התגלתה דלת אחורית בגרסא 3.5.2.2 של phpMyAdmin

לפי הפרסומים באתר הבית של המערכת לניהול מסדי נתונים phpMyAdmin, זוהו מספר דלתות-אחוריות שהוכנסו במהלך הפצתה של הגרסא 3.5.2.2 (אחת הגרסאות האחרונות) של המערכת.

האירוע קיבל את המספר הסידורי "PMASA-2012-5", וניתן לראות את הפרסום עליו בקישור הבא:
http://www.phpmyadmin.net/home_page/security/PMASA-2012-5.php 
 
על פי אותם פרסומים, אחד משרתי המראה של SourceForge.net המשתמש כשרת מרכזי להפצת המערכת נפרץ, והגרסא האחרונה של המערכת הוחלפה באחת עם מספר דלתות אחוריות (במהלך הפרסום התגלו 2, אך יש סיכוי כי קיימות נוספות שיתגלו בעתיד), שם החבילה שהוחלפה היינו: phpMyAdmin-3.5.2.2-all-languages.zip.
 
השינויים שבוצעו בה הם:
  • הוספת קובץ חדש בשם: "server_sync.php".
  • שינוי קובץ קיים בשם: "js/cross_framing_protection.js".
 
הקובץ שהתווסף ("server_sync.php") כולל את הקוד הבא:
  
  
נראה שהדיווח הראשוני על כך היה בבלוג של חברה סינית בשם Wooyun ו-Tencent:
http://www.wooyun.org/bugs/wooyun-2010-012705#0-tsina-1-27413-397232819ff9a47a7b7e80a40613cfe1 
http://security.tencent.com
 
בדיווח ניתן לראות את הקובץ שהוחדר לחבילה:
[במקור: http://www.wooyun.org/bugs/wooyun-2010-012705]
[במקור: http://www.wooyun.org/bugs/wooyun-2010-012705

אופן הניצול פשוט למדי, אך פחות מ-24 שעות וכבר יצאו כלים אוטומטיים לניצולו:
http://dev.metasploit.com/redmine/.../exploits/multi/http/phpmyadmin_3522_backdoor.rb
 
לפי הדיווחים רק שרת אחד של SourceForge ושונה - ממליץ לכולם לבדוק את גרסאות ה-phpMyAdmin שהורדתם לאחרונה, ובכלל, בזמן הקרוב הייתי חושד בכל קוד שהורדתם מהשרתים של SourceForge.
 
לדעתי, חשוב להדגיש, כי למרות שהמקרה הנ"ל משליך ישירות על האבטחה של גרסא זו של הפרויקט, אין זאת אשמת המפתחים, והמקרה הנ"ל לא מעיד על רמת האבטחה של המוצר (ולא, אין לי אחוזים בו)...
 
שלושה דברים מעניינים אותי במיוחד:
הראשון - מעניין האם בקרוב נגלה עוד חבילות שהתוכן שלהם שונה (או לחלופין - דלתות נוספות בפרוייקט הנ"ל)
השני - מעניין למה התוקפים בחרו ליצור את הדלת האחורית בצורה כל כך גלויה, ברור לי שהם יכלו לעשות זאת בצורה הרבה יותר נסתרת.
והשלישי - כמה פעמים הוחלפו פרויקטים כאלה בפרויקטים "מלוכלכים" ולא שמנו לב לכך.
 
 
 


תגובות על 'התגלתה דלת אחורית בגרסא 3.5.2.2 של phpMyAdmin':



#1 

שמיל (אורח):
מפחיד!
מעניין שלאחר שקראתי את הפוסט ישר חשבתי על שלושת הנקודות שהצגת בסוף. הנקודה המפחידה ביותר לדעתי היא השלישית...
27.09.2012 00:33:40

#2 

Dm12 (אורח):
תודה רבה על העדכון! אני משתמש במערכת הזאת על בסיס יום-יומי! למזלי עדיין לא עברתי לגרסה החדשה... אתם ממליצים לי שברגע שהעניינים יסתדרו שם לעדכן לגרסה הזאת? ראיתי שתוקנו שם מספר בעיות אבטחה שונות... יש סיכוי שיהיו שם עוד דלתות אחוריות שעוד לא גילו? מה אתם אומרים?

אגב, יצא כבר אקספלויט למטה-ספלויט שמנצל את זה:

http://packetstormsecurity.org/files/116878/phpMyAdmin-3.5.2.2-server_sync.php-Backdoor.html
27.09.2012 01:13:58

#3 

cp77fk4r:
Dm12, אני ממליץ לחכות, תראה לאיפה כל הסיפור הזה מתפתח.
בקשר לאקספלויט - שיםמלב שזה אותו קוד שפרסמתי בכתבה.
27.09.2012 06:47:09

#4 

iTK98:
לפני מספר חודשים כתבתי פוסט בבינארי על איך להגן על מערכות ניהול בעזרת תעודות SSL (תעודות קלינט), ממליץ לכל מנהל מערכת ליישם את השיטה על מערכות רגישות.
שימוש בתעודות קלינט יגן על ספריה\vhost, כל עוד הסקריפט אינו יוצר חיבור יזום החוצה. לכן במקרה הזה שחייבים לשלוח בקשה מבחוץ לסקריפט הקלינט יתבקש לספק תעודת קלינט ויחסם מלגשת לקובץ הסורר.

http://www.binaryvision.org.il/?p=1148
27.09.2012 12:44:13

#5 

שמיל (אורח):
תודה רבה!
27.09.2012 18:44:47

#6 

דביר (אורח):
תודה רבה על העדכון! ו-iTK98 - פוסט מעולה!
27.09.2012 23:19:59

#7 

שמיל (אורח):
עוד קצת מידע:

מדובר על אחד משרתי המראה המשרתים את קוריאה, שם השרת "cdnetworks-kr-1" ועד הפרסום הספיקו להוריד את החבילה הנגועה כ-400 משתמשים (וכמובן שלאחר הפרסום, הורידו את החליפו את החבילה בחזרה).

את המידע הבאתי מהבלוג של SourceForge בקישור הבא:
http://sourceforge.net/blog/phpmyadmin-back-door

הייתי רוצה הוסיף עוד שאלה:
האם לאותם התוקפים שהחליפו את החבילה יש גישה חוזרת לשם? אם כן - הם יכולים, בכל זמן, להחזיר את הדלת האחורית לחבילה...
29.09.2012 13:44:37

#8 

Exodus (אורח):
Lol?
07.10.2012 09:38:23



הוסף את תגובתך:
כינוי:
תגובה:
קוד אבטחה:
העתק לכאן את הקוד:
 
Digital Whisper © 2009 - 2017 - כל הזכויות שמורות ל-אפיק קסטיאל ול-ניר אדר.