PhpMyAdmin distribuido temporalmente con una puerta trasera

El software malicioso se ha encontrado en el paquete “phpMyAdmin-3.5.2.2-all-languages.zip” localizado en el servidor espejo “cdnetworks-kr-1” de SourceForge.net. En este paquete se encontraba el fichero legítimo ‘js/cross_framing_protection.js‘ modificado,  y además archivo ajeno a la distribución que contenía toda la lógica de la puerta trasera: server_sync.php.

El funcionamiento de la puerta trasera permitía a los atacantes obtener el control del servidor donde se hubiese instalado esta versión modificada. El fichero ‘server_sync.php‘ contenía en su interior el siguiente código:

que se encargaba de evaluar las peticiones POST que contenían el parámetro “c” y ejecutar el código php que tuviese esa petición. En la práctica, significa que con solo realizar una petición al servidor con el phpMyAdmin vulnerado, se podría ejecutar cualquier código PHP y, a partir de ahí si no se encuentra convenientemente bastionado, ejecutar comandos en el servidor a través de directivas PHP como “system“, “exec“…

Desde SourceForge se está investigando aún el caso. Estos servidores alojan más de 300.000 proyectos y no descartan que pueda encontrarse algún proyecto más comprometido, o que la puerta trasera pueda haberse replicado en otro mirror.

Ya se ha agregado un módulo a Metasploit para comprobar desde el programa que existe esta puerta trasera en una instalación.

En enero de 2011 ya atacaron Sourceforge. Se detectaron una serie de ataques dirigidos específicamente contra ellos que concluyeron con el compromiso de varios servidores. Sourceforge se ha vio obligada a apagar “un puñado” de servidores para intentar contrarrestar el ataque.