Беспечность разработчиков ZPanel обернулась взломом инфраструктуры проекта

Поучительная история развивается вокруг открытой панели управления хостингом ZPanel, разработчики которой пренебрежительно отвечали на критику об использовании небезопасного стиля кодирования (например, использование eval, прямая подстановка переменных из массива $_POST в запросы SQL, наличие процесса zsudo для запуска любого кода ZPanel с правами root). Критика игнорировалась даже при демонстрации конкретных уязвимостей.
Создатели ZPanel ссылались на то, что они Web-разработчики, а не эксперты по безопасности. Кроме того, разработчики излишне доверяли результатам ранее заказанного стороннего аудита кода, который судя по всему являлся лишь формальной и поверхностной проверкой. Если явная уязвимости, которая позволяла поменять пароль администратора, была исправлена, то вторая проблема, затрагивающая систему шаблонов, оставалась неисправленной более 8 месяцев, после чего выявивший недоработку энтузиаст публично опубликовал данные о методе эксплуатации. Уязвимость позволяла выполнить произвольный PHP-код с правами root.
Авторы ZPanel отказались признать это серьёзной проблемой, так как для эксплуатации уязвимости требуется загрузки шаблона, а эта операции доступна только пользователю с правами администратора, реселлеры по умолчанию не имеют доступа к загрузке шаблонов. При этом несмотря на запрет по умолчанию, при изменении настроек штатная возможность загрузки шаблона реселлером имеется, т.е. при включении функции изменения внешнего вида интерфейса, любой получивший право перепродавать услуги хостинга может выполнить свой код с правами root на сервере.
Так же принципиально не исправлялись проблемы с возможностью осуществления межсайтовых запросов (CSRF), которые не признавались авторами как уязвимости. В мае один из участников проекта заявил, что ZPanel является более безопасным продуктом, чем имеющиеся аналоги, и что у пользователей больше шансов компрометации систем через уязвимости в ОС, чем через уязвимости в панели управления. После возобновления попыток доказать в форуме проекта, что это не так и давно следует переработать подход к безопасности в ZPanel, представители проекта в достаточно грубой и неуважительной форме показали энтузиасту его место и охарактеризовали его критику как «f*cken little know it all».
Спустя несколько дней, от имени лидера службы поддержки ZPanel в форуме было опубликовано сообщение о закрытии проекта в связи с невозможностью обеспечить безопасность кода. Как оказалось, данное сообщение было отправлено злоумышленниками после взлома ряда служебных аккаунтов участников проекта. Кроме того, в сети были опубликованы скриншот входа с правами root на один из серверов инфраструктуры ZPanel и файл с хэшами паролей некоторых участников проекта. В настоящее время работа сайта ZPanel остановлена и ведётся разбор причин инцидента. По сведению от администраторов инфраструктуры ZPanel, злоумышленники смогли получить полный контроль над сервером одного из сотрудников компании, на котором размещался модуль ZPanelCP, в котором имелась неисправленная уязвимость, позволяющая осуществить подстановку SQL-запроса. Сведения о способе взлома аккаунтов на форуме проекта не сообщаются.

Главная ссылка к новости (http://arstechnica.com/security/2013/05/…)