Un nuovo web worm (Santy) sta mietendo numerose vittime sul web, sfruttando il famoso motore di ricerca e colpendo i forum di tutto il mondo che girano su una versione vulnerabile di phpBB (Popolare Bulletin Board). La vulnerabilità è di tipo “Remote URLDecode Input Validation” ed è riportata in phpBB nel file viewtopic.php: nel processare la variabile ‘highlight’ consente l’esecuzione da remoto di comandi arbitrari nel sistema. E’ possibile sfruttare questa vulnerabilità tramite URL appositamente modificati che consentono di eseguire comandi nel sistema ed il codice sarà eseguito con i privilegi del server web.

Questa nuova generazione di worm sfrutta la potenza di ricerca di Google per diffondersi. Se prima uno di questi codici maligni, per propagarsi, doveva passare da pc a pc (attraverso l’uso di floppy, cdrom o lan), oggi si sono evoluti e hanno pensato bene di spostarsi sul web e per diffondersi utilizzano l’autostrada più veloce al mondo: Google.
L’ultimo worm che ha sfruttato la ricerca di Google è stato MyDoom per trovare indirizzi email a cui autospedirsi.
Santy è particolare perchè unisce due delle tecniche più usate dagli hacker di tutto il mondo: usare la query di google per scovare siti vulnerabili (attraverso il file viewtopic.php), e sfruttare le vulnerabilità “calde” e diffuse.

Provate a cercare su Google: viewtopic.php. Troverete 7.900.000 di pagine i cui siti hanno installato una versione di phpBB e quasi la totalità di essi non ha aggiornato il proprio forum alla ultima versione 2.0.11 che dovrebbe risolvere la vulnerabilità.

Ovviamente Santy, scritto in Perl, è un codicillo intelligente che va a caccia delle versioni della phpBB 2 precedenti alla 2.0.11, di cui è nota la vulnerabilità. Per cui la sua query sarà un pò più complessa: nei log file di alcuni server colpiti da Santy si trova:

. . . viewtopic.php?. . .highlight=%2527%252Efwrite(fopen(chr(109)%252echr(49)%252e

Dalle prime indagine però sembra che il worm usi parametri con ricerche casuali per cercare links che portano ai file ‘ viewfiles.php’ linkati a siti phpBB.
Lo script perl usa Socket.pm per settare connessioni HTTP generando un header come il seguente :

GET $res HTTP/1.0 Host: $host Accept:*/* Accept-Language: en-us,en-gb;q=0.7,en;q=0.3 Pragma: no-cache Cache-Control: no-cache Referer:http://" . $host . $res . User-Agent: Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1) Connection: close

Per bloccarne la diffusione, Google ha attivato il blocco delle query usate dal worm. Questo blocco, destinato a non influenzare l’uso del motore da parte degli utenti, secondo gli esperti antivirus limiterà enormemente la diffusione ulteriore di Santy.

Non ci sono pericoli per gli utenti che si collegano ai siti, ma questi ultimi se infetti risultano defacciati. L’infezione prevede la sostituzione di tutti i files .htm .php .asp .shtm .jsp .phtm con un semplice codice testuale: “This site is defaced!!! NeverEverNoSanity WebWorm generation X”, dove X rappresenta un numero identificativo della generazione di discendenza dal worm originario. Va anche detto che il defacement è l’unico danno provocato dal worm.

Dalle prime indagini sembra che il worm sia stato creato da una crew brasialiana per testare ed ottenere una lista di email valide.

Condividi