 |
|
A Rede | Serviços | Operação | Segurança | P&D | Capacitação | Eventos |
 | Propagacao do worm SantyAlerta do CAIS 22122004 [CAIS, 22.12.2004-11:51, revisão 01] O CAIS está acompanhando desde o dia 15/12 a atividade do exploit para phpBB divulgado pelo grupo howdark.com, que culminou em 20/12 com o surgimento do worm Santy. phpBB é um popular aplicativo de gerenciamento de conteúdo web. As versões vulneráveis do phpBB possuem um problema de validação de entrada de dados que afeta o parametro "highlight" fornecido para viewtopic.php. Se explorada, a vulnerabilidade permite a execução de comandos arbitrários, o que pode ser usado para trocar as páginas de um site web baseado neste software. Alguns fatos importantes sobre este worm: Para se propagar o worm procura por páginas vulneráveis por meio do site de buscas Google. Os parâmetros do URL característicos desta busca são: &q=allinurl%3A+%22viewtopic.php%22+%22 Em 21/12 o Google anunciou que passaria a bloquear as tentativas de busca utilizadas na replicação deste worm. É possível detectar a atividade do worm em sua rede utilizando as regras fornecidas pelo projeto Bleeding Snort: # Ruleset http://www.bleedingsnort.com/bleeding.rules alert tcp $EXTERNAL_NET any -> $HOME_NET $HTTP_PORTS (msg:"BLEEDING-EDGE Exploit phpBB Highlighting Code Execution Attempt"; flow:to_server,established; uricontent:"/viewtopic.php?="; nocase; uricontent:"&highlight='.system("; nocase; reference:url,www.phpbb.com/phpBB/viewtopic.php?f=14&t=240513 ; sid:2001457; rev:6;) alert tcp $EXTERNAL_NET any -> $HOME_NET $HTTP_PORTS (msg:"BLEEDING-EDGE Exploit phpBB Highlighting SQL Injection"; flow:to_server,established; uricontent:"/viewtopic.php?="; nocase; uricontent:"&highlight='.mysql_query("; nocase; reference:url,www.securiteam.com/unixfocus/6Z00R2ABPY.html ; sid:2001557; rev:2;) alert tcp $EXTERNAL_NET any -> $HOME_NET $HTTP_PORTS (msg:"BLEEDING-EDGE Exploit phpBB Highlighting Code Execution - Sanity.A Worm"; flow:to_server,established; uricontent:"/viewtopic.php?="; nocase; uricontent:"&highlight='.write(fopen("; nocase; reference:url,www.phpbb.com/phpBB/viewtopic.php?f=14&t=240513; sid:2001604; rev:2;) alert tcp any any -> $HOME_NET $HTTP_PORTS (msg: "BLEEDING-EDGE Exploit phpBB Highlight Exploit Attempt"; content:"&highlight=%2527%252Esystem("; nocase; flow:to_server,established; reference:url,www.phpbb.com/phpBB/viewtopic.php?f=14&t=240513; sid:2001605; rev:1;) # Ruleset http://www.bleedingsnort.com/bleeding-virus.rules alert tcp $HOME_NET any -> $EXTERNAL_NET $HTTP_PORTS (msg: "BLEEDING-EDGE Virus Possible Santy.A Worm Searching Google for Targets"; uricontent:"&q=allinurl%3A+%22viewtopic.php%22+%22"; nocase; reference:url,securityresponse.symantec.com/avcenter/venc/data/perl.santy.html; sid:2001606; rev:1;) alert tcp $HOME_NET $HTTP_PORTS -> $EXTERNAL_NET any (msg: "BLEEDING-EDGE Virus Possible santy.A Worm Defaced Page"; content:"This site is defaced!!!"; nocase; content:"NeverEverNoSanity WebWorm generation X"; nocase; reference:url,securityresponse.symantec.com/avcenter/venc/data/perl.santy.html; sid:2001607; rev:1;) Sistemas afetados:
Correções disponíveis: Recomenda-se instalar a última versão disponível em:
Mais informações:
O CAIS recomenda que os administradores mantenham seus sistemas e aplicativos sempre atualizados, de acordo com as últimas versões e correções oferecidas pelos fabricantes. Os Alertas do CAIS também são oferecidos no formato RSS/RDF |  Assinatura dos Alertas do CAIS Assine a lista de alertas do CAIS e receba antecipadamente, por correio eletrônico, as mais recentes notificações sobre segurança em redes e sistemas. Formulário de assinatura dos Alertas do CAIS
Contato com o Cais: +55 (19) 3787-3300 |
