Od 2019 roku Rosjanie wykorzystując przestarzałość kodu, na wszystkie lokalne strony SANEPIDu wrzucają reklamy na potencję, nietrzymanie moczu itp. Czy specjaliści od szukania dziury w całym będą w stanie załatać to zanim przestępcy zaczną używać je na szerszą skalę? Zobaczmy. Prośba o WYKOPEFEKT!
Z ciekawości przeszukać chciałem z pomocą Google lokalny, świdnicki sanepid ( https://psseswidnica.pis.gov.pl ) pod kątem jakichś ukrytych informacji o szczepieniach na koronę na rejonie.
Zauważyłem z miejsca, że chyba nastąpiło włamanie, bo znajduje się tam reklama jakichś rosyjskich sposobów na "zajście w ciążę, gdy magia zawodzi" - Link do podstrony
Screenshot dla potomnych:
Nie dało mi to spokoju, że jak to tak, więc postanowiłem sprawdzić wszystkie SANEPidy w Polsce, ustawiając sam język rosyjski i uogólniając wyszukanie do domeny pis.gov.pl (swoją drogą wspaniała koincydencja xD). Link do wyszukania -> //www.google.com/search?q=site%3Ahttps%3A%2F%2Fpis.gov.pl&lr=lang_ru&tbs=lr%3Alang_1ru&start=10
Patrzę ja, a tutaj:
Środki do leczenia osteochondrozy, Tornado na potencję, Preparaty na zapalenie pęcherza moczowego i takie różne specyfiki o tej samej tematyce co reklamy na TVP. A to wszystko umieszczone na wszystkich stronach SANEPidów w całej Polsce. Sprawdzałem po kolei różne i nie znalazłem takiej, która nie posiadałaby wrzuconych tych reklam na tym samym schemacie.
Niektóre SANEPidy wspięły się jedynie na wyżyny i założyły nowe strony. Wiele z miast wojewódzkich przeniesiona została na rządowe gov.pl. I chwała im za to, ale dalej mamy wszystkie powiatowe miasta z reklamami środków na impotencję na oficjalnej domenie rządowej, która rzekomo „Utrudnia oszustom podszywanie się pod instytucje władzy, gdyż fałszywe strony nie zawierają w swym adresie tejże domeny.”
Większość po kilkunastu sekundach przekierowuje dalej na już profesjonalnie przygotowane strony do wciskania kitu, ale już w wersji po Polsku (ale jest w wielu wersjach językowych, wystarczy w adresie zmieniać /?v=16 na inne cyfry), prawdopodobnie jakieś wyjebki.
Zaciekawiło mnie, kiedy to wszystko się zaczęło. Google wypluło mi najstarszy wynik z marca 2019 (który dalej działa oczywiście):
Teraz z kolei zainteresowało mnie dlaczego się tak stało. Nie znam się na podatnościach stron, bardziej sprawa dla Z3S albo Niebezpiecznika, ale z pewnością główną przyczyną włamań jest brak aktualizacji. Sprawdziłem kilka stron i wszędzie stopka była z datą 2008 (na niektórych po prostu ukryta), czyli chyba wtedy, kiedy uznano, że kod strony jest już idealny i nie wymaga poprawek.
Zajrzałem jeszcze w kod strony głównej losowego sanepidu, widać, że jakiś autorski "CMS" do tego napisano. Aż tu nagle zacząłem mieć flashbacki z dzieciństwa. Kurcze, skądś znam taką strukturę strony, te klasy i przestarzała nieresponsywna struktura, hmm...
Jadę więc w dół i nagle wszystko jasne. Po zobaczeniu tego kodu już wiedziałem skąd te nagłe haluny. Design strony został stworzony w Microsoft Word, co było modne w latach 2004-2008, sam robiłem takie dla mojego klanu w CS'a. Niektóre Sanepidy ukryły ten fakt, niektóre nie. W każdym razie śmiech.
Domyślam się, że zarówno php strony, jak i zabezpieczenia serwera + bazy danych są na podobnym poziomie, więc nie dziwota, że ktoś znalazł podatność i na tym jedzie. Szkoda tylko, że przez tyle lat nikt nie zauważył tego faktu. Wrzucone tam strony to de facto samo SEO bardziej niż jakieś strony pułapki, więc można powiedzieć, że zagrożenie małe.
