N-PN White-Hat Project
openflashchart vulnérable - Version imprimable

+- N-PN White-Hat Project (https://dev.n-pn.fr/forum)
+-- Forum : Informatique (https://dev.n-pn.fr/forum/forumdisplay.php?fid=12)
+--- Forum : Centre de virologie (https://dev.n-pn.fr/forum/forumdisplay.php?fid=33)
+--- Sujet : openflashchart vulnérable (/showthread.php?tid=2959)



openflashchart vulnérable - CyberSee - 01-05-2013

Salut TLM ;-)
Comme certains d'entre vous le save, je suis "en autre" administrateur d'un serveur d'hébergement. Il y a 9 mois, nous avons fait l'acquisition d'un revendeur qui possédait 178 sites internet. Presque la totalité des sites utilisais des open sources tels que wordpress joomla oscomerce drupal [...]

Inutile de vous dire que j'ai rehaussé de beaucoup la sécurité de mon serveur quand j'ai pris conscience de ça lol

Hier, un de mes clients qui possédais un joomla 1.5.25 c'est fait pirater. J'ai reçu une alerte du serveur comme quoi mon dossier TMP étais a 84% remplie ce qui est toute a fait inhabituel ... J'ai donc investigué et j'ai remarqué un dossier "/tmp/www.fbi.org/" qui appartenait à un user ce qui m'a permis de remonter jusqu'au site compromis. (Il a surement voulu télécharger un miroir du site FBI dans l'espoir de saturer mon dossier TMP et compromettre la stabilité du système) Heureusement que "/tmp" sur mon serveur et un dossier virtuel bloqué a 1gb

En essayant de comprendre ce qui s’est passé, j'ai remarqué dans les logs l'utilisation d'un fichier suspect

administrator/components/com_jnewsletter/includes/openflashchart/tmp-upload-images/h4rdc0r30d4Y5.php

Je me suis donc renseigné sur le script openflashchart et j'ai trouvé un CVE qui dit que le script est vulnérable à un "Remote PHP Code Execution".

Citation :Open Flash Chart is prone to a vulnerability that lets remote attackers execute arbitrary code because the application fails to sanitize user-supplied input.
Attackers can exploit this issue to execute arbitrary PHP code within the context of the affected webserver process.
Open Flash Chart 2 Beta 1 and Open Flash Chart 2 are vulnerable; other versions may also be affected.
Référence: http://www.securityfocus.com/bid/37314/solution

Ce qui est intéressant dans cette découverte c'est que le script est utiliser a l'intérieur de plein d'autres scripts ce qui en fait une "o day" dans bien des cas, car bien que la vulnérabilité est rapportée, bien des scripts qui l'utilise n'a pas de CVE sur cette faille.

J'ai fait un dork qui permet de voir une liste de tous les sites qui possède le script qui est vulnérable

inurl:"ofc_upload_image.php" *"Saving your image to"

Bref, je vous conseille 2 plugin que j'ai, installé qui fait des merveilles

Old Script Finder v1.06 Qui permet de recevoir un rapport sur tous les open source installer qui ne sont pas à jour ... (très pratique dans mon cas lol) j'ai déjà commencé à téléphoner les clients pour les forcer à effectuer la mise à jour.

Linux Malware Detect Qui fait un très bon ménage sur le serveur. L'antivirus le plus performant que j'ai trouvé à ce jour.

Pour savoir si votre serveur a un site qui utilise openflashchart, utilisez la commande "locate"
Code :
locate ofc_upload_image.php

p.s., j'ai informé joomla et l'auteur du plugin jnews