Se ha reportado un gusano llamado Lupper que afecta a servidores web con aplicaciones PHP/CGI con vulnerabilidades ya conocidas en XML-RPC, AWStats y Webhints.


Resumen
El worm afecta exclusivamente plataformas GNU/Linux y, además de propagarse, instala una puerta trasera en el servidor comprometido.


Versiones Afectada

• XML-RPC afecta versiones anteriores a 1.3.1
• Darryl Burgdorf Webhints, todas las versiones son afectadas.
• AwStats anteriores a 6.4


Detalle
El gusano se distribuye explotando servidores web con aplicaciones PHP/CGI vulnerables a problemas conocidos como:

• XML-RPC for PHP. Esta librería es utilizada por varias aplicaciones como: WordPress, egroupware, tikiwiki, mailwatch, drupal, etc.
• Darryl Burgdorf Webhints
• AWStats Rawlog Plugin Logfile Parameter

Después de comprometer el servidor instala una puerta trasera en uno o más de estos puertos: UDP/7111, UDP/7222, UDP/27015 y/o UDP/25555.

El gusano se almacena en el directorio /tmp con alguno de los siguientes nombres:

•  /tmp/lupii
•  /tmp/listen
•  /tmp/update.listen
•  /tmp/listen.log


Impacto
El impacto de estas vulnerabilidades es MEDIO


Recomendaciones
Se recomienda actualizar a las últimas versiones disponibles de las aplicaciones vulnerables mencionadas. Cabe destacar que no existe a la fecha una solución para la aplicacion webhints.
Además, es recomendable verificar los puertos que se encuentran abiertos en los servidores y la existencia de archivos no conocidos en el directorio /tmp.


Referencias

Symantec
McAfee


Saludos!!..