Backdoor in una Versione di phpMyAdmin Ospitata su SourceForge

La notizia inizia a circolare il 25 Settembre, quando i responsabili di SourceForge si accorgono che uno dei loro mirror è stato attaccato, ed è diventato vettore per la distribuzione di una copia modificata di phpMyAdmin. Ma la vicenda inizia qualche giorno prima.

Attacco Coreano

Il 22 Settembre, ignoti sono riusciti a penetrare un server coreano utilizzato come mirror di SourceForge. Gli autori dell’intrusione sono riusciti a sostituire il file contenente una versione di phpMyAdmin con una versione modificata, inserendo al suo interno una backdoor.  Una backdoor è un codice che permette di aggirare le misure di sicurezza e di entrare in un sistema senza senza dover presentare credenziali valide.

SourceForge ‘ uno dei principali servizi di hosting e condivisione  di software open-source, anzi è forse il servizio più “antico” e ormai storico. Per poter distribuire i software in tutto il mondo, Sourceforge utilizza una serie di mirror sparsi su tutto il globo. Proprio uno di questi nodi è stato preso di mira dall’ attacco.

Impatto Virale o Limitato?

L’attacco potrebbe essere insidioso, in quanto phpMyAdmin è uno degli strumenti più utilizzati per la gestione online di database MySql, utilizzatissimi da grandi multinazionali come da piccole compagnie o da blogger dilettanti. Praticamente tutti i servizi di hosting offrono nel pannello di controllo, insieme ad altri strumenti di amministrazione, anche una versione di phpMyAdmin. Si tratta quindi di un impatto potenzialmente virale.

Nell’ avviso pubblicato sul sito ufficiale di phpMyAdmin, gli autori di questo strumento forniscono alcuni dettagli che permettono di identificare la versione “corrotta”.

La  vulnerabilità, che viene indicata come “critica” è contenuta nell’ archivio phpMyAdmin-3.5.2.2-all-languages.zip; all’ interno è presente il file server_sync.php, file che permette ad estranei di eseguire comandi con i privilegi dell’utente web.

L’impatto dell’incidente dovrebbe essere circoscritto, pare che i file compromessi scaricati siano solo 400, ma vista la diffusione e la delicatezza della sua funzione, occorre stare all’ erta. Non è detto che il file sia stato scaricato da utilizzatori singoli e non da portali, o inserito in distribuzioni, cosa moltiplicherebbe la portata dell’incidente.

Mistero sui Responsabili

Al momento l’identità degli autori dell’attacco è ignota, e i particolari non sono stati divulgati. Non è chiara neppure la finalità dell’attacco, se circoscritto al singolo server coreano, o episodio da mettere in relazione ad una campagna più vasta, con particolari obiettivi da raggiungere.

Questa vicenda sottolinea un paio di cose: la prima, che anche grandi servizi ritenuti affidabili, come in questo caso SourceForge, non possono considerarsi al sicuro a priori; la seconda, che come sempre la sicurezza è robusta quanto l’anello debole della catena: se si spezza questo, l’effetto domino è assicurato