Новости информационной безопасности

Сайты, использующие утилиту Adminer, подвержены взлому

Киберпреступники взяли на вооружение уязвимость в PHP-утилите Adminer и крадут учетные данные для доступа к базам данных веб-ресурсов. В теории, они также могут внедрить в них вредоносные программы. К такому выводу пришел ИБ-специалист Виллем де Грут (Willem de Groot), изучив запросы, поступающие на его ханипот.

Adminer предоставляет графический интерфейс для управления базами MySQL и PostgreSQL, однако при этом может подключаться к внешним хранилищам. Как выяснил аналитик, киберпреступники сканируют Интернет в поисках файлов adminer.php, не защищенных паролем, чтобы через них открыть соединение с собственным SQL-сервером. Последний настроен таким образом, чтобы отправлять запрос на скачивание файлов любому хосту, который к нему обращается.

Обработав входящий пакет от Adminer, криминальный сервер может получить через утилиту файлы, содержащие информацию для доступа к целевым базам данных, например local.xml, где хранятся пароли CMS Magento. Обладая этой информацией, киберпреступники способны установить на сайт жертвы скрипт для кражи данных банковских карт или других сведений.

О бреши в Adminer в августе 2018 года сообщил ИБ-аналитик Yasho. Как утверждает де Грут, специализирующийся на уязвимостях в Magento, администратор может установить пароль для доступа к утилите, однако многие владельцы сайтов пренебрегают требованиями безопасности. По словам эксперта, баг присутствует во всех версиях Adminer с 4.3.1 по 4.6.2. Релиз 4.6.3, выпущенный в июне прошлого года, кажется безопасным, однако разработчики не заявляли о работе над защищенностью приложения в описании патчей.

Для предотвращения взлома специалист рекомендует администраторам установить актуальный на данный момент Adminer 4.7.0, установить для SQL-базы дополнительный пароль и ограничить входящие запросы списком разрешенных IP-адресов.

Не исключено, что уязвимые Adminer ищут злоумышленники из группировки Magecart. С 2015 года киберпреступники внедрили скрипт для кражи данных банковских карт на более чем 40 тыс. сайтов под управлением CMS Magento. Как утверждают ИБ-специалисты, даже после того как администраторы удалили вредоносный код со страниц, злоумышленники повторно заразили около 20% ресурсов, а некоторые онлайн-магазины — несколько раз подряд.

Источник: https://threatpost.ru/sites-using-adminer-for-their-sql-databases-are-easily-compromised/30646/

 

Дата: 2019-01-23 17:34:48

Источник: https://exploit.in/2019/12129/