Ezúton kívánnék minden kedves olvasómnak kellemes ünnepeket! A posztgyakoriság az elkövetkező napokban előreláthatólag elég kiszámíthatatlan lesz, de remélem ilyenkor senkinek nem a BuheraBlog az egyetlen társa, akivel így karácsony környékén együtt töltheti az idejét ;)

Mint azt valószínűleg többen tudjátok, úgy volt, hogy páran elnézünk a 25C3-ra. Nos, jelenleg úgy áll a dolog, hogy egy váratlan, igen sajnálatos esemény miatt az út mégis elmarad, így sajnos nem szolgálhatok első kézből származó infókkal az eseményről.

Vígaszul álljon itt Hunger levele, aki még az angyalkák beérkezése előtti utolsó pillanatban összedobott egy exploitot a Roundcube webmailre:

Hali!

Mivel kikerült a PoC tegnap, ezért publikáltam az exploitomat a roundcube webmail-hez (str0ke kitette milw0rm-ra és a securityfocus-on is elérhető már). Érdekessége, hogy egy sima shell scriptben van összeütve az egész és a hagyományos php kód injektálás helyett ez fix kódot tol be a hibás résznél, amely viszont hivatkozik a HTTP Accept headerre és onnan olvassa fel base64el kódolt, futtatni kívánt kódot. Az egész interpreter jellegűen működik, tehát ugy lehet php utasításokat/függvényeket futtatni a távoli szerveren, mintha egy shellbe írná be az ember.

A kód kicsit nehezen átlátható talán elsőre és eléggé kusza, de nagyjából működik. Az exploitnál a kódinjektálásból jön vissza a "Succeeded" szöveg, így csak akkor jelenik meg ez az üzenet, ha garantáltan sikeres volt a támadás (nincs false positive).

Két nappal ezelőtt csináltam egy felmérést, akkor 50 roundcube kiszolgálóból 47 sebezhető volt. Köztük a Linus Torvalds volt egyeteme is (roundcube.cs.helsinki.fi) és itthon jópár szerver (thinkgeek.hu, stb.).

Üdv.

Hunger