Onderzoekers hebben een voorheen ongedocumenteerde lokale bestandsopname onthuld (LFI) kwetsbaarheid in Hashnodeeen op ontwikkelaars gericht blogplatform dat kan worden misbruikt om toegang te krijgen tot gevoelige gegevens zoals SSH-sleutels, het IP-adres van de server en andere netwerkinformatie.
“De LFI vindt zijn oorsprong in een Bulk Markdown Import-functie die kunnen worden gemanipuleerd om aanvallers de ongehinderde mogelijkheid te bieden om lokale bestanden van de Hashnode-server te downloaden”, aldus Akamai-onderzoekers in een verslag doen van gedeeld met The Hacker News.
Fouten in het opnemen van lokale bestanden treden op wanneer een webtoepassing wordt misleid om niet-goedgekeurde bestanden op een server te tonen of uit te voeren, wat leidt tot directory-traversal, het vrijgeven van informatie, het uitvoeren van externe code en cross-site scripting (XSS)-aanvallen.
De fout, veroorzaakt doordat de webtoepassing het pad naar een bestand dat als invoer is doorgegeven niet adequaat opschoont, kan ernstige gevolgen hebben doordat een aanvaller naar elk pad op de server kan navigeren en toegang kan krijgen tot gevoelige informatie, inclusief de /etc/passwd-bestand die een lijst met gebruikers op de server bevat.
Gewapend met deze exploit, zeiden de onderzoekers dat ze het IP-adres en de private beveiligde shell konden identificeren (SSH) sleutel die aan de server is gekoppeld.
Hoewel de kwetsbaarheid sindsdien is aangepakt, komen de bevindingen op het moment dat Akamai zei dat het tussen 1 september 2021 en 28 februari 2022 meer dan vijf miljard LFI-aanvallen registreerde, een stijging van 141% ten opzichte van de vorige zes maanden.
“LFI-aanvallen zijn een aanvalsvector die grote schade aan een organisatie kan toebrengen, aangezien een dreigingsactor informatie over het netwerk zou kunnen verkrijgen voor toekomstige verkenning”, aldus de onderzoekers.
