quinta-feira, dezembro 23, 2004

Propagacao do worm Santy




Fonte:


O CAIS está acompanhando desde o dia 15/12 a atividade do exploit para phpBB divulgado pelo grupo howdark.com, que culminou em 20/12 com o surgimento do worm Santy.

phpBB é um popular aplicativo de gerenciamento de conteúdo web. As versões vulneráveis do phpBB possuem um problema de validação de entrada de dados que afeta o parametro "highlight" fornecido para viewtopic.php. Se explorada, a vulnerabilidade permite a execução de comandos arbitrários, o que pode ser usado para trocar as páginas de um site web baseado neste software.

Alguns fatos importantes sobre este worm:

Para se propagar o worm procura por páginas vulneráveis por meio do site de buscas Google. Os parâmetros do URL característicos desta busca são:

&q=allinurl%3A+%22viewtopic.php%22+%22

Em 21/12 o Google anunciou que passaria a bloquear as tentativas de busca utilizadas na replicação deste worm.

É possível detectar a atividade do worm em sua rede utilizando as regras fornecidas pelo projeto Bleeding Snort:

# Ruleset http://www.bleedingsnort.com/bleeding.rules

alert tcp $EXTERNAL_NET any -> $HOME_NET $HTTP_PORTS (msg:"BLEEDING-EDGE Exploit phpBB Highlighting Code Execution Attempt"; flow:to_server,established; uricontent:"/viewtopic.php?="; nocase; uricontent:"&highlight='.system("; nocase; reference:url,www.phpbb.com/phpBB/viewtopic.php?f=14&t=240513 ; sid:2001457; rev:6;)

alert tcp $EXTERNAL_NET any -> $HOME_NET $HTTP_PORTS (msg:"BLEEDING-EDGE Exploit phpBB Highlighting SQL Injection"; flow:to_server,established; uricontent:"/viewtopic.php?="; nocase; uricontent:"&highlight='.mysql_query("; nocase; reference:url,www.securiteam.com/unixfocus/6Z00R2ABPY.html ; sid:2001557; rev:2;)

alert tcp $EXTERNAL_NET any -> $HOME_NET $HTTP_PORTS (msg:"BLEEDING-EDGE Exploit phpBB Highlighting Code Execution - Sanity.A Worm"; flow:to_server,established; uricontent:"/viewtopic.php?="; nocase; uricontent:"&highlight='.write(fopen("; nocase; reference:url,www.phpbb.com/phpBB/viewtopic.php?f=14&t=240513; sid:2001604; rev:2;)

alert tcp any any -> $HOME_NET $HTTP_PORTS (msg: "BLEEDING-EDGE Exploit phpBB Highlight Exploit Attempt"; content:"&highlight=%2527%252Esystem("; nocase; flow:to_server,established; reference:url,www.phpbb.com/phpBB/viewtopic.php?f=14&t=240513; sid:2001605; rev:1;)

# Ruleset http://www.bleedingsnort.com/bleeding-virus.rules

alert tcp $HOME_NET any -> $EXTERNAL_NET $HTTP_PORTS (msg: "BLEEDING-EDGE Virus Possible Santy.A Worm Searching Google for Targets"; uricontent:"&q=allinurl%3A+%22viewtopic.php%22+%22"; nocase; reference:url,securityresponse.symantec.com/avcenter/venc/data/perl.santy.html; sid:2001606; rev:1;)

alert tcp $HOME_NET $HTTP_PORTS -> $EXTERNAL_NET any (msg: "BLEEDING-EDGE Virus Possible santy.A Worm Defaced Page"; content:"This site is defaced!!!"; nocase; content:"NeverEverNoSanity WebWorm generation X"; nocase; reference:url,securityresponse.symantec.com/avcenter/venc/data/perl.santy.html; sid:2001607; rev:1;)

Sistemas afetados:

   versão 2.0.10 e anteriores

Correções disponíveis:

Recomenda-se instalar a última versão disponível em:

   phpBB - Downloads

Pouco antes da divulgação da nova versão do phpBB foi divulgada uma medida paliativa que sugere a alteração do arquivo viewtopic.php, descrita em:
   phpBB.com - Community - howdark.com exploits - follow up

Mais informações:

   phpBB 2.0.11 released - Critical update
   ISC Handler's Diary December 20th 2004 - phpBB Worm
   Symantec Security Response - Perl.Santy
   Santy.A - phpBB <= 2.0.10 Web Worm Source Code (PoC)
   US-CERT VU # 497400 phpBB viewtopic.php fails to properly sanitize input passed to the "highlight" parameter



O CAIS recomenda que os administradores mantenham seus sistemas e aplicativos sempre atualizados, de acordo com as últimas versões e correções oferecidas pelos fabricantes.

Os Alertas do CAIS também são oferecidos no formato RSS/RDF :
http://www.rnp.br/cais/alertas/rss.xml

Nenhum comentário:

Postar um comentário

Aúncio