לפי הפרסומים באתר הבית של המערכת לניהול מסדי נתונים phpMyAdmin, זוהו מספר דלתות-אחוריות שהוכנסו במהלך הפצתה של הגרסא 3.5.2.2 (אחת הגרסאות האחרונות) של המערכת.
האירוע קיבל את המספר הסידורי “PMASA-2012-5”, וניתן לראות את הפרסום עליו בקישור הבא: http://www.phpmyadmin.net/home_page/security/PMASA-2012-5.php
על פי אותם פרסומים, אחד משרתי המראה של SourceForge.net המשתמש כשרת מרכזי להפצת המערכת נפרץ, והגרסא האחרונה של המערכת הוחלפה באחת עם מספר דלתות אחוריות (במהלך הפרסום התגלו 2, אך יש סיכוי כי קיימות נוספות שיתגלו בעתיד), שם החבילה שהוחלפה היינו: phpMyAdmin-3.5.2.2-all-languages.zip.
השינויים שבוצעו בה הם:
- הוספת קובץ חדש בשם: “server_sync.php”.
- שינוי קובץ קיים בשם: “js/cross_framing_protection.js”.
הקובץ שהתווסף (“server_sync.php”) כולל את הקוד הבא:
נראה שהדיווח הראשוני על כך היה בבלוג של חברה סינית בשם Wooyun ו-Tencent:
http://www.wooyun.org/bugs/wooyun-2010-012705#0-tsina-1-27413-397232819ff9a47a7b7e80a40613cfe1
בדיווח ניתן לראות את הקובץ שהוחדר לחבילה:
[במקור: http://www.wooyun.org/bugs/wooyun-2010-012705]
אופן הניצול פשוט למדי, אך פחות מ-24 שעות וכבר יצאו כלים אוטומטיים לניצולו:
http://dev.metasploit.com/redmine/…/exploits/multi/http/phpmyadmin_3522_backdoor.rb
לפי הדיווחים רק שרת אחד של SourceForge ושונה - ממליץ לכולם לבדוק את גרסאות ה-phpMyAdmin שהורדתם לאחרונה, ובכלל, בזמן הקרוב הייתי חושד בכל קוד שהורדתם מהשרתים של SourceForge.
לדעתי, חשוב להדגיש, כי למרות שהמקרה הנ”ל משליך ישירות על האבטחה של גרסא זו של הפרויקט, אין זאת אשמת המפתחים, והמקרה הנ”ל לא מעיד על רמת האבטחה של המוצר (ולא, אין לי אחוזים בו)…
שלושה דברים מעניינים אותי במיוחד: הראשון - מעניין האם בקרוב נגלה עוד חבילות שהתוכן שלהם שונה (או לחלופין - דלתות נוספות בפרוייקט הנ”ל) השני - מעניין למה התוקפים בחרו ליצור את הדלת האחורית בצורה כל כך גלויה, ברור לי שהם יכלו לעשות זאת בצורה הרבה יותר נסתרת. והשלישי - כמה פעמים הוחלפו פרויקטים כאלה בפרויקטים “מלוכלכים” ולא שמנו לב לכך.
קריאה מהנה!
ניר אדר ואפיק קסטיאל.