Clear
Lead Graphic Papers

ระวังภัย โปรแกรม phpMyAdmin รุ่น 3.5.2.2 อาจมี Backdoor ฝังอยู่ (CVE-2012-5159)

วันที่ประกาศ: 27 กันยายน 2555
ปรับปรุงล่าสุด: 27 กันยายน 2555
เรื่อง: ระวังภัย โปรแกรม phpMyAdmin รุ่น 3.5.2.2 อาจมี Backdoor ฝังอยู่ (CVE-2012-5159)
ประเภทภัยคุกคาม: Malicious Code

Share on Facebook Share on Twitter Share on Google+

ข้อมูลทั่วไป

โปรแกรม phpMyAdmin เป็นโปรแกรมสำหรับจัดการฐานข้อมูล MySQL ที่นิยมใช้กันมาก ตัวโปรแกรมเขียนขึ้นด้วยภาษา php และใช้ติดตั้งในเครื่องแม่ข่ายเว็บที่สามารถเชื่อมต่อกับฐานข้อมูล MySQL ที่ต้องการจัดการได้ ผู้พัฒนา phpMyAdmin ได้ใช้ระบบของ Sourceforge เป็นสื่อกลางในการเผยแพร่โปรแกรม [1] ภายใต้ลิขสิทธิ์แบบ GPLv2 [2]

ในวันที่ 25 กันยายน 2555 มีการประกาศจาก Sourceforge ว่า พบ Backdoor ในสำเนาของ phpMyAdmin รุ่น 3.5.2.2 ในเครื่องแม่ข่ายเครื่องหนึ่งของ Sourceforge ที่ตั้งอยู่ในประเทศเกาหลี ซึ่งหลังจากพบเหตุดังกล่าว เครื่องแม่ข่ายที่มีปัญหาก็ได้ถูกระงับการให้บริการทันที แต่จากการตรวจสอบของ Sourceforge เอง พบว่ามีผู้ดาวน์โหลด phpMyAdmin สำเนาที่มี Backdoor นี้ออกไปจากเครื่องแม่ข่ายดังกล่าวไม่น้อยกว่า 400 ครั้ง ก่อนที่ Sourceforge จะปิดการให้บริการของเครื่องแม่ข่ายนี้ไป [3]

Backdoor ดังกล่าวพบในไฟล์ชื่อ server_sync.php ซึ่งไม่มีอยู่ในสำเนาของ phpMyAdmin ที่ถูกต้อง โดยไฟล์ดังกล่าวจะรับค่าใดๆ ผ่าน POST Method แล้วนำมาประมวลผลในระดับระบบปฏิบัติการ ซึ่งเป็นการเปิดช่องให้ผู้ไม่ประสงค์ดีสามารถโจมตีเครื่องแม่ข่ายที่ติดตั้ง phpMyAdmin ที่มี Backdoor นี้ ในรูปแบบ Remote Command Execution ได้ โดยไม่ต้องยืนยันตัวตนก่อน [4]

ผลกระทบ

ผู้ไม่ประสงค์ดีสามารถประมวลผลคำสั่งใดๆ ที่เป็นคำสั่งในระบบปฏิบัติการของเครื่องแม่ข่ายเป้าหมาย ในสิทธิระดับเดียวกับสิทธิของ Web Server Process ได้

ระบบที่ได้รับผลกระทบ

เครื่องแม่ข่ายที่ติดตั้ง phpMyAdmin สำเนาที่มี Backdoor ติดตั้งอยู่

ข้อแนะนำในการป้องกันและแก้ไข

ปัจจุบันนี้ เครื่องแม่ข่ายของ Sourceforge ในประเทศเกาหลีที่มีปัญหาได้ถูกระงับการให้บริการไปแล้ว และ Sourceforge เองได้ระบุว่า โปรแกรม phpMyAdmin รุ่น 3.5.2.2 ที่เผยแพร่ผ่านเครื่องแม่ข่ายเครื่องอื่นของ Sourceforge มีความปลอดภัย ส่วนผู้พัฒนาโปรแกรม phpMyAdmin ก็ได้ระบุว่า สำหรับผู้ที่ใช้งาน phpMyAdmin รุ่นดังกล่าวอยู่ ให้ตรวจหาว่ามีไฟล์ server_sync.php อยู่หรือไม่ หากพบว่ามีไฟล์ดังกล่าวแสดงว่า phpMyAdmin ที่ใช้งานอยู่เป็นสำเนาที่มี Backdoor อยู่ ควรทำการดาวน์โหลดโปรแกรม phpMyAdmin มาติดตั้งใหม่โดยด่วน [5]

อ้างอิง

1. http://sourceforge.net/projects/phpmyadmin/files/
2. http://www.phpmyadmin.net/home_page/license.php
3. http://sourceforge.net/blog/phpmyadmin-back-door
4. http://arstechnica.com/security/2012/09/questions-abound-as-malicious-phpmyadmin-backdoor-found-on-sourceforge-site/
5. http://www.phpmyadmin.net/home_page/security/PMASA-2012-5.php
Clear