martedì 19 ottobre 2010

Ancora attuale uso di “Dot Nuke 'gallery remote file upload without authentication' (19 ottobre)

Sono una cinquantina i siti IT tra quelli ottenuti da un reverse IP su indirizzo appartenente a noto hoster italiano

che presentano questa mattina (ora thai) una immagine inclusa

Anche questa volta si e' utilizzata una nota vulnerabilita' dell'ambiente di sviluppo Dot Net Nuke che permette l'upload di files senza autenticazione.

Si tratta comunque di siti di cui alcuni, gia' in passato avevano presentato il medesimo genere di attacco.

Se infatti esaminiamo l'interfaccia di upload scorrendo l'elenco dei files inclusi troviamo oltre al file immagine bordo.jpg

anche un file testo m.txt che contiene scritte di hacking relative ad un precedente attacco

Esaminando uno dei sorgenti scaricati con il tool Autoit Webscanner notiamo anche la presenza di dati EXIF relativi all'immagine inclusa

cosa confermata in maniera piu' chiara dall'uso di un EXIF viewer (data e software usato per editare il file jpg)

Questo un parziale report relativo ai numerosi siti con inclusione dell'immagine

Per quanto si riferisce ad un attacco del genere, se lo stesso e' limitato alla sola inclusione di un file testo o di una immagine , la sua pericolosita' e' limitata, ma c'e' da ricordare, come gia' visto in questo post, che potrebbe, in alcuni casi, anche essere uploadato un codice eseguibile attraverso l'uso di una doppia estensione (es. xyz.asp;.jpg) con tutte le conseguenze del caso.(uso di shell comandi da remoto)

In effetti la cosa succede e si possono trovare in rete parecchi siti che presentano inclusa una semplice shell comandi tra l'altro facilmente disponibile per chiunque visualizzi l'interfaccia DOT NET NUKE di upload files remoto da remoto.

Edgar

Nessun commento: