Stabsstelle Informationssicherheit der
Universität Stuttgart (RUS-CERT)
https://cert.uni-stuttgart.de
logo
Meldung Nr: RUS-CERT-1233

[Generic/phpBB] Santy Wurm nutzt Schwachstelle in phpBB aus [Update]
(2004-12-21 19:13:54.134082+00)

Quelle: http://isc.sans.org/diary.php?date=2004-12-21

Derzeit breitet sich der Wurm Santy aus, der Webserver infiziert, auf denen eine verwundbare Version der freinen Forensoftware phpBB installiert ist. Nach erfolgreicher Infektion nutzt er die Suchmaschine Google, um nach weiteren verwundbaren Systemen zu suchen. Seit 2004-12-22 blockiert Google Anfragen die die Syntax der Anfragen des Wurmes aufweisen.

Betroffene Systeme

Nicht betroffene Systeme

Einfallstor
Spezielle Anfrage an den beherbergenden Webserver. Diese besitzen i.a. die folgende Syntax:

    http://www.example.com/viewtopic.php?t=1&highlight=%2527

Auswirkung
Ausführung beliebigen Programmcodes mit den Privilegien des PHP-Interpreters, bzw. des Webservers auf dem beherbergenden Rechnersystem über eine Netzwerkverbindung (remote user compromise)
Bei Infektion durch den Wurm Santy:

Angriffssignatur

Typ der Verwundbarkeit
buffer overflow bug

Gefahrenpotential
hoch
(Hinweise zur Einstufung des Gefahrenpotentials.)

Beschreibung
Der sich zur Zeit verbreitende, Perl-basierte Santy Wurm nutzt eine im November bekannt gewordene Schwachstelle in der PHP-basierten Forensoftware phpBB vor der Version 2.0.11 aus. Die Ausnutzung der Schwachstelle kann zur Ausführung beliebigen Programmcodes auf dem beherbergenden Rechnersystem mit den Privilegien des PHP-Interpreters bzw. Webservers führen.

Der Wurm verwendet die Suchmaschine Google um Systeme zu finden, die eine Seite mit dem String viewtopic.php im URL enthalten und daher mutmaßlich phpBB einsetzen. Er versucht, bei gefundenen verwundbaren Systemen die Schwachstelle auszunutzen. Nach erfolgreicher Kompromittierung eines verwundbaren Systems, manipuliert der Wurm dort alle schreibbaren Dateien mit den Endungen .htm, .php, .asp, .shtm, .jsp und .phtm in der Weise, daß die beherbergte Website entstellt wird (defacement). Weiterhin installiert er eine Kopie des Wurmcodes, der seinerseits neue Seiten sucht.

Das implementierte Suchverfahren nach weitern verwundbaren Systemen produziert zwar auch vermeintliche Treffer (beispielsweise Seiten, die Links mit dem entsprechenden Suchstring enthalten, auf deren beherbergenden Webservern selbst jedoch kein phpBB installiert ist) erreicht jedoch offenbar trotzdem eine signifikante Ausbreitungsrate.

Update (2004-12-22)
Seit dem 2004-12-22 blockiert Google Anfragen, die die Syntax der Anfragen des Wurmes zum Auffinden verwundbarer Systeme aufweisen. (SANS Diary Update)

Gegenmaßnahmen

Exploit Status

Weitere Information zu diesem Thema

Revisonen dieser Meldung

(og)

Weitere Artikel zu diesem Thema:

Hinweis
Die in diesem Text enthaltene Information wurde für die Mitglieder der Universität Stuttgart recherchiert und zusammengestellt. Die Universität Stuttgart übernimmt keinerlei Haftung für die Inhalte. Dieser Artikel darf ausschließlich in unveränderter Form und nur zusammen mit diesem Hinweis sowie dem folgenden Copyrightverweis veröffentlicht werden. Eine Veröffentlichung unter diesen Bedingungen an anderer Stelle ist ausdrücklich gestattet.

Copyright © 2022 RUS-CERT, Universität Stuttgart, https://cert.uni-stuttgart.de/


https://cert.uni-stuttgart.de/ticker/article.php?mid=1233