Linux bersaglio di un worm buca-PHP

Un worm cerca di propagarsi in rete sfruttando una vulnerabilità del famoso linguaggio di scripting open source. Già avvistata una variante con altri due exploit
Un worm cerca di propagarsi in rete sfruttando una vulnerabilità del famoso linguaggio di scripting open source. Già avvistata una variante con altri due exploit


Roma – Negli scorsi giorni è stato identificato un worm per Linux, battezzato Lupper , capace di sfruttare una recente vulnerabilità di PHP. Il vermicello fa leva sulla falla XML-RPC , contenuta in alcune librerie del noto linguaggio di scripting open source, per compromettere i server web su cui gira Linux e installarvi delle backdoor.

McAfee spiega in questo advisory che Lupper è una versione modificata di Slapper , uno dei rari worm per Linux ad essersi guadagnato una certa notorietà. Ma, a differenza del suo illustre predecessore, Lupper non sembra particolarmente pericoloso: il vermicello è infatti in grado di penetrare, attraverso la porta 80, solo sui server configurati per consentire l’esecuzione di comandi di shell dall’esterno e il download di file da remoto nell’ambiente PHP/CGI. Va poi aggiunto che la vulnerabilità XML-RPC, che ha interessato applicazioni come PostNuke, Drupal, b2evolution, Xoops, WordPress, PHPGroupWare e TikiWiki, è stata corretta all’inizio dell’estate.

Lupper installa sui computer compromessi alcune backdoor e un cavallo di Troia capace di comunicare, in modalità peer-to-peer, con gli altri sistemi infetti. Un tale network può essere utilizzato per lanciare attacchi di tipo Distributed Denial of Service (DDoS) o per raccogliere indirizzi e-mail da utilizzare per l’invio di spam.

Di Lupper esiste già una variante, chiamata Lupper.B o Plupii , che opera in modo simile al worm originale ma, in più, è in grado di sfruttare una vulnerabilità nei programmi AWStats e Webhints.

Una descrizione tecnica di entrambi i worm è stata pubblicata qui dall’Internet Storm Centre del SANS Institute .

Link copiato negli appunti

Ti potrebbe interessare

07 11 2005
Link copiato negli appunti