ARAKIS rejestruje ciekawą próbę wykorzystania luki w AWStats
23 listopada 2007W godzinach rannych dnia 21.11.2007 nasz system wczesnego ostrzegania ARAKIS zarejestrował interesujące przepływy. Były to próby wykorzystania luki w popularnym narzędziu do analizy statystyk serwerowych AWStats. Celem tego działania miało być ściągnięcie i uruchomienie na atakowanym komputerze narzędzia Barbut służącego do zdalnego przeprowadzania ataków DDoS.
Na ten atak podatne są wersje oprogramowania AWStats 6.4 i 6.5. Luka polega na tym, że atakujący poprzez specjalnie spreparowane wywołanie skryptu awstats.pl może wykonać w powłoce dowolne polecenia, które przekazywane są z użyciem znaku “pipe” (”|”). W konfiguracji AWStats musi być ponadto włączony parametr AllowToUpdateStatsFromBrowser. Informacja o podatności ukazała się 4 maja 2006 roku.
Barbut najprawdopodobniej służy do zdalnego przeprowadzania ataków typu DDoS. W Internecie napotkać można informacje o powiązaniach tego narzędzia z linuksowym trojanem Kaiten – klientem zarządzanym przez IRC służącym właśnie do ataków DDoS.
Analiza przechwyconych przez ARAKIS przepływów (oraz wytworzonego na ich podstawie klastra) pozwala poznać prostotę tego ataku (można go sklasyfikować jako Shell Command Injection). Przede wszystkim w niezbyt wyrafinowany sposób komputer atakujący (najprawdopodobniej jest to automat, być może zarażony robakiem propagującym się w ten sposób dalej) atakuje “na ślepo” maszyny o otwartych portach 80/TCP (bez względu, czy jest na nich używane narzędzie AWStats, czy nie). Od razu przesyłane są w żądaniach HTTP “GET” wstrzyknięte polecania ściągnięcia z trzeciego serwera pliku barbut i wykonania go (po wcześniejszym nadaniu mu odpowiednich praw).
Aby uchronić się przed tego typu atakami, należy używać narzędzia AWStats w najnowszej wersji (na chwilę obecną jest nią 6.7) ściągniętej ze strony producenta.
Żródła: inf. własna, awstats.sourceforge.net, CVE-2006-2237
