11-14-2005, 03:53 PM
Se ha reportado un gusano llamado Lupper que afecta a servidores web con aplicaciones PHP/CGI con vulnerabilidades ya conocidas en XML-RPC, AWStats y Webhints.
Resumen
El worm afecta exclusivamente plataformas GNU/Linux y, además de propagarse, instala una puerta trasera en el servidor comprometido.
Versiones Afectada
• XML-RPC afecta versiones anteriores a 1.3.1
• Darryl Burgdorf Webhints, todas las versiones son afectadas.
• AwStats anteriores a 6.4
Detalle
El gusano se distribuye explotando servidores web con aplicaciones PHP/CGI vulnerables a problemas conocidos como:
• XML-RPC for PHP. Esta librería es utilizada por varias aplicaciones como: WordPress, egroupware, tikiwiki, mailwatch, drupal, etc.
• Darryl Burgdorf Webhints
• AWStats Rawlog Plugin Logfile Parameter
Después de comprometer el servidor instala una puerta trasera en uno o más de estos puertos: UDP/7111, UDP/7222, UDP/27015 y/o UDP/25555.
El gusano se almacena en el directorio /tmp con alguno de los siguientes nombres:
• /tmp/lupii
• /tmp/listen
• /tmp/update.listen
• /tmp/listen.log
Impacto
El impacto de estas vulnerabilidades es MEDIO
Recomendaciones
Se recomienda actualizar a las últimas versiones disponibles de las aplicaciones vulnerables mencionadas. Cabe destacar que no existe a la fecha una solución para la aplicacion webhints.
Además, es recomendable verificar los puertos que se encuentran abiertos en los servidores y la existencia de archivos no conocidos en el directorio /tmp.
Referencias
Symantec
McAfee
Saludos!!..
Resumen
El worm afecta exclusivamente plataformas GNU/Linux y, además de propagarse, instala una puerta trasera en el servidor comprometido.
Versiones Afectada
• XML-RPC afecta versiones anteriores a 1.3.1
• Darryl Burgdorf Webhints, todas las versiones son afectadas.
• AwStats anteriores a 6.4
Detalle
El gusano se distribuye explotando servidores web con aplicaciones PHP/CGI vulnerables a problemas conocidos como:
• XML-RPC for PHP. Esta librería es utilizada por varias aplicaciones como: WordPress, egroupware, tikiwiki, mailwatch, drupal, etc.
• Darryl Burgdorf Webhints
• AWStats Rawlog Plugin Logfile Parameter
Después de comprometer el servidor instala una puerta trasera en uno o más de estos puertos: UDP/7111, UDP/7222, UDP/27015 y/o UDP/25555.
El gusano se almacena en el directorio /tmp con alguno de los siguientes nombres:
• /tmp/lupii
• /tmp/listen
• /tmp/update.listen
• /tmp/listen.log
Impacto
El impacto de estas vulnerabilidades es MEDIO
Recomendaciones
Se recomienda actualizar a las últimas versiones disponibles de las aplicaciones vulnerables mencionadas. Cabe destacar que no existe a la fecha una solución para la aplicacion webhints.
Además, es recomendable verificar los puertos que se encuentran abiertos en los servidores y la existencia de archivos no conocidos en el directorio /tmp.
Referencias
Symantec
McAfee
Saludos!!..