Alert GCSA-09109 - Vulnerabilita' in TWiki puo' causare attacchi
-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1
******************************************************************
Alert ID : GCSA-09109
Data : 12 Novembre 2009
Titolo : Vulnerabilita' in TWiki SEARCH variable
******************************************************************
:: Descrizione del problema
In questi giorni sono in corso numerosi DoS UDP che coinvolgono la rete
GARR, nella maggior parte dei casi il problema e' dovuto ad una stessa
causa, il diffondersi su larga scala di un exploit che sfrutta una
vecchia vulnerabilita' del sistema wiki denominato TWiki.
La vulnerabilita' e' dovuta ad un errore nella validazione dell'input
durante il parsing della variabile TWiki %SEARCH{}% che in questo
momento e' pesantemente sfruttata da attaccanti remoti per eseguire
comandi di shell, perl e codice arbitrario con i privilegi dell'utente HTTP.
Per quanto riguarda la comunita' GARR abbiamo osservato che la
vulnerabilita' viene rilevata da qualche BoT IRC. Eseguendo da remoto
alcuni script automatici, vengono verificati l'utente con cui gira
HTTPd, il sistema operativo della macchina, la directory di lavoro. A
seconda dei casi l'attaccante decide in quale directory installare il
BoT IRC. Se HTTPd gira come 'nobody' il BoT viene installato nella directory
/tmp.
Il BoT e' principalmente utilizzato per compiere DoS UDP
verso alcuni host prefissati.
Il programma di installazione del BoT viene scaricato all'indirizzo:
http://64.213.144.244/d/u
http://64.213.144.244/d/m
http://64.213.144.244/d/a
a seconda dei diversi utilizzi da far compiere al BoT
Il server IRC a cui si collega il BoT risulta essere
inside.nocebo.ca sulla porta 8080
:: Software interessato
* TWikiRelease04x02x03 -- TWiki-4.2.3
* TWikiRelease04x02x02 -- TWiki-4.2.2
* TWikiRelease04x02x01 -- TWiki-4.2.1
* TWikiRelease04x02x00 -- TWiki-4.2.0
* TWikiRelease04x01x02 -- TWiki-4.1.2
* TWikiRelease04x01x01 -- TWiki-4.1.1
* TWikiRelease04x01x00 -- TWiki-4.1.0
* TWikiRelease04x00x05 -- TWiki-4.0.5
* TWikiRelease04x00x04 -- TWiki-4.0.4
* TWikiRelease04x00x03 -- TWiki-4.0.3
* TWikiRelease04x00x02 -- TWiki-4.0.2
* TWikiRelease04x00x01 -- TWiki-4.0.1
* TWikiRelease04x00x00 -- TWiki-4.0.0
:: Impatto
Esecuzione da remoto di codice arbitrario
:: Soluzioni
Applicare le patch o le hotfix come indicato da TWiki
http://twiki.org/cgi-bin/view/Codev/SecurityAlert-CVE-2008-5305
:: Riferimenti
TWiki
http://twiki.org/cgi-bin/view/Codev/SecurityAlert-CVE-2008-5305
SecurityFocus:
http://www.securityfocus.com/bid/32668
VuPEN:
http://www.vupen.com/english/advisories/2008/3381
Secunia
http://secunia.com/advisories/33040
Mitre's CVE ID
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2008-5305
-----BEGIN PGP SIGNATURE-----
iQCVAwUBSvwgbfOB+SpikaiRAQK8sAP/WpP95RospbTdqp/UqmU5pvsl7kr6U1SK
OyrtrhIqU4Hfx4ThLDYfQktJvHqzQFNm2nnvCp6rikC62Nnyr1eygOOh1BFFHJdr
Q6L2jRze0wvQMW5smwWVZnqSl6sspTPp/6wfn2bb06JWXicbp3tAdHUEvRyyfjms
oH9DyMrJVC0=
=Bqj9
-----END PGP SIGNATURE-----
Hash: SHA1
******************************************************************
Alert ID : GCSA-09109
Data : 12 Novembre 2009
Titolo : Vulnerabilita' in TWiki SEARCH variable
******************************************************************
:: Descrizione del problema
In questi giorni sono in corso numerosi DoS UDP che coinvolgono la rete
GARR, nella maggior parte dei casi il problema e' dovuto ad una stessa
causa, il diffondersi su larga scala di un exploit che sfrutta una
vecchia vulnerabilita' del sistema wiki denominato TWiki.
