Robak wykorzystujący luki w skryptach PHP
24 stycznia 2008W zeszły piątek 18-go stycznia nasz system wczesnego ostrzegania ARAKIS zanotował próbę wykorzystania luki w aplikacjiMyBB 1.2.10 (jest to darmowe forum dyskusyjne). Zaledwie dwa dni wcześniej upubliczniono informację o luce w tym oprogramowaniu, którą zaobserwowany atak wykorzystywał.
Upublicznione na liście dyskusyjnej BugTraq informacje o podatnościach dotyczą kilku skryptów PHP (m.in. forumdisplay.php, search.php i moderation.php), jednak polegają na tym samym: atakujący jest w stanie wykonać dowolny kod na serwerze poprzez specjalnie spreparowane zapytanie HTTP odwołujące się do skryptu. Dzieje się tak, ponieważ dane przekazywane są bez wcześniejszej walidacji. Skrypty podatne są też na ataki SQL Injection i Cross-Site Scripting (XSS). Ponadto 21-go i 23-go upubliczniono informacje o podobnych lukach w innych skryptach (private.php i pm.php) i to w poprawionej wersji 1.2.11.
Nasz system zaobserwował próbę wykorzystania luki tylko w jednym skrypcie: forumdisplay.php. Atakujący – był to automat, najprawdopodobniej robak PHP – próbował wykorzystać podatność w tym skrypcie by wykonać polecenie systemowe pobrania (poprzez narzędzie wget) pliku binarnego cback i uruchomić go z odpowiednimi parametrami (przekazywany był adres IP i numer portu).
Po przeanalizowaniu pliku cback na stronie VirusTotal okazało się, że jest to linuksowy trojan/backodr umożliwiający przejęcie kontroli nad serwerem.
| File cback received on 12.29.2007 13:40:27 (CET) | |||
| Antivirus | Version | Last Update | Result |
| AhnLab-V3 | - | - | Linux/RST.B |
| AntiVir | - | - | LINUX/Small.AL |
| Authentium | - | - | Unix/RST.B |
| Avast | - | - | ELF:RST-B |
| AVG | - | - | Linux/RST.O |
| BitDefender | - | - | Backdoor.Linux.Small.AL |
| CAT-QuickHeal | - | - | ELF.Rst.B |
| ClamAV | - | - | Trojan.Small-1254 |
| DrWeb | - | - | Linux.BackDoor.Rev |
| eSafe | - | - | - |
| eTrust-Vet | - | - | Linux/RST.B |
| Ewido | - | - | - |
| FileAdvisor | - | - | - |
| Fortinet | - | - | Linux/Rst.B |
| F-Prot | - | - | Unix/RST.B |
| F-Secure | - | - | Virus.Linux.RST.b |
| Ikarus | - | - | Backdoor.Linux.Small.AL |
| Kaspersky | - | - | Virus.Linux.RST.b |
| McAfee | - | - | Linux/Rst.b |
| Microsoft | - | - | Virus:Linux/RST.B |
| NOD32v2 | - | - | a variant of Linux/RST.B |
| Norman | - | - | Linux/RST.B |
| Panda | - | - | Linux/Rst.A |
| Prevx1 | - | - | - |
| Rising | - | - | Backdoor.Linux.Small.bt |
| Sophos | - | - | Linux/Rst-B |
| Sunbelt | - | - | - |
| TheHacker | - | - | - |
| VBA32 | - | - | - |
| VirusBuster | - | - | Linux.RST.B |
| Webwasher-Gateway | - | - | Unix.Small.AL |
| Additional information | |||
| MD5: dcf13a54614500ce7b2594ade081665f | |||
| SHA1: 3f4a41970f9ab8efd2a47fdad011a788cc8ad36a | |||
| SHA256: f74652cdb8dfefb86c08fc995daa20974ec0fed1f1fb280a6e3878daf36d7e2a | |||
| SHA512: 67858bcbf3dacee114da77c6b53279128ef55d7323783fcbdc422aca60d45ab1 cce399af82b4425a34d13e2c6de920dbe17dd5c77af3a5d081d0d148c804f601 | |||
Program próbował się łączyć z tym samym adresem IP, z którego został pobrany, ale nie z którego nastąpił atak. Sam atak przeprowadzony był „na ślepo” – nie było sprawdzane, czy na serwerze znajduje się MyBB, tylko od razu następowała próba wykorzystania dziury. Atakowane komputery były wybierane po kolei (zwiększały się o jeden kolejne adresy IP).
Dzisiaj ARAKIS zaobserwował bardzo podobne ataki, jednakże wykorzystujące podatność w skrypcie saveserver.php (a dokładnie w przetwarzaniu parametru thisdir), co by wskazywało na próbę wykorzystania luki w aplikacji Confixx Pro (występuje ona nadal, nawet w najnowszej wersji 3.3.1). Dodatkowo (w odróżnieniu od piątkowego ataku) robak próbuje nadać plikowi cback przed uruchomieniem odpowiednie prawa (chmod 755).
Tym, którzy korzystają z aplikacji MyBB i Confixx, zalecamy ich uaktualnienie. W przypadku MyBB będzie to zainstalowanie najnowszej wersji (1.2.12) ściągniętej ze strony producenta, natomiast użytkownicy Confixx powinni zainstalować nakładkę (patch) na podatną wersję: swsoft.com
Źródło:
inf. własna (www.arakis.pl),
www.securityfocus.com (BugTraq),
www.securityfocus.com
