XÜSUSİ DÖVLƏT MÜHAFİZƏ XİDMƏTİ
XÜSUSİ RABİTƏ VƏ İNFORMASİYA
TƏHLÜKƏSİZLİYİ DÖVLƏT AGENTLİYİ

KOMPÜTER İNSİDENTLƏRİNƏ QARŞI MÜBARİZƏ
MƏRKƏZİ

İnsident bildir

Xəbərlər > phpnuke.org təhlükə altında qoyulmuşdur

7 May 2010

Websense® Security Labs™ ThreatSeeker™ Network aşkar etmişdir ki, populyar Veb-sayt, phpnuke.org, təhlükə altında qoyulmuşdur.

PHP-Nuke populyar veb kontent idarəsi sistemidir (CMS), PHP-də və MySQL, PostgreSQL, Sybase və ya Adabas verilənlər bazaları kimi əsaslanır. Daha erkən versiyalar GNU Public License ilə açıq mənbə və qorunan azad ödənişsiz proqram təminatı idi, ancaq o vaxtdan o kommersiya proqram təminatı olmuşdur. Necə ki bu hələ də İnternet cəmiyyətində çox populyardır, bu təəccübləndirmir ki, o xaker hücumlarının hədəfi olmuşdur.

php-nuke bug

 

Şəkildə aydın görünür ki, iframe-injection üsulu ilə bu hücum həyata keçirilib və o istifadəçiləri kənar serverdə yerləshən zərərli səhifəyə gizdin yönəldir.

 

 php-nuke bug

Zererli səhifədə olan kodu de-obfuskasiyadan sonra aydin oldu ki, Internet Explorer-də və Adobe Reader-də olan zəifliklər istifadəçiləri yoluxdurmaq üçün istifadə olunurdu.

Birinci eksploit MDAC-da (CVE 2006-0003) zəifliyi hədəfə alır, Microsoft Security Bulletin MS06-014.-də təsvir edilir. Əgər o müvəffəqiyyət qazanırsa, zərərli proqram yüklənir və "%temp%\updates.exe"-də saxlanır. Zərərli proqramı yüklədiqdən sonra, o bir neçə Veb-sayta daxil olmağa cəhd edir.

php-nuke-bug

 

İkinci eksploit shellcode-nu doğurmaq üçün Java zəifliyindən istifadə edir.

Üçüncü eksploit PDF eksploitidi, bu həqiqətən Adobe Reader-ri hədəfə alan üç eksploit birləşməsidir. HTML səhifədəki birinci JavaScript kodu Adobe Reader-in versiya nömrəsini və istifadəyə yararlığını yoxlayir. Versiya 7-in arasında olmalıdır və 7.1.4, 8 və 8.1.7 və ya 9 və 9.4. Zəif versiya tapılanda , eksploit PDF faylını yükləyir, necə ki bu Adobe Reader tərəfindən yüklənir və faylda zərərli ActionScript kodu avtomatik icra olunur. PDF özündə obfuskasiya olunmuş ActionScriptlə üç müxtəlif PDF eksploit gizlədir. Bunlar CVE 2009-4324-dür, CVE 2007-5659-dur və CVE 2009-0927-dir olan zəifliklərdir. Əgər o müvəffəqiyyət qazanırsa, updates.exe-nin yükləməsi və qurulması baş verir.

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2006-0003

http://www.microsoft.com/technet/security/bulletin/ms06-014.mspx

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2009-4324

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2007-5659

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2009-0927