La vulnerabilita' e' dovuta ad un errore nella validazione dell'input
durante il parsing della variabile TWiki %SEARCH{}% che in questo
momento e' pesantemente sfruttata da attaccanti remoti per eseguire
comandi di shell, perl e codice arbitrario con i privilegi dell'utente HTTP.
Per quanto riguarda la comunita' GARR abbiamo osservato che la
vulnerabilita' viene rilevata da qualche BoT IRC. Eseguendo da remoto
alcuni script automatici, vengono verificati l'utente con cui gira
HTTPd, il sistema operativo della macchina, la directory di lavoro. A
seconda dei casi l'attaccante decide in quale directory installare il
BoT IRC. Se HTTPd gira come 'nobody' il BoT viene installato nella directory
/tmp.
Il BoT e' principalmente utilizzato per compiere DoS UDP
verso alcuni host prefissati.
Il programma di installazione del BoT viene scaricato all'indirizzo:
http://64.213.144.244/d/u
http://64.213.144.244/d/m
http://64.213.144.244/d/a
a seconda dei diversi utilizzi da far compiere al BoT
Il server IRC a cui si collega il BoT risulta essere
inside.nocebo.ca sulla porta 8080
:: Software interessato
* TWikiRelease04x02x03 -- TWiki-4.2.3
* TWikiRelease04x02x02 -- TWiki-4.2.2
* TWikiRelease04x02x01 -- TWiki-4.2.1
* TWikiRelease04x02x00 -- TWiki-4.2.0
* TWikiRelease04x01x02 -- TWiki-4.1.2
* TWikiRelease04x01x01 -- TWiki-4.1.1
* TWikiRelease04x01x00 -- TWiki-4.1.0
* TWikiRelease04x00x05 -- TWiki-4.0.5
* TWikiRelease04x00x04 -- TWiki-4.0.4
* TWikiRelease04x00x03 -- TWiki-4.0.3
* TWikiRelease04x00x02 -- TWiki-4.0.2
* TWikiRelease04x00x01 -- TWiki-4.0.1
* TWikiRelease04x00x00 -- TWiki-4.0.0
:: Impatto
Esecuzione da remoto di codice arbitrario
:: Soluzioni
Applicare le patch o le hotfix come indicato da TWiki
http://twiki.org/cgi-bin/view/Codev/SecurityAlert-CVE-2008-5305
:: Riferimenti
TWiki
http://twiki.org/cgi-bin/view/Codev/SecurityAlert-CVE-2008-5305
SecurityFocus:
http://www.securityfocus.com/bid/32668
VuPEN:
http://www.vupen.com/english/advisories/2008/3381
Secunia
http://secunia.com/advisories/33040
Mitre's CVE ID
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2008-5305
-----BEGIN PGP SIGNATURE-----
iQCVAwUBSvwgbfOB+SpikaiRAQK8sAP/WpP95RospbTdqp/UqmU5pvsl7kr6U1SK
OyrtrhIqU4Hfx4ThLDYfQktJvHqzQFNm2nnvCp6rikC62Nnyr1eygOOh1BFFHJdr
Q6L2jRze0wvQMW5smwWVZnqSl6sspTPp/6wfn2bb06JWXicbp3tAdHUEvRyyfjms
oH9DyMrJVC0=
=Bqj9
-----END PGP SIGNATURE-----