No, ale teraz, gdy w dobie pandemii o aktywnej działalności Sanepidu wie cała Polska, czy istnieje możliwość wykorzystania tej samej podatności do robienia masowej rzeźni na Polakach? Ciągle słyszy się o wyjebkach z użyciem bramek, jakichś "dopłatach do kuriera" i tysiącu innych kreatywnych pomysłach złodziei. Mogą oni to wykorzystać tak naprawdę na 1000x różnych sposobów, używając domen lokalnych Sanepidów do legitymizacji jakichś chociażby zapisów na szczepionki z pierwszeństwem, ale za drobną opłatą. Albo np. w podobnym schemacie jak tu:
Uwaga na dużą kampanię malware pod hasłem Allegro Kredyty - Z3S
Albo tu:
Uwaga na okazyjne zakupy prowadzące do wyczyszczenia konta - Z3S
Publikuję licząc na wykop efekt, aby załatali tę dziurę najwięksi spece od szukania obecnie haków na obywateli, gdy na szyi mają pętelkę ( ͡° ͜ʖ ͡°)
PS. To nie jedyna instytucja, która posiada tę podatność na wrzucanie plików XML, podobnie jest chociażby, z tych ciekawszych, z Sądem Rejonowym w Warszawie Praga-Południe - //www.warszawa-pragapoludnie.sr.gov.pl/userfiles/file/ant/sitemap-ant-l1vxv.xml
czy Okręgową Radą Adwokacką w Kielcach:
//www.ora.kielce.pl/userfiles/file/Ultradji/sitemap-Ultradji-123iz.xml
tygodnia
Komentarze (214)
najlepsze
@rencznik: jak do tego doszlo?
powiem więcej pewnie niejedna strona pamięta lata 90., np. w moim liceum jakiś świeżak-nauczyciel postawił (zanim go nie zepsuli) stronę to chyba do 2018 wisiała - problem w tym że pisana w czasach jak typowa rozdzielczosć monitora to było max 1200x800 więc wiecie jak to wyglądało na nowszym sprzęcie
ale spoookojnie jeden z narodowych czempionow - suski sie tym zajmie ( ͡° ͜ʖ ͡°)
@ethc: No już się przecież przygotowują - Orlen kupił Polska press od przyszłego roku strony rządowe będą wydawane w wersji papierowej, do kupienia w najbliższym kiosku ruchu.
Prezes nie umie w internety a hakiery hakujo - najlepiej to wyłączyć w cholerę.
( ͡° ͜ʖ ͡°)
2021: o boże, o ku*wa ( ͡° ʖ̯ ͡°)
wsse.wroclaw@pis.gov.pl, psse.boleslawiec@pis.gov.pl, psseboleslawiec@box.pop.pl, psse.dzierzoniow@pis.gov.pl, psse.glogow@pis.gov.pl, psse.gora@pis.gov.pl, psse.jawor@pis.gov.pl, psse.jeleniagora@pis.gov.pl, psse@psse.jelenia-gora.pl, pssekg@data.pl, psse.klodzko@pis.gov.pl, psse.legnica@pis.gov.pl, psse.luban@pis.gov.pl, psse.lubin@pis.gov.pl, psselwowekslaski@wp.pl, psse.lwowekslaski@pis.gov.pl, pssemilicz@pro.onet.pl, psse.olesnica@pis.gov.pl, psse.olawa@pis.gov.pl, psse.polkowice@pis.gov.pl, psse.strzelin@pis.gov.pl, psse.srodaslaska@pis.gov.pl, psse.swidnica@pis.gov.pl, psse.trzebnica@pis.gov.pl, psse.walbrzych@pis.gov.pl, psse.wolow@pis.gov.pl, psse.wroclaw@pis.gov.pl, psse.zabkowiceslaskie@pis.gov.pl, psse.zgorzelec@pis.gov.pl, pssez@home.pl, psse.zlotoryja@pis.gov.pl, wsse.bydgoszcz@pis.gov.pl, org@pwisbydgoszcz.pl, psse.aleksandrowkujawski@pis.gov.pl, psse.brodnica@pis.gov.pl, psse.