Priljubljeni sistem phpBB za upravljanje spletnih forumov v verzijah do vključno 2.0.10 vsebuje ranljivost, ki omogoča izvajanje poljubne kode in posledično razobličenje spletnih strežnikov, namestitev stranskih vrat ali orodij za izvedbo napadov s poplavo podatkov (DDoS, “distributed denial-of-service”).
Opis
phpBB je razširjen sistem za upravljanje spletnih forumov, ki teče na spletnih strežnikih s podporo za skriptni jezik php. Ranljive verzije phpBB (do vključno 2.0.10) nepravilno obravnavajo highlight parameter, podan strani viewtopic.php. Ta ranljivost omogoča izvedbo poljubne kode na strežniku, ki ima nameščen ranljiv phpBB sistem.
Rešitev
Vsem upraviteljem phpBB strežnikov svetujemo takojšnjo nadgradnjo na verzijo 2.0.11.
Opaženi incidenti
Le kakšen dan po objavi popravka za phpBB, ki odpravi varnostno luknjo, se je pojavil črv Santy.A, ki je samodejno iskal ranljive strežnike preko iskalnika Google.com. Črv je izvajal avtomatska razobličevanja (angl. defacement) spletnih strežnikov. Googlova skupina za informacijsko varnost (GIST, Google Information Security Team) je kmalu za tem omejila delovanje črva tako, da so preprečili iskanje po nizih, ki jih črv uporablja za identifikacijo ranljivih sistemov. Hitrost ukrepanja Googlove GIST skupine je omejila širjenje črva, vendar pa je mogoče pričakovati njegove različice, ki bodo uporabljale druge internetne iskalnike, ali drugače oblikovane iskalne nize. Dodajanje omejitev na iskalnike tudi ni najbolj primerna rešitev problema ranljivosti phpBB sistema in se jo lahko smatra le kot začasen ukrep za omejevanje škode pri masovnih izbruhih internet črvov.
SI-CERT je danes prejel obvestilo o varnostnem incidentu, kjer je napadalec uporabil slovenski internetni iskalnik za iskanje ranljivih strežnikov z namenom vdora v sistem. Po uspešnem vdoru je napadalec namestil stranska vrata za nemoten dostop do sistema in orodje, ki omogoča napad s poplavo podatkov.
Poudariti velja , da iskalniki le opravljajo svojo nalogo s tem, ko prikažejo ustrezne rezultate in da jih ne gre kriviti za to, da se lahko rezultate iskanja uporabi v opisan namen.