Расширение Hola продает трафик и содержит уязвимости удаленного выполнения кода

4 дня назад, администратор борды 8chan (доска /beast/ которой заблокирована в России) сообщил о DDoS-атаке на сайт, которая выглядела как стократный приток обычных посетителей. Самое большое увеличение нагрузки получил скрипт для постинга post.php (капчи на борде не было); DDoS привел к падению PHP-FPM, под которым выполнялся скрипт. В ходе исследования трафика выяснилось, что для совершения атаки были использованы каналы пользователей с Hola — популярным браузерным расширенем для доступа к заблокированным сайтам, пользующееся популярностью как за рубежом, так и в России.
Пользователи расширения, сами того не зная, отдавали свои интернет-каналы дочерней фирмеLuminati, которая, по сути, владела более 9 миллионами уникальных выходных нод, за счет расширения и каналов пользователей. Зарабатывают они, судя по всему, очень неплохо: первые 100 гигабайт трафика обходятся клиентам в $20 за гигабайт.

В FAQ проекта не было никаких упоминаний об использовании каналов пользователей, однако в Hola быстро добавили несколько пунктов на этот счет. Теперь, если вы не хотите отдавать свой канал Limunati, вам придется заплатить $5 в месяц.
Архивная версия FAQ
Текущая версия FAQ

После опубликования данной информации администратором 8chan, группа ребят нашла 4 уязвимости в данном расширении:

• Чтение произвольных файлов до NULL-байта (/file_read.json)
• Раскрытие уникального идентификатора пользователя (/callback.json)
• Раскрытие адресов некоторых функций (/procinfo/ps, для последующего обхода ASLR)
• Удаленное выполнение кода (/vlc_mv.json и /vlc_start.json)
• Повышение привилегий до SYSTEM под Windows

Все версии Hola поднимают JSON REST HTTP-сервер на 127.0.0.1, но с заголовком <code style="border-style: initial; border-color: initial; border-image: initial; font-size: 14px; font-style: normal; vertical-align: baseline; outline-width: 0px; outline-style: initial; outline-color: initial; white-space: normal; font-family: Menlo, Monaco, 'Courier New', monospace; color: #222222; font-variant: normal; font-weight: normal; letter-spacing: normal; line-height: 22px; orphans: 2; text-align: left; text-indent: 0px; text-transform: none; widows: 2; word-spacing: 0px; -webkit-text-size-adjust: auto; -webkit-text-stroke-width: 0px; background-color: #ffffff; border-width: 0px; padding: 0px; margin: 0px;">Access-Control-Allow-Origin: *</code>, что позволяет обращаться к нему с любой страницы в интернете.

Windows-версии, которые устанавливают не только расширение в браузер, но и сервис, исполняются от имени SYSTEM.
Одну из уязвимостей удаленного выполнения кода, связанную с отсутствием фильтрации аргументов в строке запуска встроенного видеоплеера VLC, в Hola уже пропатчили, но исследовательская группа уверена, что ее просто спрятали подальше, чтобы эксплоит на сайте исследователей, запускающий калькулятор Windows, перестал работать.

На сайте «Adios, Hola!», посвященному уязвимостям в расширении, можно выполнить проверку, являетесь ли вы exit-нодой, можно ли вас идентифицировать, выполнить код от вашего и привилегированного пользователя SYSTEM. Также на сайте содержится подробная инструкцая по удалению всего комплекса для Chrome, Firefox, Internet Explorer и Android-версии.

На данный момент, расширение Hola удалено из Firefox Addons, но есть в Chrome Web Store, хоть и не находится в поиске. Призываю всех авторов списков ПО для обхода цензуры либо убрать Hola из списка вариантов, либо написать предупреждения о факте использования канала. Свой список, который, к слову, до сих пор пользуется большой популярностью, я обновил.