phpHet Internet Storm Center (ISC) waarschuwt dat een ernstig lek in PHP dat begin mei werd gepatcht, actief misbruikt wordt om servers mee aan te vallen. Het gaat om kwetsbaarheid CVE-2012-1823, die door de Nederlandse Capture The Flag-groep Eindbazen werd ontdekt. Via het lek is het mogelijk om willekeurige code op servers uit te voeren. 


Al na het uitkomen van de update werd duidelijk dat het lek zeer interessant voor aanvallers is en werden de eerste aanvallen al waargenomen. Naast de waarschuwing maakte ISC-handler Manuel Humberto Santander Pelaez ook een analyse van de aanval die de aanvallers uitvoerden. Systeembeheerders die de update naar PHP 5.4.3 en PHP 5.3.13 nog niet hebben uitgevoerd, krijgen het advies dit alsnog te doen.
Bron: Security.nl

 

php

Php-installaties die middels een cgi-wrapper draaien, kunnen eenvoudig worden misbruikt. Op afstand kunnen argumenten aan het cgi-script worden toegevoegd, waardoor bijvoorbeeld code kan worden uitgevoerd of de broncode gedumpt.

Omdat alleen php-installaties die een klassieke cgi-wrapper gebruiken kwetsbaar zijn, valt de impact mee: vaker wordt php als Apache-module of via fastcgi geconfigureerd. Wel gebruiken sommige shared hosting-providers nog de - overigens weinig efficiënte - cgi-wrappers.

De ict-beveiligingsorganisatie van de Amerikaanse overheid waarschuwt dat hackers gevoelige informatie kunnen binnenhalen, een denial of service kunnen veroorzaken of eigen code kunnen uitvoeren. Bovendien is er nog geen officiële oplossing voor het probleem, hoewel het php-team aan een patch zou werken.

Kwetsbare php-installaties kunnen eenvoudig worden misbruikt: command line-argumenten kunnen als query string worden meegegeven. Om bijvoorbeeld de broncode van 'index.php' integraal uit te draaien, is het opvragen van '/index.php?-s' voldoende.

De kwetsbaarheid is begin januari ontdekt door De Eindbazen, een groep beveiligingsonderzoekers. Aanvankelijk werd door de groep geheimhouding beloofd, maar toen een php-medewerker de bug-report per ongeluk integraal publiceerde, besloten De Eindbazen om hun ontdekkingen uit de doeken te doen. Tevens hebben ze twee patches vrijgegeven.

Ook websites die onder php's safe_mode draaien, wat bij veel shared hosting-providers het geval is, zijn kwetsbaar als ze onder een cgi-wrapper draaien. Wel kunnen onder cgi5 bepaalde omgevingsvariabelen verhinderen dat er code wordt uitgevoerd - maar dat is volgens De Eindbazen eenvoudig te voorkomen.

Opvallend is dat php tot 2004 ingebouwde beveiliging bevat om uitvoeren van code via de command line tegen te gaan, maar dat die naderhand is verwijderd. Tegelijkertijd doet de officiële documentatie van php nog steeds overkomen alsof die beveiliging is ingebouwd.

Bron: Tweakers.net

skype-logoMicrosoft's Skype lekt de IP-adressen van gebruikers, een probleem dat de ontwikkelaars al anderhalf jaar negeren. Op Pastebin.com werd de kwetsbaarheid geopenbaard, die inmiddels ook via een eenvoudige webtool is te misbruiken. Onderzoekers uit Frankrijk en New York waarschuwden Skype in november 2010 al voor het beveiligingsprobleem. Het onderzoek werd vorig jaar oktober gepubliceerd en liet zien dat de onderzoekers de locatie van Skype-gebruikers konden achterhalen. Vorige week controleerde één van de onderzoekers of het probleem nog steeds aanwezig was, en dat bleek inderdaad zo te zijn. 
In een reactie laat Skype weten dat het meldingen van een nieuwe tool om IP-adressen te achterhalen aan het onderzoeken is. "Door het een nieuwe tool te noemen hoeven ze niet zo snel te reageren", aldus onderzoeker Stevens Le Blond tegenover CIO Journal

Spookgesprek
De onderzoekers ontdekten dat ze Skype-gebruikers konden bellen, zonder dat er een pop-up venster verscheen of het gesprek in de belgeschiedenis zichtbaar werd. De gebruiker weet daardoor niet dat hij gebeld is en hoeft ook niet op te nemen om geïdentificeerd te worden. Aan de hand van de verstuurde pakketjes tijdens het 'spookgesprek' kunnen de onderzoekers het IP-adres achterhalen. 

Bedrijfsspionage
Door het proces elk uur te herhalen, is het mogelijk om de locatie van gebruikers te bepalen. Bedrijven zouden zo kunnen zien waar individuen van een concurrerend bedrijf zich bevinden. 

"Je kunt dit opschalen om tienduizenden werknemers te volgen", aldus Keith Ross, die ook aan het onderzoeksrapport mee werkte. Le Blond laat weten dat het lek ook te gebruiken is als eerste stap voor het verder aanvallen van bedrijfscomputers of netwerken.

Praktijk (Update Hackinfo)
Een aangepaste SkypeKit, een "headless" versie van Skype, is nodig om een Ip adres te achterhalen. De dient skype-ip-finder.tk is offline gehaald. Wel staat de achterliggende python-code inmiddels op github: https://github.com/
Gebruikersnaam invullen en je krijgt een IP-adres terug... 

Bron: Security.nl