El gusano Santy ataca ahora a todos los sitios PHP En las primeras horas de la tarde del 25 de diciembre de 2004, se comenzó a reportar la aparición de nuevas variantes del gusano Santy, y al menos una de ellas no solo afecta las versiones vulnerables de PhPBB, el conocido paquete PHP de código abierto, sino todos los scripts PHP.
Santy.A hizo su aparición el pasado 21 de diciembre, y valiéndose de una vulnerabilidad en versiones anteriores a la última de PhPBB (que corrige ese fallo), logró en pocas horas desfigurar cientos de miles de sitios de Internet, incluyendo un mensaje con el texto "This site is defaced!!!" y "NeverEverNoSanity WebWorm generation".
PHP, acrónimo de "PHP: Hypertext Preprocessor", es un lenguaje interpretado de alto nivel, y de código abierto, que se ejecuta en el servidor, y puede estar embebido en páginas HTML. Permite desarrollar páginas web dinámicas de una manera rápida y fácil, y es actualmente utilizado en millones de sitios.
Ahora, una nueva versión del gusano Santy ataca a todos los scripts PHP que sean vulnerables a un problema con el uso del parámetro "include()", el cuál permite la instalación de código. Esta vulnerabilidad, en realidad es una falla de programación, y no depende de la versión de PHP instalada. Dicho de otro modo, la mayoría de los sitios bajo PHP pueden estar en peligro, si en su momento no se tuvieron en cuenta los consejos básicos de una buena programación.
Por otra parte, recientes informes hablan de una gran actividad en la red, ocasionada por múltiples escaneos de foros bajo PhPBB que aún pueden ser vulnerables, y también de páginas PHP, con el objetivo de instalar bots de IRC. Un bot de IRC es un programa preparado para responder o actuar automáticamente ejecutando ciertos comandos de forma remota.
Para detectar sitios vulnerables y de ese modo propagarse, una de las nuevas versiones del Santy se vale del sitio brasilero de Google (
www.google.com.br). El gusano analiza sintácticamente las URL, y sobrescribe las variables con cadenas para aprovecharse de la posibilidad de incluir código.
Cuando tiene éxito, el gusano puede descargar y ejecutar un programa o script en el sitio vulnerable, y luego usarlo para conectarse a un servidor IRC. Algunas pruebas realizadas, hablan de más de 700 máquinas zombies que actualmente parecen estar a la espera de comandos (no es mucho aventurar si decimos que esta cantidad podría ser ampliamente superada en las próximas horas).
Por otra parte, otra versión del Santy, también detectada el 25 de diciembre, utiliza los buscadores de AOL y de Yahoo, para localizar sistemas PhPBB 2.0.10 vulnerables. Santy.A empleaba para ello Google, pero éste comenzó a bloquear las búsquedas realizadas por el gusano, frenando su propagación.
Un problema adicional para muchos servidores que alojan páginas PHP, es el aumento del tráfico ocasionado por la actividad del propio gusano, que en muchos casos podría llegar a transformarse en un verdadero ataque de denegación de servicio (DoS), haciendo que muchos sitios dejen de responder a las peticiones legítimas de sus visitantes.
Si además de todo esto tenemos en cuenta las actuales festividades, es probable que muchos encargados de sitios vulnerables (tanto bajo PhPBB como bajo cualquier otro PHP), no reaccionen a tiempo para frenar la propagación de las nuevas variantes del gusano, dando como resultado la aparición de miles de máquinas zombies, todas prontas para recibir y ejecutar cualquier orden enviada por un atacante remoto.
Las soluciones son actualizarse a la versión PhPBB 2.0.11 o modificar el archivo vulnerable (ver "Más información"). Además, se aconseja actualizar la versión PHP utilizada, ya que aunque el problema con el parámetro "include()" se resuelve con una correcta programación, la ejecución de código en el servidor, podría explotar otras vulnerabilidades existentes en versiones anteriores de PHP.
Al momento actual, no hay noticias que el gusano o sus acciones, afecten directamente a quienes visiten los sitios infectados. Sin embargo, esto no es garantía de nada, ya que las nuevas variantes del Santy, podrían facilitar la aparición en las próximas horas de cualquier otro código malicioso que intente infectar los equipos de los visitantes.
Más información:
Perl/Santy.A. Infecta sitios construidos con PhPBB
http://www.vsantivirus.com/santy-a.htmPerl/Santy.B. Infecta sitios construidos con PhPBB
http://www.vsantivirus.com/santy-b.htmPerl/Santy.C. Infecta sitios construidos con PhPBB
http://www.vsantivirus.com/santy-c.htmSecure Programming in PHP
http://www.zend.com/zend/art/art-oertli.phpphpBB 2.0.11 :: 18th November 2004
http://www.phpbb.com/downloads.phpPublicado en:
http://www.vsantivirus.com/25-12-04.htm
