r   e   k   l   a   m   a
r   e   k   l   a   m   a

Miliony stron podatne na atak przez głupi błąd w PHP Mailerze (aktualizacja)

Strona główna AktualnościBEZPIECZEŃSTWO

Aktualizacja

Od kilku godzin dostępna jest kolejna łatka dla PHP Mailera. Minie jeszcze trochę czasu, zanim zostanie wdrożona, ale przynajmniej wygląda na to, że działa tak jak powinna.

To prawdziwy pogrom dla milionów właścicicieli stron internetowych napisanych w PHP, w których wykorzystano bibliotekę PHPMailer. Wykorzystywany do automatyzacji wysyłania e-maili kod stosowany jest w najpopularniejszych systemach zarządzania treścią, takich jak WordPress, Joomla, Drupal, XOOPS, Mantis, vTiger, SugarCRM i wielu innych – a teraz okazało się, że można wykorzystać go do zdalnego uruchomienia złośliwego kodu na serwerze. Trzeba przyznać, że informacja pojawiła się rychło w czas, to okres świąteczny. Łatka została co prawda wydana w święta, ale co z tego, skoro nie ma kto jej wdrożyć? Administratorzy, webmasterzy, wzięli sobie urlopy do Nowego Roku, tymczasem hakerzy robią swoje: już duże botnety skanują na wielką skalę witryny, wyszukując tej podatności, by przejąć kontrolę i zainstalować swoje własne exploit-kity dla internautów.

Błąd w PHPMailerze, oznaczony jako CVE-2016-10033, otrzymał łatkę 25 grudnia, wraz z wydaniem 5.2.18. I co z tego? Ano nic z tego. Nie tylko nie bardzo jest komu wdrożyć ją na dużą skalę, ale też nie jest ona zbyt wiele warta.Wyjaśnijmy, o co chodzi, przyglądając się sprawie od początku.

r   e   k   l   a   m   a

Odkrycie podatności było zasługą Dawida Golunskiego (legalhackers.com), który badając chyba najpopularniejszy na świecie kod do wysyłania e-maili przez skrypty PHP, znalazł w nim podatność, pozwalającą na przeprowadzenie ataku przez popularne komponenty stron – takie jak formularze kontaktowe czy rejestracyjne, narzędzia odzyskiwania hasła i wszystko inne to, co wykorzystuje klasę PHPMailer.

Atak wcale nie jest wyjątkowo skomplikowany. Otóż zawiodła walidacja danych przesyłanych do funkcji mail(), co pozwala na wstrzyknięcie dodatkowych parametrów do sendmaila. Odpowiednio przygotowany zestaw parametrów pozwoli na przekazanie uruchamialnego kodu do tego demona poczty i zapisanie go do nowego skryptu na serwerze. Skrypt uruchomi się z uprawnieniami serwera WWW.

Dawid Golunski najwyraźniej rozumiał, że webmasterzy potrzebują czasu na załatanie stron, więc w początkowo przedstawionej informacji o luce ominął wszelkie ważne szczegóły – te trafiły tylko do deweloperów projektu. Gdy jednak pojawiła się łatka PHPMailera 5.2.18, inni badacze na jej podstawie odtworzyli szczegółowe informacje o luce. Na GitHubie znajdziecie gotowego exploita, od razu dostarczonego w wygodnym kontenerze Dockera.

To jednak nie koniec. Kilka godzin temu Golunski poinformował, że przygotowana łatka jest niewiele warta. Wciąż możliwe jest takie spreparowanie ciągu znaków dostarczonych w internetowym formularzu, by wyrwać się z ochrony zapewnianej przez funkcję escapeshellarg() zastosowaną w łatce i wywołać sendmaila ze swoimi parametrami. Żadnego oficjalnego zabezpieczenia nie ma, strony internetowe przejmowane są ot tak, bez większego wysiłku. Jak odkrywca napisał, wygląda na to, że moja podatność może popsuć Internet.

Co robić, jak żyć?

Łatka do łatki do CVE-2016-10033 już jest dostępna, pozostaje czekać na jej wdrożenie w popularnych aplikacjach webowych korzystających z PHPMailera. Zanim pojawią się aktualizacje, polecamy wyłączyć w witrynach wtyczki do obsługi formularzy kontaktowych, i jak już wcześniej pisaliśmy, zastanowić się, czy PHP jest dziś faktycznie najlepszym językiem do pisania aplikacji webowych.

© dobreprogramy
r   e   k   l   a   m   a
r   e   k   l   a   m   a

Komentarze

r   e   k   l   a   m   a
r   e   k   l   a   m   a
Czy wiesz, że używamy cookies (ciasteczek)? Dowiedz się więcej o celu ich używania i zmianach ustawień.
Korzystając ze strony i asystenta pobierania wyrażasz zgodę na używanie cookies, zgodnie z aktualnymi ustawieniami przeglądarki.