Actualización urgente de phpMyAdmin

Como ya hemos indicado en anteriores ocasiones el contar con un software actualizado es primordial para evitar fallos de seguridad y estabilidad.

En este caso nos centramos en phpMyAdmin, herramienta gracias a la cual podemos gestionar nuestras bases de datos MySQL con un entorno gráfico desde el navegador.

La vulnerabilidad de la que vamos a hablar podrá afectar a aquellos que trabajen con una versión inferior a  la 3.2.4, la versión más actual es la 3.3.5

La vulnerabilidad de la que le estamos informando ya fue anunciada en un boletín de seguridad de Debian el pasado mes de Abril. Dicha vulnerabilidad permite la ejecución remota de código en el servidor.

¿Cómo han explotado esta vulnerabilidad? Bien, esta vulnerabilidad está siendo explotada por diferentes botnets que lo que hacen es subir un bot dañino al servidor llamado «dd_ssh«, el cual podrá ser ejecutado desde la raíz. Las acciones que realiza este bot son las de realizar ataques SSH de fuerza bruta desde diferentes direcciones IP aleatorias indicadas desde el bot maestro.

Cuando se lanzan estos ataques de fuerza bruta se puede observar, revisando los logs de acceso, que se realiza una gran cantidad de solicitudes HTTP hacia el servidor desde diferentes IPs de Asia y Europa Oriental, lo que realizan estas solicitudes es la consulta de la versión de phpMyAdmin. Estos ataques son similares a un ataque DDoS pero además, una vez que detectan lo que buscan, que la versión es vulnerable, inyectan el código.

Una vez que detectan que la versión es vulnerable y que el código ha sido inyectado lo que sucede es que en el directorio /tmp aparecen los ficheros /tmp/vm.c y /tmp/dd_ssh, tras esto se inicia el servicio dd_ssh. Si desde línea de comandos ejecutásemos el comando «ps» aparecería el proceso dd_ssh corriendo. Por lo tanto la primera acción que deberemos hacer será la de matar el correspondiente proceso y acto seguido eliminar el contenido malicioso de tmp, es decir, eliminar /tmp/vm.c y /tmp/dd_ssh. Una vez realizadas estas acciones tendremos que modificar las contraseñas de acceso así como actualizar a la versión más reciente de phpMyAdmin.

Decir además que se ha de tener muy en cuenta que el acceso desde el navegador a phpMyAdmin ha de estar protegido con usuario y contraseña. Hemos de pensar que la información que se almancena en una base de datos es crítica y no se puede dejar abierto el acceso a esta información y mucho menos a la gestión de la misma.

Por ello es altamente necesaria la actualización de phpMyAdmin y proteger el acceso.

Adicionalmente a esta información indicarles que además de realizar dicha actualización para mejorar la seguridad y estabilidad de su sitio puede hacer uso de sistemas adicionales de seguridad (limitar el número de conexiones, .htaccess, utilización de contraseñas seguras, Captcha, …).

Comparte este artículo:

No hay comentarios a este artículo

Sé el primero en enviar un comentario: