Skoči na vsebino

SI-CERT 2004-08 / Ranljivost phpBB sistema

Priljubljeni sistem phpBB za upravljanje spletnih forumov v verzijah do vključno 2.0.10 vsebuje ranljivost, ki omogoča izvajanje poljubne kode in posledično razobličenje spletnih strežnikov, namestitev stranskih vrat ali orodij za izvedbo napadov s poplavo podatkov (DDoS, “distributed denial-of-service”).

Opis

phpBB je razširjen sistem za upravljanje spletnih forumov, ki teče na spletnih strežnikih s podporo za skriptni jezik php. Ranljive verzije phpBB (do vključno 2.0.10) nepravilno obravnavajo highlight parameter, podan strani viewtopic.php. Ta ranljivost omogoča izvedbo poljubne kode na strežniku, ki ima nameščen ranljiv phpBB sistem.

Rešitev

Vsem upraviteljem phpBB strežnikov svetujemo takojšnjo nadgradnjo na verzijo 2.0.11.

Opaženi incidenti

Le kakšen dan po objavi popravka za phpBB, ki odpravi varnostno luknjo, se je pojavil črv Santy.A, ki je samodejno iskal ranljive strežnike preko iskalnika Google.com. Črv je izvajal avtomatska razobličevanja (angl. defacement) spletnih strežnikov. Googlova skupina za informacijsko varnost (GIST, Google Information Security Team) je kmalu za tem omejila delovanje črva tako, da so preprečili iskanje po nizih, ki jih črv uporablja za identifikacijo ranljivih sistemov. Hitrost ukrepanja Googlove GIST skupine je omejila širjenje črva, vendar pa je mogoče pričakovati njegove različice, ki bodo uporabljale druge internetne iskalnike, ali drugače oblikovane iskalne nize. Dodajanje omejitev na iskalnike tudi ni najbolj primerna rešitev problema ranljivosti phpBB sistema in se jo lahko smatra le kot začasen ukrep za omejevanje škode pri masovnih izbruhih internet črvov.

SI-CERT je danes prejel obvestilo o varnostnem incidentu, kjer je napadalec uporabil slovenski internetni iskalnik za iskanje ranljivih strežnikov z namenom vdora v sistem. Po uspešnem vdoru je napadalec namestil stranska vrata za nemoten dostop do sistema in orodje, ki omogoča napad s poplavo podatkov.

Poudariti velja , da iskalniki le opravljajo svojo nalogo s tem, ko prikažejo ustrezne rezultate in da jih ne gre kriviti za to, da se lahko rezultate iskanja uporabi v opisan namen.

Povezave

Preberite tudi

SI-CERT 2020-07 / Zlonamerna koda v potvorjenih sporočilih v imenu NLB

Večje število slovenskih uporabnikov je danes prejelo potvorjeno elektronsko sporočilo, v imenu NLB banke. V priponki se nahaja zlonamerna koda LokiBot
Več

SI-CERT 2020-06 / Kritična ranljivost Windows DNS strežnika

Kritična ranljivost Windows DNS strežnika omogoča zagon poljubne kode na daljavo s pravicami uporabnika Local System Account.
Več

SI-CERT 2020-05 / Lažno sporočilo NIJZ

Na večje število slovenskih elektronskih naslovov je poslano sporočilo z zadevo "Distribucija zaščitne opreme Covid-19 (Ministrstvo za zdravje Slovenija) Junij 2020". Sporočilo vsebuje zip arhiv.
Več