openflashchart vulnérable
|
01-05-2013, 18h25
(Modification du message : 01-05-2013, 18h56 par CyberSee.)
Message : #1
|
|
CyberSee
Admin fondateur de N-PN Messages : 1,721 Sujets : 287 Points: 157 Inscription : Jan 2012 |
openflashchart vulnérable
Salut TLM ;-)
Comme certains d'entre vous le save, je suis "en autre" administrateur d'un serveur d'hébergement. Il y a 9 mois, nous avons fait l'acquisition d'un revendeur qui possédait 178 sites internet. Presque la totalité des sites utilisais des open sources tels que wordpress joomla oscomerce drupal [...] Inutile de vous dire que j'ai rehaussé de beaucoup la sécurité de mon serveur quand j'ai pris conscience de ça lol Hier, un de mes clients qui possédais un joomla 1.5.25 c'est fait pirater. J'ai reçu une alerte du serveur comme quoi mon dossier TMP étais a 84% remplie ce qui est toute a fait inhabituel ... J'ai donc investigué et j'ai remarqué un dossier "/tmp/www.fbi.org/" qui appartenait à un user ce qui m'a permis de remonter jusqu'au site compromis. (Il a surement voulu télécharger un miroir du site FBI dans l'espoir de saturer mon dossier TMP et compromettre la stabilité du système) Heureusement que "/tmp" sur mon serveur et un dossier virtuel bloqué a 1gb En essayant de comprendre ce qui s’est passé, j'ai remarqué dans les logs l'utilisation d'un fichier suspect administrator/components/com_jnewsletter/includes/openflashchart/tmp-upload-images/h4rdc0r30d4Y5.php Je me suis donc renseigné sur le script openflashchart et j'ai trouvé un CVE qui dit que le script est vulnérable à un "Remote PHP Code Execution". Citation :Open Flash Chart is prone to a vulnerability that lets remote attackers execute arbitrary code because the application fails to sanitize user-supplied input.Référence: http://www.securityfocus.com/bid/37314/solution Ce qui est intéressant dans cette découverte c'est que le script est utiliser a l'intérieur de plein d'autres scripts ce qui en fait une "o day" dans bien des cas, car bien que la vulnérabilité est rapportée, bien des scripts qui l'utilise n'a pas de CVE sur cette faille. J'ai fait un dork qui permet de voir une liste de tous les sites qui possède le script qui est vulnérable inurl:"ofc_upload_image.php" *"Saving your image to" Bref, je vous conseille 2 plugin que j'ai, installé qui fait des merveilles Old Script Finder v1.06 Qui permet de recevoir un rapport sur tous les open source installer qui ne sont pas à jour ... (très pratique dans mon cas lol) j'ai déjà commencé à téléphoner les clients pour les forcer à effectuer la mise à jour. Linux Malware Detect Qui fait un très bon ménage sur le serveur. L'antivirus le plus performant que j'ai trouvé à ce jour. Pour savoir si votre serveur a un site qui utilise openflashchart, utilisez la commande "locate" Code : locate ofc_upload_image.php p.s., j'ai informé joomla et l'auteur du plugin jnews Code PHP : <?php |
|
« Sujet précédent | Sujet suivant »
|
Utilisateur(s) parcourant ce sujet : 1 visiteur(s)