bydgoszcz@pis.gov.pl, psse.chelmno@pis.gov.pl, psse.golubdobrzyn@pis.gov.pl, ppis@grudziadz.com, psse.inowroclaw@pis.gov.pl, psse.lipno@pis.gov.pl, psse.mogilno@pis.gov.pl, psse.naklo@pis.gov.pl, psse.radziejow@pis.gov.pl, sekretariat@psserypin.pl, psse.rypin@pis.gov.pl, psse.sepolnokrajenskie@pis.gov.pl, sekretariat@psse-swiecie.pl, psse.torun@pis.gov.pl, psse.tuchola@pis.gov.pl, psse.wabrzezno@pis.gov.pl, psse.wloclawek@pis.gov.pl, psse.znin@pis.gov.pl, wsse.lublin@pis.gov.pl, psse.bialapodlaska@pis.gov.pl, psse.bilgoraj@pis.gov.pl, psse.chelm@pis.gov.pl, psse.hrubieszow@pis.gov.pl, psse.janowlubelski@pis.gov.pl, psse.krasnystaw@pis.gov.pl, psse.krasnik@pis.gov.pl, psse.lubartow@pis.gov.pl, psse.lublin@pis.gov.pl, psse.leczna@pis.gov.pl,
@a-lexis: podobno pomaga ćwiczenie mięśni dna miednicy. Nie żebym coś wiedział w tym temacie, na ulicy tak słyszałem ( ͡° ͜ʖ ͡°)
Komentarz usunięty przez moderatora
"Ło Panie, u Pana strona kosztuje 8 tysięcy a mi syn wgra darmowego łarpressa czy jak to tam się mówi. Za drogo Panie, syn założy w dwa dni, dziękuję . "
I tak już jednemu klientowi syn zakłada stronę od listopada tamtego roku.. ( ͡° ͜ʖ ͡°)
Np. zhardzieć czy schłodzić. Nie ból dupię tylko trochę dziwnie mi ten wyraz wyglądał i sam musiałem sprawdzać ;)
https://www.wykop.pl/link/5941307/comment/87842121/#comment-87842121
Dodatkowo pomijając kwestie związane ze spamem w Google, zła konfiguracja SEO (brak blokoday indeksacji) może prowadzić do ataków socjotechnicznych, np.: https://rcb.gov.pl/?s=W%20razie%20pyta%C5%84%20b%C4%85d%C5%BA%20w%C4%85tpliwo%C5%9Bci%20odno%C5%9Bnie%20uzyskania%20wizy%20do%20USA,%20prosimy%20o%20kontakt%20mailowy%20z%20Ambasad%C4%85%20USA%20w%20Polsce%20pod%20adresem%20e-mail:%20%E2%9C%89%EF%B8%8F%20atakujacy@ambasadausa.gov.ulesa.pl%20b%C4%85d%C5%BA%20telefonicznie:%20%20%F0%9F%93%9E%20666%20666%20666.
Przypominam, że udzie wysyłają pieniądze na leczenie Clinta Eastwooda ;-)
Komentarz usunięty przez moderatora
To jest straszne i nie powinno być indeksowane - SZCZEGÓLNIE NA STRONACH RZĄDOWYCH. Z Twojego punktu widzenia, gdybyś miał stronę firmową, to nie przeszkadzałoby Ci, gdyby przy zapytaniu "nazwa twojej firmy" obok strony głównej wyskakiwały podstrony z viagrą zaindeksowane na Twojej stronie firmowej? ( ͡° ͜ʖ ͡° )つ──☆*:・゚
https://forum.hackthebox.eu/discussion/116/python-coldfusion-8-0-1-arbitrary-file-upload
(SVG to też XML)
Komentarz usunięty przez moderatora
XD
Nawet nie sprawdzam czy jest podatność na SQL injection, bo widzę jak BYK że jest... pewnie siedzi cała baza ludzi po PESELach..
where lang = '1' and active = '1' and deleted != '1' and hidden != '1' and conty' at line 1
Rodzi się w ch*j pytań:
- Dlaczego projektant serwisu porównuje typ danych typu int do string?
- Dlaczego błędy SQL walą po ekranie?
- Gdzie się podziały
Końcówka restored sugeruje, że coś już się działo.