Несколько альтернативных сайтов Reddit на базе Lemmy были взломаны из-за уязвимости нулевого дня.
В последние дни несколько сайтов, построенных на открытом программном обеспечении Lemmy, были взломаны злоумышленниками, которые, по-видимому, использовали уязвимость нулевого дня.
Lemmy — это открытое программное обеспечение, предназначенное для создания самостоятельных агрегаторов новостей и форумов для обсуждения. Каждый сайт на базе Lemmy управляется разными лицами или организациями, но они связаны между собой, позволяя пользователям одного сайта взаимодействовать с сообщениями на других серверах. В настоящее время существует более 1100 сайтов с общим числом почти 850 000 пользователей.
Несколько дней назад кто-то начал эксплуатировать уязвимость межсайтового скриптинга (XSS), связанную с отображением пользовательских эмодзи.
Злоумышленник использовал уязвимость для искажения страниц на некоторых популярных сайтах, включая Lemmy.world, самый популярный сайт, который имеет более 100 000 пользователей.
“У нескольких крупных сайтов Lemmy было скомпрометировано несколько учетных записей пользователей через украденные [JWT] аутентификационные куки. Некоторые из этих кук принадлежали администраторам, эти административные куки использовались для дефейса сайтов. Уязвимыми были только те пользователи, которые открывали страницы с вредоносным содержимым во время инцидента”, — объяснили администраторы Lemmy.world.
Они добавили: “Украденные куки давали злоумышленникам доступ ко всем личным сообщениям и адресам электронной почты пострадавших пользователей”.
Похоже, что злоумышленник использовал измененные страницы для перенаправления пользователей на ненавистный или шокирующий контент.
Некоторые сайты Lemmy были предварительно закрыты, когда началась атака.
Уязвимость должна быть исправлена, но пользователям также рекомендовали изменить свои пароли JWT.
Источник: securitylab