RNP > Serviços > Segurança em redes > Alertas do CAIS

Vulnerabilidade no XMLRPC para PHP

Alerta do CAIS 07112005

[CAIS, 07.11.2005-17:13, revisão 01]

O CAIS vem acompanhando um aumento significativo nos ataques relacionados a páginas em PHP nos últimos meses. Estes ataques tipicamente sao realizados utilizando vulnerabilidades de injeção de código, onde o atacante consegue inserir código de outro site para ser executado no servidor WWW da vítima. Estas vulnerabilidades, caso exploradas com sucesso, podem permitir a execução remota de código no servidor WWW atacado.

Recentemente, foi divulgada uma falha de injeção de código no componente XMLRPC, muito utilizado por diversas aplicações em PHP, o que torna qualquer aplicação que utilize uma versão desatualizada deste componente vulnerável a este tipo de ataque.

De acordo com informações do Internet Storm Center, esta vulnerabilidade esta sendo explorada por pelo menos três tipos diferentes de ferramentas que instalam programas maliciosos e bots nas máquinas invadidas. Como existe a possibilidade dessa vulnerabilidade ser utilizada para criação de um worm, o CAIS recomenda que as atualizações sejam aplicadas o mais rápido possível.

Este tipo de ataque pode ser detectado através da seguinte assinatura para o IDS Snort, disponível no conjunto de regras bleedingsnort (http://www.bleedingsnort.com):

alert tcp $EXTERNAL_NET any -> $HTTP_SERVERS $HTTP_PORTS \
(msg:"BLEEDING-EDGE EXPLOIT XML-RPC for PHP Remote Code Injection"; \
flow:established,to_server; content:"POST"; depth:4; nocase; \
uricontent:"xmlrpc.php"; content:"methodCall"; nocase; \
pcre:"/>.*\'\s*\)\s*\)*\s*\;/"; \
reference:url,www.securityfocus.com/bid/14088/exploit; \
reference:cve,2005-1921; classtype: web-application-attack; sid:2002158; \
rev:2;)

Sistemas afetados:

Qualquer aplicação que utilize o componente XMLRPC versão 1.1 ou inferior, incluindo:

• Xoops 2.0.12 e anteriores
• WordPress 1.5.1 e anteriores
• TikiWiki 1.8.4 e anteriores
• Seagull PHP Framework 0.4.3 e anteriores
• Serendipity 0.8.1 e anteriores
• PostNuke 0.76 RC4b e anteriores
• phpWebsite 0.10.1 e anteriores
• phpPgAds 2.0.6 e anteriores
• phpMyFAQ 1.5 RC4 e anteriores
• PHPGroupWare 0.9.16 RC3 e anteriores
• phpAdsNew 2.0.4 -pr2 e anteriores
• PHP-Wiki 1.3.11 _rc3 e anteriores
• PEAR XML_RPC 1.3 RC3 e anteriores
• Nucleus CMS Nucleus CMS 3.2 e anteriores
• MySQL AB Eventum 1.5.4 e anteriores
• MAXdev MD-Pro 1.0.72 e anteriores
• MailWatch for MailScanner 1.0 e anteriores
• eGroupWare 1.0.6 e anteriores
• Drupal 4.6.1 e anteriores
• CivicSpace 0.8.1 e anteriores
• BLOG:CMS 3.6.4 e anteriores
• Ampache 3.3.1 e anteriores

Lembramos que esta lista não é exaustiva, e que outros produtos além dos listados acima podem estar vulneráveis.

Correções disponíveis:

Recomenda-se atualizar as bibliotecas XMLRPC para PHP para a versão mais atual. Veja o link abaixo para maiores informações:

• http://sourceforge.net/project/showfiles.php?group_id=34455

Adicionalmente, recomenda-se checar os sites dos respectivos produtos afetados para verificar a existência de atualizações específicas.

Mais informações:

• XML-RPC for PHP PHP Code Execution Vulnerability
• XML-RPC for PHP Remote Code Injection Vulnerability
• PHPXMLRPC Library Remote Code Execution
• ISC Handler's Diary
• Advisory 14/2005: PEAR XML_RPC Remote PHP Code Injection Vulnerability

O CAIS recomenda que os administradores mantenham seus sistemas e aplicativos sempre atualizados, de acordo com as últimas versões e correções oferecidas pelos fabricantes.

O CAIS Alerta também é oferecido no formato RSS/RDF:
http://www.rnp.br/cais/alertas/rss.xml

Contato com o Cais:

+55 (19) 3787-3300
+55 (19) 3787-3301

cais@cais.rnp.br

Chave PGP pública do Cais