Nieuws
image

Mambo websites gehackt via 0day exploit

zondag 20 november 2005, 08:36 door Redactie, 12 reacties

Volgens verschillende berichten is een aantal websites die gebruik maken van het web portal / content management systeem "Mambo" gehackt via een 0day exploit die de ronde doet. De exploit is gebaseerd op een zeer ernstig lek dat eerder deze week ontdekt werd. Door dit lek kan een remote aanvaller bepaalde informatie manipuleren en een kwetsbaar systeem overnemen.

Vooral linux.lorma.edu en verschillende .edu.ph en .gov.ph websites waren het slachtoffer van de hackers, die naast het defacen van de website ook een backdoor installeerden. Om het lek in Mambo te misbruiken moet de optie "register_globals" uitgeschakeld staan. Als oplossing wordt aangeraden om de broncode zo aan te passen dat door het systeem gebruikte "pre-defined arrays" niet overschreven kunnen worden door parameters die door een gebruiker worden opgegeven. (SecurityFocus)

Reacties (12)
20-11-2005, 10:30 door egeltje
Zelfs Mambo's eigen site is gedefaced... Je zou toch denken dat ze die als
eerste dichttimmeren als er een lek gevonden is.
20-11-2005, 11:48 door Anoniem
Door egeltje
Zelfs Mambo's eigen site is gedefaced... Je zou toch denken dat ze die als
eerste dichttimmeren als er een lek gevonden is.
En het allerergste is nog dat Mambo er nog steeds niks aan heeft gedaan, terwijl gisteravond toch al duidelijk was dat ze gedefaced waren. Er staat zelfs niks op de site over hun defacement. Alleen een "ouder" bericht over potentiele problemen.
20-11-2005, 12:28 door Anoniem
wtf is Mambo
20-11-2005, 13:28 door Anoniem
Het lijkt me waarschijnlijker dat "Register_globals" AAN
moet staan om het te misbruiken. Sowieso is dat vragen om
problemen; standaard staat het *tegenwoordig* uit als je PHP
installeert (vroeger niet).

Alleen om brakke verouderde php code te kunnen draaien
zetten sommige mensen het weer aan.. sjah.
20-11-2005, 13:33 door Anoniem
Correctie, na het lezen van de advisory blijkt dat het in de
global.php file zit die register_globals emuleert.

1) Waarom zou je iets onveiligs willen emuleren? Er is geen
enkel excuus om de variabelen handmatig te declareren.
2) Frappant dat de servers die de PHP beveiliging NIET op
orde hebben, niet vatbaar zijn voor deze exploit :P
20-11-2005, 13:49 door Anoniem
Natuurlijk zijn ze niet de schuldigden maar eigenschuld dat
nu blijkt dat ze zo onveilig zijn is het wel. De bobo's van
mambo hebben de tent zo erg een financieel circus gemaakt en
de inbreng over veranderingen beperkt tot bedrijven en
personen die meer dan $ 5000,= betalen dat de meeste goede
vrijwillige ontwikkelaars vertrokken zijn naar de volledig
open source afsplitsing Joomla. De bobo's met het geld
kunnen niet ontwikkelen laat staan dat ze snel zijn om hun
team ertoe aan te zetten. Zie hier de gevolgen.Waar mambo
voor stond is nu echt weg dankzij de geldwolven.
20-11-2005, 15:38 door Anoniem
Heh mambo heeft een leuke historie qua security incidents.
20-11-2005, 22:48 door Anoniem
"0day exploit " k lopt niet, indien bug al bekend is kan het geen 0day meer
zijn. 0 day heeft te maken dat de bug niet bekend is dat je middels een
bekende bug een proof of concept kan maken wil niet zeggen dat het een
0day is.
20-11-2005, 23:01 door beamer
Iedereen die apache met PHP draait zou sowieso ook
mod_security moeten
installeren, voor dit specifieke geval zie:
http://www.modsecurity.org/documentation/php-register-globals.html
21-11-2005, 10:50 door sikkes
Door Anoniem
wtf is Mambo

naast dat het gewoon in het artikel staat, STFW
http://www.google.com/search?q=mambo
22-11-2005, 09:04 door Anoniem
Wie gebruikt er dan nog mambo. Als je verstandig bent dan stap je over
naar Joomla. daar zitten de echte programmeurs.
22-12-2005, 23:11 door Anoniem
Door Anoniem
Wie gebruikt er dan nog mambo. Als je verstandig bent dan
stap je over
naar Joomla. daar zitten de echte programmeurs.

Dit zelfde probleem zit ook in Joomla; dat heb ik zojuist
gemerkt:
Mijn Joomla site is gehackt.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Zoeken
search
Certified Secure