Plone Discisses声明其CMS中的缺陷用于破解FBI
Plone背后的安全团队是一个为许多企业网站提供支持许多企业网站的内容管理系统,已经驳回了黑客可以访问有关未分割的关键漏洞的信息。
解雇之后发出了在线别名互联网主义者发布了一份登录凭据列表和哈希密码的列表,以便通过使用Plone零天漏洞来通过黑客入侵FBI.Gov网站获得。
Cyberzeist声称以匿名黑客运动的名义行事,在Pastebin周一的一篇文章中说,他没有找到自己的脆弱性,但他被要求由那个人的人测试。
据说FBI网站被选为一个目标,因为它是公开知名的,即它在Plone上运行。然而,黑客表示,其他网站,包括欧洲联盟网络和信息安全(ENISA)和美国国家知识产权协调中心(NIPRCC)的网站也脆弱。
“我显然无法发布自己的0day攻击载体,因为它正在积极销售[Tor Network for Bitcoins,”黑客在他的Pastebin帖子中说。
然而,Plone维护者在项目网站上的博客帖子中表示,“宽松安全团队已经了解最近索赔的Plone Security团队”检查了它,并确定它是一个恶作剧。宽大的缺陷没有零点缺陷,也没有基于Plone的分布。“
Matthew Wilkes是一个庞大的安全团队成员,在电子邮件中解释了为什么团队相信漏洞报告和FBI.gov Hack是骗局的一部分。据他介绍,黑客发布的技术细节与开源CMS工作方式之间存在许多不一致。
plone主要是在Python中编写的,并在区域顶部,基于Python的Web应用程序服务器运行。Cyberzeist声称FBI Web服务器正在运行FreeBSD 6.2-Release,这是一个较旧的FreeBSD操作系统的旧版本,这些系统返回2007。
Wilkes表示,FreeBSD 6.2仅支持Python 2.4和2.5,并且Plone不会在这种旧版本的Python上运行。
泄露的FBI账户名称的密码哈希和盐不与Plone会生成的值一致,表明它们根据Wilkes的说法在另一台服务器上批量生成。此外,泄露的FBI电子邮件地址多年来从各种来源收获的匹配地址并公开可用。
黑客还声称已从具有.bck文件扩展名的Web服务器上找到的备份文件中收集了登录。Plone数据库备份系统不会使用该扩展名和备份生成生成的备份存储在Web服务器目录之外。
威尔克斯说:“难以改变这种行为,没有好处,”威尔克斯说。
此外,黑客在Twitter上发布的某些屏幕镜头表明攻击强迫FBI网站揭露其源代码的部分。虽然这种类型的攻击是针对PHP应用程序的常见,但它无法对Python网站无法使用CGI-BIN执行模型。
Hacker发布的另一个屏幕截图显示了从FBI Server的邮件日志中提取的电子邮件中的信息。
“这似乎是他自己的服务器的日志,虽然他已经修改了日志中的服务器的名称,但他忽略了一个FBI One,因为更改了从印度标准时间到东部标准时间的电子邮件中报告的时区威尔克斯说。
最重要的是,Cyberzeist已被怀疑以前欺骗伪造黑客和数据泄漏。
假装FBI.Gov的妥协的目标,这是一个已知使用Plone的高调网站,可能是尝试和欺骗其他黑客支付不存在的漏洞。根据Wilkes,所谓的Plone零天爆炸在Tor Network上出售8比特币 - 约9,000美元。
“没有理由认为他的索赔是真实的,我们会警告所有网站管理员都警惕社交媒体用户声称有销售错误,”他说。
在此漏洞的谣言出现之前,Plone已经宣布了即将到来的安全补丁计划于1月17日发布。Wilkes表示,该修复与所谓的零日漏洞利用无关,旨在修复不允许远程执行代码执行或文件包含的“次要,低严重性”安全问题。
“没有证据表明,有针对性攻击或妥协对抗FBI.GOV,”FBI在一封电子邮件发表声明中表示。
