WHMCS è un popolare software basato su PHP utilizzato da numerosi provider per la fornitura di servizi di hosting e per la gestione dei ticket di supporto. Lo scorso 15 Ottobre il team di WHMCS ha rilasciato una patch di sicurezza dopo la scoperta di una vulnerabilità che affligge la versione 4.X del prodotto. Nel dettaglio la falla coinvolgerebbe il processo di gestione dei template. Secondo il team degli sviluppatori di WHMCS il bug consentirebbe ad un attaccante di sfruttare la debolezza per iniettare comandi malevoli con risultati imprevedibili. La scoperta della vulnerabilità non ha sollevato più di tanta preoccupazione grazie anche alla tempestiva comunicazione dello staff di WHMCS verso tutti i clienti,con il rilascio immediato di una patch tra l’altro molto semplice da applicare [http://forum.whmcs.com/showthread.php?t=42121]. Particolarmente didattico si rivela invece essere lo studio delle rilevazioni acquisite con gli IDS pochi giorni dopo l’annuncio della vulnerabilità quando sull’onda dell’entusiasmo i blackhat hanno campo libero nello sfruttamento della falla per attaccare i sistemi vulnerabili e non patchati. Ecco cosa hanno iniziato a “vedere” i sensori dislocati dal nostro staff :
BEGIN LOG GET /billing/cart.php?a=test&templatefile=../../../../../../../../etc/passwd%00 - Offending IP: 65.111.XX.XX GET /whmcs/cart.php?a=test&templatefile=../../../../../../../../etc/passwd%00 - Offending IP: 65.111.XX.XX GET /whmcs/billing/cart.php?a=test&templatefile=../../../../../../../../etc/passwd%00 - Offending IP: 65.XX.XX END LOG
In questo esempio l’ip attaccante tenta di sfruttare il bug su WHMCS con un attacco di tipo directory traversal. Nello specifico l’obiettivo è quello di leggere il file /etc/password, bersaglio ambito per qualsiasi blackhat che si rispetti. Dal momento che non è stato specificato in alcun modo come la falla su WHMCS può essere sfruttata, gli attaccanti fanno uso di scanner automatizzati per l’individuazione di punti d’ingresso vulnerabili. Nelle situazioni come quella descritta è fondamentale seguire con costanza comunicati e aggiornamenti da parte del produttore del software oltre a munirsi celermente delle ultime patch disponibili. Come sempre la tempestività e la capacità di stare al passo con il flusso delle informazioni è di vitale importanza per la protezione dei sistemi.
