Mambo-Wurm wühlt sich durchs Netz
Der Linux-Wurm Linux/Elxbot nutzt eine kürzlich gemeldete Schwachstelle im Mambo-Content-Management-System, um Server zu infizieren und sich dort einzunisten.
Der Linux-Wurm Linux/Elxbot nutzt eine kürzlich gemeldete Schwachstelle im Mambo-Content-Management-System, um Server zu infizieren und sich dort einzunisten. Nach der Infektion horcht der Wurm auf die Befehle des Botnetz-Betreibers und bietet diesem eine Fülle von (Schad-)Funktionen an.
Als Einfallstor dient die Lücke in der register_globals-Emulation von Mambo, wodurch sich beliebige Skripte in das CMS einschleusen und zur Ausführung bringen lassen. Die eigentliche Funktion der Emulation ist es, nicht auf die gefährliche PHP-Option register_globals angewiesen zu sein, die Angreifern ebenfalls Tür und Tor öffnet.
Der Wurm nutzt die Suchmaschine Google, um verwundbare Systeme aufzuspüren. Hat er ein System infiziert, baut er eine Verbindung zu einem IRC-Server auf und horcht dort auf die Befehle seines Herrchens. Der Wurm hat Funktionen integriert, die das Ausführen beliebiger Befehle, das Öffnen einer Shell, TCP-Floods, UDP-Floods, HTTP-Floods sowie Portscans erlauben; außerdem kann der Wurm auf Anfrage auch weitere Ziele über Google suchen.
Die Mambo-Entwickler haben laut Changelog das Sicherheitsleck am 23. November gestopft, die seit dem 30. November verfügbare Version 4.5.3 sollte daher nicht anfällig sein. Administratoren sollten zügig die eingesetzte Version aktualisieren.
Siehe dazu auch: (dmk)
- Mambo worm in the wild von Outpost24
- Download der aktuellen Mambo-Versionen
- Ankündigung der fehlerbereinigten Mambo-Version
- Kritische Lücke in Content Management System Mambo, Meldung auf heise Security
