Μια σοβαρή ευπάθεια αναφέρθηκε στην ιδιοκτήτρια εταιρεία του Paypal την eBay, με την οποία κάποιος κακόβουλος χρήστης έχει τη δυνατότητα να εκτελέσει οποιοδήποτε κώδικα στον application server του Paypal.

Όπως αναφέρει το cybersecurity, o εντοπισμός της ευπάθειας έγινε από έναν ανεξάρτητο ερευνητή ασφαλείας τον Milan A. Solanki. Η ευπάθεια χαρακτηρίστηκε ως κρίσιμη από τη Vulnerability Lab με σκορ CVSS (Common Vulnerability Scoring System) 9,3 και επηρεάζει την υπηρεσία marketing του web-application server του Paypal.

ΔΙΑΦΗΜΙΣΤΙΚΟΣ ΧΩΡΟΣ

Εντοπίζεται στο πρωτόκολλο Java Debug Wire Protocol (JDWP) της marketing υπηρεσίας του web-application server του Paypal.

Μια επιτυχής εκμετάλλευση της ανωτέρω ευπάθειας του Paypal θα μπορούσε να επιτρέψει τη μη εξουσιοδοτημένη εκτέλεση κώδικα στον web-application server του paypal επιτυγχάνοντας την ολική παραβίαση του επίμαχου server!

Τι είναι το JDWP;

ΔΙΑΦΗΜΙΣΤΙΚΟΣ ΧΩΡΟΣ

To JDWP είναι ένα πρωτόκολλο το οποίο χρησιμοποιείται για την επικοινωνία ανάμεσα στον debugger και στην εικονική μηχανή της Java, ως ένα επίπεδο της Java Platform Debugger Architecture (JPDA).

Σημαντικό στοιχείο είναι ότι το JDWP δεν χρησιμοποιεί καμία αυθεντικοποίηση, γεγονός το οποίο εκμεταλλεύονται οι κακόβουλοι χρήστες για την εκτέλεση απομακρυσμένου κώδικα στον προβληματικό server.

Ο Solanki δημιούργησε το παρακάτω βίντεο, προς απόδειξη των ισχυρισμών του:

Eπιμέλεια: Xρήστος Μαζάνης 

σχόλια αναγνωστών
oδηγός χρήσης