4 дня назад администратор борды 8chan (доска /beast/ которой заблокирована в России) сообщил о DDoS-атаке на сайт, которая выглядела как стократный приток обычных посетителей. Самое большое увеличение нагрузки получил скрипт для постинга post.php (капчи на борде не было); DDoS привел к падению PHP-FPM, под которым выполнялся скрипт. В ходе исследования трафика выяснилось, что для совершения атаки были использованы каналы пользователей с Hola — популярным браузерным расширением для доступа к заблокированным сайтам, пользующееся популярностью как за рубежом, так и в России.
Пользователи расширения, сами того не зная, отдавали свои интернет-каналы дочерней фирме Luminati, которая, по сути, владела более 9 миллионами уникальных выходных нод, за счет расширения и каналов пользователей. Зарабатывают они, судя по всему, очень неплохо: первые 100 гигабайт трафика обходятся клиентам в $20 за гигабайт.
В FAQ проекта не было никаких упоминаний об использовании каналов пользователей, однако в Hola быстро добавили несколько пунктов на этот счет. Теперь, если вы не хотите отдавать свой канал Limunati, вам придется заплатить $5 в месяц.
Архивная версия FAQ
Текущая версия FAQ
После опубликования данной информации администратором 8chan, группа ребят нашла 4 уязвимости в данном расширении:
Все версии Hola поднимают JSON REST HTTP-сервер на 127.0.0.1, но с заголовком
Одну из уязвимостей удаленного выполнения кода, связанную с отсутствием фильтрации аргументов в строке запуска встроенного видеоплеера VLC, в Hola уже пропатчили, но исследовательская группа уверена, что ее просто спрятали подальше, чтобы эксплоит на сайте исследователей, запускающий калькулятор Windows, перестал работать.
На сайте «Adios, Hola!», посвященному уязвимостям в расширении, можно выполнить проверку, являетесь ли вы exit-нодой, можно ли вас идентифицировать, выполнить код от вашего и привилегированного пользователя SYSTEM. Также на сайте содержится подробная инструкция по удалению всего комплекса для Chrome, Firefox, Internet Explorer и Android-версии.
На данный момент расширение Hola удалено из Firefox Addons, но есть в Chrome Web Store, хоть и не находится в поиске. Призываю всех авторов списков ПО для обхода цензуры либо убрать Hola из списка вариантов, либо написать предупреждения о факте использования канала. Свой список, который, к слову, до сих пор пользуется большой популярностью, я обновил.
Данная компания была представлена и на Хабре, но не стала продлевать аккаунт.
UPD: Официальный ответ Hola
TL;DR: Мы — инновационная компания. Skype тоже использовал ваш трафик. Мы продаем Luminati только порядочным клиентам (а не как Tor). Уязвимости есть у всех: Apple iCloud, Snapchat, Skype, Sony, Evernote, Microsoft.
Информация от администратора 8chan
Техническая информация от исследователей
Самый крупный тред на Reddit
Новость на Vice
Новость на TJournal
Пользователи расширения, сами того не зная, отдавали свои интернет-каналы дочерней фирме Luminati, которая, по сути, владела более 9 миллионами уникальных выходных нод, за счет расширения и каналов пользователей. Зарабатывают они, судя по всему, очень неплохо: первые 100 гигабайт трафика обходятся клиентам в $20 за гигабайт.
В FAQ проекта не было никаких упоминаний об использовании каналов пользователей, однако в Hola быстро добавили несколько пунктов на этот счет. Теперь, если вы не хотите отдавать свой канал Limunati, вам придется заплатить $5 в месяц.
Архивная версия FAQ
Текущая версия FAQ
После опубликования данной информации администратором 8chan, группа ребят нашла 4 уязвимости в данном расширении:
- Чтение произвольных файлов до NULL-байта (/file_read.json)
- Раскрытие уникального идентификатора пользователя (/callback.json)
- Раскрытие адресов некоторых функций (/procinfo/ps, для последующего обхода ASLR)
- Удаленное выполнение кода (/vlc_mv.json и /vlc_start.json)
- Повышение привилегий до SYSTEM под Windows
Все версии Hola поднимают JSON REST HTTP-сервер на 127.0.0.1, но с заголовком
Access-Control-Allow-Origin: *
, что позволяет обращаться к нему с любой страницы в интернете. Windows-версии, которые устанавливают не только расширение в браузер, но и сервис, исполняются от имени SYSTEM.Одну из уязвимостей удаленного выполнения кода, связанную с отсутствием фильтрации аргументов в строке запуска встроенного видеоплеера VLC, в Hola уже пропатчили, но исследовательская группа уверена, что ее просто спрятали подальше, чтобы эксплоит на сайте исследователей, запускающий калькулятор Windows, перестал работать.
На сайте «Adios, Hola!», посвященному уязвимостям в расширении, можно выполнить проверку, являетесь ли вы exit-нодой, можно ли вас идентифицировать, выполнить код от вашего и привилегированного пользователя SYSTEM. Также на сайте содержится подробная инструкция по удалению всего комплекса для Chrome, Firefox, Internet Explorer и Android-версии.
На данный момент расширение Hola удалено из Firefox Addons, но есть в Chrome Web Store, хоть и не находится в поиске. Призываю всех авторов списков ПО для обхода цензуры либо убрать Hola из списка вариантов, либо написать предупреждения о факте использования канала. Свой список, который, к слову, до сих пор пользуется большой популярностью, я обновил.
Данная компания была представлена и на Хабре, но не стала продлевать аккаунт.
UPD: Официальный ответ Hola
TL;DR: Мы — инновационная компания. Skype тоже использовал ваш трафик. Мы продаем Luminati только порядочным клиентам (а не как Tor). Уязвимости есть у всех: Apple iCloud, Snapchat, Skype, Sony, Evernote, Microsoft.
Информация от администратора 8chan
Техническая информация от исследователей
Самый крупный тред на Reddit
Новость на Vice
Новость на TJournal