[SECURITY-L] CAIS-Alerta: Vulnerabilidades no aplicativo Zboard

CSIRT - UNICAMP security em unicamp.br
Qua Set 21 11:10:23 -03 2005 

----- Forwarded message from Centro de Atendimento a Incidentes de Seguranca <cais em cais.rnp.br> -----

From: Centro de Atendimento a Incidentes de Seguranca <cais em cais.rnp.br>
Subject:  CAIS-Alerta: Vulnerabilidades no aplicativo Zboard
To: rnp-alerta em cais.rnp.br, rnp-seg em cais.rnp.br
Date: Tue, 20 Sep 2005 17:03:02 -0300 (BRST)

-----BEGIN PGP SIGNED MESSAGE-----


Prezados,

O CAIS esta' acompanhando desde meados de Agosto a exploracao de 
vulnerabilidades relacionadas ao aplicativo Zboard (Zeroboard).

O Zeroboard consiste em uma aplicacao web que prove as funcionalidades de 
um BBS (Bulletin Board System). O que chama a atencao em relacao a estas 
exploracoes e' o fato de que apos atacados e comprometidos, estes sites 
tem sido utilizados para abrigar paginas falsas de bancos e servindo como 
repositorio de arquivos maliciosos (malware). Das 6 vulnerabilidades 
conhecidas de Zeroboard, pelo menos 2 permitem que se inclua arquivos 
arbitrarios no servidor web.

Os casos reportados ao CAIS envolvem, em sua maioria, sites hospedados na 
Coreia (.kr). Esta concentracao de incidentes pode ser explicada pelo fato 
do aplicativo ter sido desenvolvido neste pais e pelo uso intenso do 
aplicativo no mesmo, incluindo sites (.org, .com, .net) relacionados com a 
Coreia. O CAIS reportou estas atividades ao grupo de seguranca do governo 
da Coreia, KrCERT, com o qual o CAIS possui parceria para a troca de 
informacoes relacionadas com tendencias de ataques.

Exemplos de casos de Phishing e Malware tratados pelo CAIS (os nomes dos 
sites foram alterados propositalmente):

Sites com malware:

 http://xxxxxxx.com/%7Emdotcom/bbs/sonhei_com_voce.scr
 http://www.xxxxxxxx.sc.kr/bbs/data/new/TSErelatorio.scr
 http://xx.xxxxxx.net/bbs/data/a/IBanking.scr

Sites envolvidos com ataques de Phishing:

 http://www.xxxx.co.kr/bbs/data/index.html
 http://www.xxxxxx.org/bbs/data/index.html


Combate 'a atividade maliciosa

Usuarios e administradores que tenham a intencao de colaborar com o combate a
atividades maliciosas na Internet e/ou que receberam um email contendo algum
link para um aplicativo suspeito podem enviar o link ou realizar um bounce
(reenvio sem edicao) da mensagem original para o endereco artefatos em cais.rnp.br

Mensagens relacionadas com paginas falsas (principalmente bancos e
instituicoes financeiras) devem ser enviadas (endereco da pagina falsa ou
bounce da mensagem original) para phishing em cais.rnp.br


Sistemas afetados:

. versoes 4.1pl2 ate' 4.1pl5 (vulnerabilidade de XSS)


Correcoes disponiveis:

Recomenda-se atualizar o software para a versao mais recente:

. ZeroBoard 4.1pl7
  http://www.nzeo.com/bbs/zboard.php?id=cgi_download2&page=1&sn1=&divpage=1&sn=off&ss=on&sc=off&select_arrange=headnum&desc=asc&no=48


Mais informacoes:

. Secunia Advisory SA13769 - Zeroboard Multiple Vulnerabilities (2005-01-10)
  http://secunia.com/advisories/13769/

. Secunia Advisory SA13649 - Zeroboard Two Vulnerabilities (2004-12-24)
  http://secunia.com/advisories/13649/

. Zeroboard Preg_replace Remote Command Execution Vulnerability
  http://www.securityfocus.com/bid/13823/info

. Zeroboard PHP Source Injection
  http://www.securiteam.com/unixfocus/5ZP0D1F7FA.html

. Como tratar incidentes de phishing
  http://www.rnp.br/noticias/imprensa/2005/not-imp-050307.html

. CAIS-Alerta: Fraudes em Internet Banking
  http://www.rnp.br/cais/alertas/2003/cais-alr-02042003.html



O CAIS recomenda que os administradores mantenham seus sistemas e 
aplicativos sempre atualizados, de acordo com as ultimas versoes e 
correcoes oferecidas pelos fabricantes.


O CAIS Alerta tambem e' oferecido no formato RSS/RDF:

http://www.rnp.br/cais/alertas/rss.xml


Atenciosamente,

################################################################
#   CENTRO DE ATENDIMENTO A INCIDENTES DE SEGURANCA (CAIS)     #
#       Rede Nacional de Ensino e Pesquisa (RNP)               #
#                                                              #
# cais em cais.rnp.br       http://www.cais.rnp.br                #
# Tel. 019-37873300      Fax. 019-37873301                     #
# Chave PGP disponivel   http://www.rnp.br/cais/cais-pgp.key   #
################################################################


-----BEGIN PGP SIGNATURE-----
Version: PGP 6.5.8

iQCVAwUBQzBq/ekli63F4U8VAQHeFQQAqH7KoRcUbV9XrvWIMEFENIpYbAbal2WT
1UzU8x4hFNzeh4KTTvcQtYb8P/lYazoDX7COU5UXU7cG4jKoE22MHnCQQNffmCVk
Mu24smvNblDzQt6qunNrrW/HnVStRWGp/eQ6CoYi84SEsYqz/PxdFLo/LcGi9ahI
e1+Tw7cGhB4=
=aksL
-----END PGP SIGNATURE-----


--
Para SAIR da lista rnp-alerta envie uma mensagem em branco para:

    <rnp-alerta-unsubscribe em cais.rnp.br>



----- End forwarded message -----

Mais detalhes sobre a lista de discussão SECURITY-L