzászólások érkeztek, valamint visszakerült az MSCP Lite, immár "javított" verziója. Épp ideje volt "javítani" a "hibát". Az új verzió letölthető innen:

Jelenleg: 1.0.5

Changelog:

MSCP Lite 1.0.5
---------------
- Fixed security issue in http server
- Improve stability

Hivatalos URL: http://www.rtvstat.hu/mscplite-current.tar.gz
Archivált verzió: mscplite-current.tar.gz
MD5: 800b14dbc2339239eb3ecb24baad1bd5

MSCP Lite a napjainkban

Bevezetés

Az előző bejegyzésből kiderült, hogy hol rejtőznek a backdoor-ok a programban, azonban a 0.18.0-ás változatot követően egy változás következett be. Az előzőekben minden egyes alkalommal létrehozott system felhasználót már nem hozza létre a telepítő, és a main.cgi sem akkor futtat parancsot, ha a felhasználó system.

Egy komplexebb megoldás került megvalósításra, ami felderíthetőség szempontjából nehezebb, de nem lehetetlen. A beégetett felhasználónév és jelszó innentől magába a webszerverbe lett lefordítva, ráadásul még még tömörítve is lett, és a kitömöríthetőség is meg lett akadályozva, látszólag. Szerencsére azonban mégis ötletelések sorozata után sikerült visszafejteni az egészet, majd a végén a gépi kódból kinyerni a beégetett adatokat.

Az alábbiakban erről fogunk részletesen írni! Most a 0.18.2, 0.19.8 és 1.00.3-s verziókat teszteltük.

MSCP Lite korai verziói

Bevezetés

Betekintünk a korai Media Center Control Panel verziókba, azok felépítésébe, és a backdoorok helyére. Leírjuk azt is, hogyan fedeztük fel ezeket a sebezhetőségeket, amelyek szándékosan lettek elhelyezve a szoftverben, valamint letöltési linket is biztosítunk a különböző verziókhoz, amik kipróbálhatóak bármilyen virtuális gépen (éles környezetbe NEM ajánlott!)

Alapvetően kétféle backdoor megoldást tapasztaltunk a verzióknál, így két bejegyzésként választjuk ezeket külön, az első - tehát a korai - verziókban megjelenőről itt beszélünk, és egy későbbi bejegyzés keretében taglaljuk a legfrissebb kiadásban is megtalálható hátsóajtókat.

Itt a 0.13.5 - 0.18.0 verzióig ismertetjük a verziók közti különbséget, valamint az alapvető működés elvét.

A csomag a következő elemekből áll:

• Telepítő script
• Pár deb fájl, amely a LAME több verzióját jelenti
• Perl-ben írt frontend és backend felületek
• Különböző Perl és Bash scriptek
• Ices-cc, és Sc_Trans2 AutoDJ szoftverek
• StereoTool + pár sts preset fájl, és egyéni StreamTranscoder script ami ezt felhasználja
• Mini_HTTPd webszerver
• BFTPd FTP szerver

A tesztkörnyezet egy VirtualBox-ban feltelepített alap Debian Squeeze 6.0 64 bites változat.

Mi az az MSCP Lite (Media Server Control Panel)?

A látszat

Az MSCP Lite egy ingyenesen elérhető média szerver kezelő program csomag, amely könnyű kezelést ígér. Tartalmaz saját web szervert, FTP szervert valamint minden szükséges alkalmazást telepít Debian (és egyéb ráépülő disztribúciókra), valamint egy Perl-ben írt webes felületet is tartalmaz.

A letöltési oldalon a következőket olvashatjuk a szoftverről:

"Az MSCP (Media Server Control Panel) egy teljes funkcionalitású Icecast2 menedzsment felület. A felület adminisztátora felhasználókat tud felvenni és a későbbiekben szerkeszteni (hozzáférés érvényessége, max hallgatói slot, autodj endedélyezése / tiltása, stb...) A felhasználók az Icecast2 és az AutoDJ minden fontosabb paraméterét a webes felületen tudják állítani. Az AutoDJ-k által támogatott lejátszási formátumok: MP3, OGG/Vorbis, FLAC

Az AutoDJ-k által támogatott adás formátumok: MP3, OGG/Vorbis, AAC+

Az MSCP nem igényel mysql szervert és egy teljesen független webszerveren fut, valamint az Icecast2 szervert 100% Shoutcast kompatibilisre konfigurálja.

Támogatott platformok:

Minden Debian alapú Linux (Debian GNU Linux Squeeze 6.0 és újabbak)"

Túl "szép", hogy igaz legyen

A valóság

A fentiekből az látszik, hogy egy nagyon hasznos alkalmazáshoz juthat a felhasználó teljesen ingyen, amelyhez folyamatos frissítések érkeznek. Sajnos ez nincs így azonban. A fejlesztő személy az alkalmazást úgy készítette el, hogy abban egy backdoor (bedrótozott felhasználó és jelszó) található, valamint a webes felületben paraméteren keresztül tetszőleges parancs futtatható, amelyen keresztül saját parancsokat futtathat az MSCP Lite-ot futtató számítógépeken.

Az egészre akkor derült fény, amikor furcsa jelenségek kezdtek történni a felhasználók körében. Például minden ok nélkül törlődött a szerver tartalma, vagy más esetben az MSCP Lite-ot futtató szerverek távoli számítógépeket támadtak meg.

A rendszert a következő bejegyzésben fogjuk részletesen boncolni, amely alapos visszafejtési munkák eredménye.

A blog

Ez a blog azért jött létre, hogy leleplezze az MSCP Lite nevű program csomag fekete oldalát. A programot az UnrealHosting/RTVStat fejlesztette, és terjeszti.

A bejegyzésekben leírjuk, hogy mi is ez a program, mit tud, és milyen rejtett képességgel ruházta fel még a készítője. Mindent részletesen leírunk, így bárki megtekintheti a saját szemével (ha pedig használja a programot, akkor ki is tudja próbálni azon - és ez esetben javasoljuk a minél előbbi eltávolítását).

Update: Az RTVStat ebben az értelemben a jelenlegi StreamStat.hu.