Derzeit breitet sich der Wurm Santy aus, der Webserver infiziert, auf denen eine verwundbare Version der freinen Forensoftware phpBB installiert ist. Nach erfolgreicher Infektion nutzt er die Suchmaschine Google, um nach weiteren verwundbaren Systemen zu suchen. Seit 2004-12-22 blockiert Google Anfragen die die Syntax der Anfragen des Wurmes aufweisen.

Betroffene Systeme

• phpBB der Versionen vor 2.0.11

Nicht betroffene Systeme

• phpBB ab Version 2.0.11
• Systeme, die mit entsprechenden Vendor-Patches zur Behebung der Schwachstelle versehen sind, die aber i.d.R. nicht die Versionsnummer ändern.

Einfallstor
Spezielle Anfrage an den beherbergenden Webserver. Diese besitzen i.a. die folgende Syntax:

    http://www.example.com/viewtopic.php?t=1&highlight=%2527

Auswirkung
Ausführung beliebigen Programmcodes mit den Privilegien des PHP-Interpreters, bzw. des Webservers auf dem beherbergenden Rechnersystem über eine Netzwerkverbindung (remote user compromise)
Bei Infektion durch den Wurm Santy:

• Überschreiben aller zugreifbaren Dateien mit den Endungen .htm, .php, .asp, .shtm, .jsp und .phtm mit veränderten Inhalten, die das Defacement offensichtlich machen
• Installation einer Kopie des Wurmcodes
• Absetzen von Anfragen an die Suchmaschine Google um Systeme zu finden, die eine Seite mit dem String viewtopic.php im URL enthalten

Angriffssignatur

• Angriffe auf einen Webserver produzieren signifikante Einträge in den Logfiles von Webservern. Ein Beispiel ist unter http://lists.sans.org/pipermail/unisog/2004-December/015621.html zu finden.
• Auf erfolgreich infizierten Systemen wird folgender Inhalt in die manipulierten Dateien geschrieben

  <!DOCTYPE HTML PUBLIC "-//IETF//DTD HTML 2.0//EN">
          <HTML><HEAD><TITLE>This site is defaced!!!</TITLE></HEAD>
  
          <BODY bgcolor="#000000" text="#FF0000">;
          <H1>This site is defaced!!!</H1>;
          <HR>;
          <ADDRESS>< b>NeverEverNoSanity WebWorm generation } .
   $generation .q{.</b></ADDRESS>
          </BODY>
          </HTML>
  

  Wobei der String $generation durch eine Zahl ersetzt ist, die die Generation des Wurmes angibt.

Typ der Verwundbarkeit
buffer overflow bug

Gefahrenpotential
hoch
(Hinweise zur Einstufung des Gefahrenpotentials.)

Beschreibung
Der sich zur Zeit verbreitende, Perl-basierte Santy Wurm nutzt eine im November bekannt gewordene Schwachstelle in der PHP-basierten Forensoftware phpBB vor der Version 2.0.11 aus. Die Ausnutzung der Schwachstelle kann zur Ausführung beliebigen Programmcodes auf dem beherbergenden Rechnersystem mit den Privilegien des PHP-Interpreters bzw. Webservers führen.

Der Wurm verwendet die Suchmaschine Google um Systeme zu finden, die eine Seite mit dem String viewtopic.php im URL enthalten und daher mutmaßlich phpBB einsetzen. Er versucht, bei gefundenen verwundbaren Systemen die Schwachstelle auszunutzen. Nach erfolgreicher Kompromittierung eines verwundbaren Systems, manipuliert der Wurm dort alle schreibbaren Dateien mit den Endungen .htm, .php, .asp, .shtm, .jsp und .phtm in der Weise, daß die beherbergte Website entstellt wird (defacement). Weiterhin installiert er eine Kopie des Wurmcodes, der seinerseits neue Seiten sucht.

Das implementierte Suchverfahren nach weitern verwundbaren Systemen produziert zwar auch vermeintliche Treffer (beispielsweise Seiten, die Links mit dem entsprechenden Suchstring enthalten, auf deren beherbergenden Webservern selbst jedoch kein phpBB installiert ist) erreicht jedoch offenbar trotzdem eine signifikante Ausbreitungsrate.

Update (2004-12-22)
Seit dem 2004-12-22 blockiert Google Anfragen, die die Syntax der Anfragen des Wurmes zum Auffinden verwundbarer Systeme aufweisen. (SANS Diary Update)

Gegenmaßnahmen

• Installation eines Patches
• Installation von phpBB Version 2.0.11 oder akueller

Exploit Status

• Malware ist in Umlauf (Santy)

Weitere Information zu diesem Thema

• Beitrag im phpBB eigenen Forum
• Securiteam Advisory zur zugrundeliegeneden Schwachstelle
• Meldung von Kaspersky
• Meldung von F-Secure

Revisonen dieser Meldung

• V 1.0 Als Kurzmeldung veröffentlicht (2004-12-21)
• V 1.1 Zur Vollmeldung erweitert (2004-12-22)
• V 1.2 Update, Google blockiert Anfragen,
  Syntax der Anfrage zum Angriff auf ein verwundbares System hinzugefügt,
  Sektion "Angriffssignatur" hinzugefügt.
  (2004-12-22)

Weitere Artikel zu diesem Thema:

• [Generic/phpBB] Weitere Schwachstelle im Highlighting-Code von phpBB - Angriffe erfolgen (2005-06-30)
  Eine Schwachstelle im Highligting-Code der Forensoftware phpBB der Version 2.0.15 ermöglicht Angreifern die Ausführung beliebigen Programmcodes mit den Privilegien des PHP-Interpreters auf dem beherbergenden Rechnersystem.
  Das RUS-CERT beobachtet bereits Angriffsversuche.
  
• [Generic/phpBB] Zwei Schwachstellen in phpBB 2.0.12 (2005-03-01)
  Eine Schwachstelle in der im Dezember veröffentlichten Version 2.0.12 der Forensoftware phpBB ermöglicht Angreifern die Erlangung von phpBB-Administratorrechten. Eine weitere Schwachstelle im Skript viewtopic.php ermöglicht Angreifern, den kompletten Pfad zu ermitteln, unter dem das Skript auf dem beherbergenden Rechnersystem installiert ist. Die phpBB Version 2.0.13 behebt beide Probleme.
  (Diese Schwachstellen sind verschieden von den zwei Schwachstellen, die im Dezember 2004 mit der Veröffentlichung der Version 2.0.12 behoben wurden.)

Hinweis
Die in diesem Text enthaltene Information wurde für die Mitglieder der Universität Stuttgart recherchiert und zusammengestellt. Die Universität Stuttgart übernimmt keinerlei Haftung für die Inhalte. Dieser Artikel darf ausschließlich in unveränderter Form und nur zusammen mit diesem Hinweis sowie dem folgenden Copyrightverweis veröffentlicht werden. Eine Veröffentlichung unter diesen Bedingungen an anderer Stelle ist ausdrücklich gestattet.

Copyright © 2022 RUS-CERT, Universität Stuttgart, https://cert.uni-stuttgart.de/