PHP-Foren als Angriffsziel
Pünktlich zur Weihnachtszeit wurde wieder ein Exploit zu Schwachstellen in der Foren-Software phpBB veröffentlicht.
Pünktlich zur Weihnachtszeit wurde ein Exploit zu Schwachstellen in der Foren-Software phpBB veröffentlicht. Mit ihm lassen sich auf Systemen, auf denen phpBB in einer Version bis einschließlich 2.0.17 läuft, beliebige Befehle ausführen. Bereits vergangenes Jahr um diese Zeit nutzte der Wurm Santy ähnliche Schwachstellen, um massenweise Web-Server zu entstellen. Ob die in den letzten Tagen bei heise Security vermehrt eingegangenen Berichte über Befälle mit einem Lupper-Wurm bereits mit diesem Exploit in Zusammenhang stehen, ist bisher nicht klar.
Der Exploit sendet POST-Anfragen fĂĽr profile.php?GLOBALS[...], die sich in den Log-Dateien des Web-Servers finden lassen sollten. Ăśber sie versucht er einen neuen User r57phpBB2017xplXXXX anzulegen und dabei den auszufĂĽhrenden Code einzuschleusen. Der Exploit funktioniert nur mit PHP bis einschlieĂźlich Version 5.0.5 wenn register_globals aktiv ist.
Die LĂĽcken in phpBB wurden Ende Oktober durch das "Halloween Special Release", also Version 2.0.18 beseitigt. Betreiber von PHP-Foren insbesondere mit phpBB sollten unbedingt ĂĽberprĂĽfen, ob bereits die aktuelle Version in Betrieb ist und wenn nicht, das Forum sofort stilllegen bis die aktuelle Version installiert wurde.
Siehe dazu auch: (ju)
- Zahlreiche Fehler in Forensoftware phpBB beseitigt auf heise Security
- Remote Command Execution Exploit auf FrSIRT
