[SECURITY-L] CAIS-Alerta: Vulnerabilidades no aplicativo Zboard
CSIRT - UNICAMP
security em unicamp.br
Qua Set 21 11:10:23 -03 2005
----- Forwarded message from Centro de Atendimento a Incidentes de Seguranca <cais em cais.rnp.br> -----
From: Centro de Atendimento a Incidentes de Seguranca <cais em cais.rnp.br>
Subject: CAIS-Alerta: Vulnerabilidades no aplicativo Zboard
To: rnp-alerta em cais.rnp.br, rnp-seg em cais.rnp.br
Date: Tue, 20 Sep 2005 17:03:02 -0300 (BRST)
-----BEGIN PGP SIGNED MESSAGE-----
Prezados,
O CAIS esta' acompanhando desde meados de Agosto a exploracao de
vulnerabilidades relacionadas ao aplicativo Zboard (Zeroboard).
O Zeroboard consiste em uma aplicacao web que prove as funcionalidades de
um BBS (Bulletin Board System). O que chama a atencao em relacao a estas
exploracoes e' o fato de que apos atacados e comprometidos, estes sites
tem sido utilizados para abrigar paginas falsas de bancos e servindo como
repositorio de arquivos maliciosos (malware). Das 6 vulnerabilidades
conhecidas de Zeroboard, pelo menos 2 permitem que se inclua arquivos
arbitrarios no servidor web.
Os casos reportados ao CAIS envolvem, em sua maioria, sites hospedados na
Coreia (.kr). Esta concentracao de incidentes pode ser explicada pelo fato
do aplicativo ter sido desenvolvido neste pais e pelo uso intenso do
aplicativo no mesmo, incluindo sites (.org, .com, .net) relacionados com a
Coreia. O CAIS reportou estas atividades ao grupo de seguranca do governo
da Coreia, KrCERT, com o qual o CAIS possui parceria para a troca de
informacoes relacionadas com tendencias de ataques.
Exemplos de casos de Phishing e Malware tratados pelo CAIS (os nomes dos
sites foram alterados propositalmente):
Sites com malware:
http://xxxxxxx.com/%7Emdotcom/bbs/sonhei_com_voce.scr
http://www.xxxxxxxx.sc.kr/bbs/data/new/TSErelatorio.scr
http://xx.xxxxxx.net/bbs/data/a/IBanking.scr
Sites envolvidos com ataques de Phishing:
http://www.xxxx.co.kr/bbs/data/index.html
http://www.xxxxxx.org/bbs/data/index.html
Combate 'a atividade maliciosa
Usuarios e administradores que tenham a intencao de colaborar com o combate a
atividades maliciosas na Internet e/ou que receberam um email contendo algum
link para um aplicativo suspeito podem enviar o link ou realizar um bounce
(reenvio sem edicao) da mensagem original para o endereco artefatos em cais.rnp.br
Mensagens relacionadas com paginas falsas (principalmente bancos e
instituicoes financeiras) devem ser enviadas (endereco da pagina falsa ou
bounce da mensagem original) para phishing em cais.rnp.br
Sistemas afetados:
. versoes 4.1pl2 ate' 4.1pl5 (vulnerabilidade de XSS)
Correcoes disponiveis:
Recomenda-se atualizar o software para a versao mais recente:
. ZeroBoard 4.1pl7
http://www.nzeo.com/bbs/zboard.php?id=cgi_download2&page=1&sn1=&divpage=1&sn=off&ss=on&sc=off&select_arrange=headnum&desc=asc&no=48
Mais informacoes:
. Secunia Advisory SA13769 - Zeroboard Multiple Vulnerabilities (2005-01-10)
http://secunia.com/advisories/13769/
. Secunia Advisory SA13649 - Zeroboard Two Vulnerabilities (2004-12-24)
http://secunia.com/advisories/13649/
. Zeroboard Preg_replace Remote Command Execution Vulnerability
http://www.securityfocus.com/bid/13823/info
. Zeroboard PHP Source Injection
http://www.securiteam.com/unixfocus/5ZP0D1F7FA.html
. Como tratar incidentes de phishing
http://www.rnp.br/noticias/imprensa/2005/not-imp-050307.html
. CAIS-Alerta: Fraudes em Internet Banking
http://www.rnp.br/cais/alertas/2003/cais-alr-02042003.html
O CAIS recomenda que os administradores mantenham seus sistemas e
aplicativos sempre atualizados, de acordo com as ultimas versoes e
correcoes oferecidas pelos fabricantes.
O CAIS Alerta tambem e' oferecido no formato RSS/RDF:
http://www.rnp.br/cais/alertas/rss.xml
Atenciosamente,
################################################################
# CENTRO DE ATENDIMENTO A INCIDENTES DE SEGURANCA (CAIS) #
# Rede Nacional de Ensino e Pesquisa (RNP) #
# #
# cais em cais.rnp.br http://www.cais.rnp.br #
# Tel. 019-37873300 Fax. 019-37873301 #
# Chave PGP disponivel http://www.rnp.br/cais/cais-pgp.key #
################################################################
-----BEGIN PGP SIGNATURE-----
Version: PGP 6.5.8
iQCVAwUBQzBq/ekli63F4U8VAQHeFQQAqH7KoRcUbV9XrvWIMEFENIpYbAbal2WT
1UzU8x4hFNzeh4KTTvcQtYb8P/lYazoDX7COU5UXU7cG4jKoE22MHnCQQNffmCVk
Mu24smvNblDzQt6qunNrrW/HnVStRWGp/eQ6CoYi84SEsYqz/PxdFLo/LcGi9ahI
e1+Tw7cGhB4=
=aksL
-----END PGP SIGNATURE-----
--
Para SAIR da lista rnp-alerta envie uma mensagem em branco para:
<rnp-alerta-unsubscribe em cais.rnp.br>
----- End forwarded message -----
Mais detalhes sobre a lista de discussão SECURITY-L