Document Actions

"ICT Security" Editoriale(n.°31, febbraio 2005): PHP Worm

Il worm che ha colpito a Natale ed il caso Jessica ...

Avevamo accennato al problema nel numero di settembre: le prossime minacce dovrebbero venire da errori di programmazione ad alto livello. A fine dicembre si è rapidamente diffuso il worm Santy. Si tratta di un malware che attacca le installazioni phpBB (una diffusa soluzione per integrare forum nei siti internet) causando come unico danno la sostituzione di tutti i file .asp, .htm, .jsp, .php, .phtm, .shtm del sito con una pagina nera con la scritta “NeverEverNoSanity WebWorm” in rosso.Utilizza poi una normale chiamata al motore di ricerca Google per trovare ulteriori server vulnerabili e quindi diffondere l’infezione (Google ha già provveduto a bloccare le query usate dal worm), una tecnica già usata da MyDoom per procurarsi indirizzi di posta su cui spedirsi. Santy (http://isc.sans.org/diary.php?date=2004-12-21) sfrutta una vulnerabilità nota da ottobre (http://securityfocus.com/archive/1/380993). In presenza della direttiva PHP magic_quotes_gpc la funzione PHP urldecode permette di passare dei caratteri di escape (normalmente non consentiti) alla procedura preg_replace la quale, a causa di un “pattern modify” (/e) con cui viene chiamata, consente di eseguire del codice arbitrario sul sistema remoto. La vulnerabilità era passata quasi inosservata; dal sito hackthissite.org (http://www.hackthissite.org/news/view/107) e da securityfocus.com (http://www.securityfocus.com/archive/1/381510) si può anche sapere che l’autore di phpBB era stato messo al corrente di questa scoperta dal Vulnerability Hunter di nome Jessica. Jessica aveva anche scritto e pubblicato un exploit per questa vulnerabilità, ma a seguito di una polemica nata dalle sue scoperte ha deciso di “ritirarsi” dall’attività ponendo anche off-line il suo sito (http://www.howdark.com). L’autore del worm, scritto in perl, ha basato il codice proprio sull’exploit citato. A distanza di una settimana dal propagarsi di Santy, altri worm dal funzionamento simile sono stati rilevati. Le comuni tecniche di protezione a basso livello (come pagine di memoria non eseguibili o randomizzazione dello stack) sono inefficaci contro questo tipo di attacchi in quanto il worm agisce a livello più alto; consigliamo di aggiornare al più presto la versione di phpBB. Santy se fosse stato inteso, per assonanza con “Santa”, come regalo di Natale sicuramente non è stato gradito dagli amministratori dei 40.000 computer che è riuscito a colpire, tuttavia ha evidenziato le possibilità (ancora da approfond

Emaze Networks S.p.A.

Sections

Document Actions

"ICT Security" Editoriale(n.°31, febbraio 2005): PHP Worm

Home >> "ICT Security" Editoriale(n.°31, febbraio 2005): PHP Worm
Document Actions "ICT Security" Editoriale(n.°31, febbraio 2005): PHP Worm Il worm che ha colpito a Natale ed il caso Jessica ... Avevamo accennato al problema nel numero di settembre: le prossime minacce dovrebbero venire da errori di programmazione ad alto livello. A fine dicembre si è rapidamente diffuso il worm Santy. Si tratta di un malware che attacca le installazioni phpBB (una diffusa soluzione per integrare forum nei siti internet) causando come unico danno la sostituzione di tutti i file .asp, .htm, .jsp, .php, .phtm, .shtm del sito con una pagina nera con la scritta “NeverEverNoSanity WebWorm” in rosso.Utilizza poi una normale chiamata al motore di ricerca Google per trovare ulteriori server vulnerabili e quindi diffondere l’infezione (Google ha già provveduto a bloccare le query usate dal worm), una tecnica già usata da MyDoom per procurarsi indirizzi di posta su cui spedirsi. Santy (http://isc.sans.org/diary.php?date=2004-12-21) sfrutta una vulnerabilità nota da ottobre (http://securityfocus.com/archive/1/380993). In presenza della direttiva PHP magic_quotes_gpc la funzione PHP urldecode permette di passare dei caratteri di escape (normalmente non consentiti) alla procedura preg_replace la quale, a causa di un “pattern modify” (/e) con cui viene chiamata, consente di eseguire del codice arbitrario sul sistema remoto. La vulnerabilità era passata quasi inosservata; dal sito hackthissite.org (http://www.hackthissite.org/news/view/107) e da securityfocus.com (http://www.securityfocus.com/archive/1/381510) si può anche sapere che l’autore di phpBB era stato messo al corrente di questa scoperta dal Vulnerability Hunter di nome Jessica. Jessica aveva anche scritto e pubblicato un exploit per questa vulnerabilità, ma a seguito di una polemica nata dalle sue scoperte ha deciso di “ritirarsi” dall’attività ponendo anche off-line il suo sito (http://www.howdark.com). L’autore del worm, scritto in perl, ha basato il codice proprio sull’exploit citato. A distanza di una settimana dal propagarsi di Santy, altri worm dal funzionamento simile sono stati rilevati. Le comuni tecniche di protezione a basso livello (come pagine di memoria non eseguibili o randomizzazione dello stack) sono inefficaci contro questo tipo di attacchi in quanto il worm agisce a livello più alto; consigliamo di aggiornare al più presto la versione di phpBB. Santy se fosse stato inteso, per assonanza con “Santa”, come regalo di Natale sicuramente non è stato gradito dagli amministratori dei 40.000 computer che è riuscito a colpire, tuttavia ha evidenziato le possibilità (ancora da approfond
© Emaze Networks S.p.A. \| P.IVA 00998050322 \| Terms of use & Copyright