Robak Santy wykorzystuje lukę w phpBB

21 grudnia pojawił się w sieci nowy robak – Santy. Rozprzestrzenia się poprzez błąd w phpBB. Szacuje się, że dotychczas zainfekował ponad 40 tys. komputerów.

Santy wykorzystuje lukę w phpBB – popularnym darmowym pakiecie służącym m.in. do tworzenia forów dyskusyjnych. Błąd ten, dotyczący wersji do 2.0.10, opublikowany został w listopadzie, jednak do tej pory bardzo wiele systemów nie zostało załatanych. Dotyczy on funkcji urldecode i poprzez SQL Injection umożliwia wykonanie na atakowanym komputerze dowolnego kodu php.

Robak napisany jest w perlu. Jego działanie polega na wyszukaniu poprzez Google serwerów na których obecny jest plik viewtopic.php. Następnie robak rozpoczyna atak na komputery z tak wygenerowanej listy. W przypadku sukcesu, nadpisuje pliki z rozszerzeniami asp, htm, jsp, php, phtm i shtm tekstem: This site is defaced!!! NeverEverNoSanity WebWorm generation X.

Jakkolwiek użytkownicy najpopularniejszej wyszukiwarki internetowej nie są bezpośrednio podatni na atak, Google na wniosek firm produkujących oprogramowanie antywirusowe wprowadziło blokady zapytań kierowanych przez robaka.

Serwery korzystające z mechanizmów phpBB powinny zostać jak najszybciej załatane. Nawet w przypadku wygasania działalności robaka, są one wciąż podatne na exploity, które są łatwo dostępne w sieci.

Uaktualnienia phpBB (do wersji 2.0.11) dostępne są pod tym adresem. O robaku Santy przeczytać można m.in. w biuletynie US CERT i w opisie firmy Symantec.

Źródło informacji: CERT Polska