Eine Webseite des Heimatschutzministeriums wurde durch eine Directory-Traversal-Sicherheitslücke geknackt. Die Hackergruppe NullCrew hat den Angriff veröffentlicht, die gehackte Website: studyinthestates.dhs.gov

Über die sehr triviale Sicherheitslücke konnten die Hacker die Konfiguration der Webseite, einschließlich des Datenbankpassworts, einsehen.

Ein Mitarbeiter von Sophos:

„In really bad cases, attackers might even be able to hoist themselves out of your web server’s directory tree altogether, and into the rest of the filing system. This might give them access to password and configuration files for the operating system itself, or for other software running on the same server.“

Eine URL in der Art wie: http://example.org/known/dir/download.php?file=somename.dat kann mit  folgendem Code missbraucht werden: http://example.org/known/dir/download.php?file=../../private.dat“. Angreifer müssen über den Umstand Bescheid wissen, für den Angriff ist jedoch nur ein Browser notwendig.

Es waren nicht die aktuellsten Patches (Apache 2.2.3 auf Red Hat and PHP 5.3.3) am Server installiert. Durch einfaches Einspielen der Sicherheitspatches hätte der Sicherheitsvorfall vermieden werden können.

Artikel von theregister.co.uk, 07.01.2013: US Dept for Homeland Security shafted by trivial web bug