Roma – Negli scorsi giorni è stato identificato un worm per Linux, battezzato Lupper , capace di sfruttare una recente vulnerabilità di PHP. Il vermicello fa leva sulla falla XML-RPC , contenuta in alcune librerie del noto linguaggio di scripting open source, per compromettere i server web su cui gira Linux e installarvi delle backdoor.
McAfee spiega in questo advisory che Lupper è una versione modificata di Slapper , uno dei rari worm per Linux ad essersi guadagnato una certa notorietà. Ma, a differenza del suo illustre predecessore, Lupper non sembra particolarmente pericoloso: il vermicello è infatti in grado di penetrare, attraverso la porta 80, solo sui server configurati per consentire l’esecuzione di comandi di shell dall’esterno e il download di file da remoto nell’ambiente PHP/CGI. Va poi aggiunto che la vulnerabilità XML-RPC, che ha interessato applicazioni come PostNuke, Drupal, b2evolution, Xoops, WordPress, PHPGroupWare e TikiWiki, è stata corretta all’inizio dell’estate.
Lupper installa sui computer compromessi alcune backdoor e un cavallo di Troia capace di comunicare, in modalità peer-to-peer, con gli altri sistemi infetti. Un tale network può essere utilizzato per lanciare attacchi di tipo Distributed Denial of Service (DDoS) o per raccogliere indirizzi e-mail da utilizzare per l’invio di spam.
Di Lupper esiste già una variante, chiamata Lupper.B o Plupii , che opera in modo simile al worm originale ma, in più, è in grado di sfruttare una vulnerabilità nei programmi AWStats e Webhints.
Una descrizione tecnica di entrambi i worm è stata pubblicata qui dall’Internet Storm Centre del SANS Institute .