El equipo de phpMyFAQ ha informado que desde el 4 al 15 de diciembre se ha estado descargando una versión del software phpMyFAQ que contenía una puerta trasera. Todo parece indicar que el servidor que alojaba la versión oficial ha sido vulnerado, sustituyéndola por una fraudulenta. Los atacantes también modificaron el hash MD5 en la web que "garantizaba" la integridad del archivo, en un intento de ser detectados en el caso de que algún usuario comprobase la firma del archivo.
phpMyFAQ es una popular aplicación para preguntas y respuestas frecuentes escrito en PHP.
La puerta trasera estaba codificada en base64 y se encontraba en la función getTopTen localizada en el archivo inc/Faq.php. El código fraudulento enviaba un correo electrónico al atacante con la información del servidor donde se encontraba instalada la versión troyanizada. Además añadía una entrada en la tabla faqconfig, por la que los atacantes ejecutaban código PHP arbitrario.
Las versiones afectadas son phpMyFAQ 2.6.11 y 2.6.12.
Los archivos fraudulentos han sido sustituidos y su CVE asignado es CVE-2010-4558.
Si quieren más información pueden visitar: http://www.hispasec.com/unaaldia/4437
No hay comentarios:
Publicar un comentario