Atacuri asupra site-urilor cu phpBB

A fost raportata aparitia unui atac asupra site-urilor web care folosesc phpBB, si care are ca efect distrugerea completa a datelor stocate in fisierele ce constitue site-ul respectiv. Pe data de 22 Noiembrie, GeCAD NET a lansat o alerta de grad ridicat despre o serie de vulnerabilitati descoperite in phpBB versiunea 2.0.10. Una dintre acestea parea sa fie posibil de exploatat pentru a executa cod controlat de un posibil atacator, pe sistemul afectat (pentru mai multe detalii, consultati alerta GeCAD NET Vulnerabilitati in phpBB). Incepand din 21 Decembrie, companii producatoare de programe antivirus, precum Trend Micro si Symantec, au primit semnale ca a aparut si se propaga pe Internet o amenintare asemanatoare din punctul de vedere al comportamentului cu un virus de tip worm, care exploateaza vulnerabilitatea prezentata mai sus din phpBB pentru a se raspandi. Aceasta amenintare a primit numele de Santy (pentru mai multe detalii, consultati alerta GeCAD NET WORM_SANTY.A). Amenintarea este reprezentata printr-un fisier script Perl, care foloseste motorul de cautare de la Google pentru a cauta servere de web care folosesc phpBB. Odata identificat un astfel de server, se va incerca exploatarea vulnerabilitatii prezentate mai sus. In cazul in care aceasta reuseste, viermele se va copia pe serverul atacat si se va lansa in executie, reluand atacurile si de pe noul server compromis. Dupa detectarea atacurilor, echipa tehnica de la Google a modificat modul de acces la motorul de cautare astfel incat in acest moment cautarile efectuate prin acest script sunt blocate, ca urmare raspandirea acestuia se pare ca a fost intrerupta. Sunt vulnerabile toate serverele de Internet care gazduiesc servicii web si au instalat phpBB versiunea 2.0.10 sau inferioara. Nota: Aceasta amenintare nu are ca tinta utilizatorii ce folosesc browsere de Internet pentru a vizita site-uri, ci doar serverele de Internet. Deoarece pe serverul compromis toate fisierele cu continut web de pe site sunt suprascrise, conform motorului de cautare MSN Search (beta), au fost gasite peste 30.000 de site-uri continand textul folosit de worm pentru a suprascrie fisierele. Avertizare: Deoarece atacul este relativ simplu de executat si exista astfel deja un precedent, este posibila aparitia de variante care sa foloseasca alte motoare de cautare sau alte metode de cautare. Solutii: In cazul in care site-ul dumneavoastra are instalat phpBB, este absolut necesar sa actualizati la versiunea 2.0.11 care elimina vulnerabilitatea. Deoarece de curand au fost lansate noi versiuni de PHP care elimina o serie de vulnerabilitati, este recomandat sa actualizati si utilitarul PHP. Pentru mai multe detalii, consultati alerta GeCAD NET Vulnerabilitati multiple in PHP. Alte analize ale acestei amenintari pot fi gasite la adresele: http://www.trendmicro.com/vinfo/virusencyclo/default5.asp?VName=WORM_SANTY.A&VSect=T http://securityresponse.symantec.com/avcenter/venc/data/perl.santy.html http://www.avira.com/en/threats/Perl_Santy.html Preluata de la http://www.gecadnet.ro/antivirus/?AID=1355