RNP > Serviços > Segurança em redes > Alertas do CAIS

Mês dos Bugs em PHP - Março 2007

Alerta do CAIS 20070315

[CAIS, 15.03.2007-15:29, revisão 01]

O CAIS gostaria de alertar a todos para alguns cuidados que podem ser tomados para se aumentar a segurança em aplicações PHP.

A incidência de ataques bem sucedidos a aplicações Web continua, e o assunto segurança em aplicações web está tão em evidência que em Fevereiro de 2007 o projeto Honeynet lançou o artigo "Web Application Threats: Using Honeypots to learn about HTTP-based attacks", da série "Know your Enemy", dedicado a ameaças a aplicações Web.

Confirmando ainda mais esta tendência, o mês de Março de 2007 foi escolhido pelo projeto Hardened-PHP como "Mês dos Bugs em PHP" (Month of PHP Bugs). Até o dia 14/03/2007 já haviam sido divulgados 22 novos bugs em PHP. A idéia de um mês dedicado a um determinado tipo de vulnerabilidade foi lançada em Julho de 2006 pelo Projeto Metasploit, com o "Month of Browser Bugs (MOBB)".

O CAIS já publicou diversos alertas relacionados com PHP, entre eles "Ataques de injeção de código PHP em aplicações diversas". Neste alerta o foco foi a exploração em massa de diversas aplicações em PHP populares, como phpBB, Mambo e AWStats.

A seguir apresentamos algumas dicas de como aumentar a segurança de sua instalação PHP. Para mais informações sobre tendências de exploração consulte o documento "Web Application Threats", relacionado na seção "Mais informações".

Siga nossas dicas e transforme Março no "Mês de Mais Segurança em PHP".

Protegendo Servidores e aplicações Web:

• Atualização - mantenha atualizada toda a base operacional sobre a qual sua aplicação web está instalada. Isto significa manter PHP, servidor Web e Sistema Operacional sempre na última versão disponível, com todas as correções aplicadas. Lembre-se, entretanto, de que a atualização não deve ser a única medida de segurança que um administrador deve tomar.
   
• Escolha sabiamente - evite usar aplicações Web reconhecidamente vulneráveis, como PHP-Nuke, Mambo, AWStats, phpBB, WebCalendar, Coppermine Photo Gallery e Zeroboard, a menos que você e sua empresa tenham condições de aplicar correções de segurança frequentemente.
   
• Inventário - mantenha um inventário das aplicações Web instaladas. Desta forma é mais fácil saber quais softwares devem ser mantidos atualizados. Assine as listas de segurança dos aplicativos php instalados.
   
• OWASP - consulte os guias do projeto OWASP (Open Web Application Security Project) para orientações sobre segurança em aplicações web.
   
• SANS Top-20 - consulte a seção C.1 das recomendações para administradores de sistemas do SANS Top-20 2006. Ha uma versão em português do documento, traduzida pelo CAIS.
   
• Ferramenta mod_security para Apache - Se você usa o servidor web Apache use ModSecurity (mod_security) para monitorar o trafego HTTP em tempo real e detectar ataques. Vetores comuns de ataque, como a tentativa de execução de comandos do Sistema Operacional como "wget", "cat" e outros, podem ser bloqueados desta forma.
   
• Ferramenta Suhosin - Imponha controle sobre a execução de scripts PHP usando a ferramenta Suhosin.
   
• PHP Data objects - Use a extensão PHP Data Objects (PDO) para realizar consultas SQL. Essa função serve como interface de acesso a bases de dados.
   
• NIDS - implemente um NIDS (Network Intrusion Detection System) para detectar atividade maliciosa de rede, tráfego IRC partindo de um servidor web, por exemplo. O CAIS recomenda o uso das regras Bleeding Edge, caso se utilize o NIDS Snort.
   
• HIDS - o uso de um HIDS (host-based Intrusion Detection System) que monitore a integridade de arquivos e diretórios críticos do sistema é útil, em ultimo caso, na detecção de ataques bem sucedidos.

Mantenha-se informado:

Manter-se informado sobre as atualizações é um desafio para o administrador, visto o número de vulnerabilidades, correções e fontes de informação. Lembre-se de que a medida mais básica de segurança em aplicações Web é manter os sistemas em suas últimas versões, livres de vulnerabilidades conhecidas.

• Assine listas de anúncios dos produtos.
   
• Inclua o feed RSS do fornecedor do software em seu agregador RSS. Você pode usar um agregador RSS baseado em e-mail para facilitar a gerência e distribuição dos feeds, como rss2email.
   
• Você pode consultar o inventário de aplicações críticas utilizadas (não apenas relacionadas a Web) e cadastrá-las em um sistema de notificação de vulnerabilidades, como o Cassandra. Este sistema o manterá atualizado com relação às vulnerabilidades das bases de dados da Secunia e ICAT (NIST National Vulnerability Database).
   
• Assine os Alertas do CAIS.

Mais informações:

• Month of PHP Bugs (MoPB) - Março de 2007
• Month of Browser Bugs (MoBB) - Julho de 2006
• Month of Kernel Bugs (MoKB) - Novembro de 2006
• Know your Enemy: Web Application Threats
• CAIS-Alerta: Ataques de injeção de código PHP em aplicações diversas
• CAIS-Alerta: Vulnerabilidade no XMLRPC para PHP
• Assinatura dos Alertas do CAIS
• ModSecurity (mod_security) for Apache - Open Source Web Application Firewall
• OWASP Guide to Building Secure Web Applications
• OWASP Application Security FAQ
• SANS Top-20 2006
• SANS Top-20 2006 - Versao Português
• Hardened-PHP Project - Suhosin
• PHP: PDO Functions
• Snort
• Bleeding Edge Threats - All Bleeding Edge Signatures
• rss2email - read newsfeeds from your email client
• The Cassandra tool

O CAIS recomenda que os administradores mantenham seus sistemas e aplicativos sempre atualizados, de acordo com as últimas versões e correções oferecidas pelos fabricantes.

Os Alertas do CAIS também são oferecidos no formato RSS/RDF:
http://www.rnp.br/cais/alertas/rss.xml

Contato com o Cais:

+55 (19) 3787-3300
+55 (19) 3787-3301

cais@cais.rnp.br

Chave PGP pública do Cais