Todo SPIP viejo es vulnerable: actualizar

Xabi me avisa de una vulnerabilidad en todos los spip no muy actualizados. No es la primera ni la última (ni siquiera muy nueva) pero es notoria la cantidad de sitios spip conocidos (principalmente en español) que todavia son vulnerables.

Como explica Xabi, es un agujero de seguridad tan burdo que hasta un niño puede explotarlo y obtener privilegios de administrador en el sitio.

Actualicen urgentemente a 2.1.26 o 3.0.17 segun corresponda.

saludos

PD: Siempre es bueno mantener sus sitios actualizados a la ultima versión de la rama que usan.

---------- Forwarded message ----------
From: xabi@nodo50.org <xabi@nodo50.org>
Date: 2014-09-17 16:18 GMT-03:00
Subject: tienes instancias spip vulnerables
To: gaitan@gmail.com

-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1

hola,
si se añade esto a la raíz de un sitio spip
/spip.php?page=identifiants&mode=0minirezo
y te deja rellenar un formulario, te manda passwd y puedes tener un
usuario admin del sitio

via python
http://www.exploit-db.com/exploits/33425/

a cambio, avisas tu a la comunidad spip-es: hace un par de semanas que
no sé como proceder, y josé luis no me contestó a cómo sería la mejor
manera de hacerlo…

salut!

http://info.nodo50.org/4137 | error al sistema

a internet la llibertat no és gratuïta

-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1

El 19/09/14 a les 20:48, Martín Gaitán ha escrit:

Actualicen urgentemente a 2.1.26 o 3.0.17 segun corresponda.

hola,

la seguridad por ofuscación no es buena, y no quise ocultar nada a la
comunidad, pero tampoco quería dejar la receta para el ataque en el
archivo de la lista.

ahora que ya está ahí, tampoco me parece tan mal: susto o muerte?

salut!
- --
###
http://info.nodo50.org/4137 | error al sistema
   ______________________________________
   a internet la llibertat no és gratuïta
    ====================================
-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1

iQEcBAEBAgAGBQJUHIJEAAoJEFDusbMSkZg4dZAIAIlN5BoACrimv8ZgioZIJF6E
k//X8fnunoWL3nQPkAn9+AeOxNdX1fZgg69Ja1B8Xq2tywbIw5JPni1OQowYZZwK
CKfxpO78EG/7aUDyVLJFv2BZ8WWGp8JeyG2luvOJl+wnyk+dZfRtHLDMhzeU1wIP
JorzP22QJ0W/VXcW5psbrl9cwrIovl57V4SLUv0MV1mp3gRSQquefoiopMvS8TZZ
3Ew/zfBngOX56JDomhQwJPDwNJyp8mjeI8NnF1eOPVvWEgiDKBQ8TfnyRQviYWWu
P4LwWd0KXVmTN3leglFaDLM7TdOlMf+LsxyKHmCezuePq1EdQJKcD/IT+CJ0rq8=
=Ui+9
-----END PGP SIGNATURE-----

Hola,

tenemos un sitio con spip que no estaba actualizado a la 2.1.26 y nos indican desde el proveedor de hosting que en un control rutinario han detectado malware.

De momento, han deshabilitado el servidor para hacer las correcciones necesarias.

Mi idea era seguir los siguientes pasos, pero no quiero precipitarme ya que nunca me he encontrado en esta situación:

1. Salvar en un PC la carpeta squeletes y la última salva de la BBDD, puede que sea de 3 o 4 meses atrás, pero en teoría con esos datos, ¿se reharía la foto a esa fecha?

2. Pasar antivirus

3. Intentar actualizar la versión de spip vía ftp a la 2.1.26 ¿correcto?

Si no hubiera funcionado lo anterior, recuperar con squelettes y la última salva de la BBDD, instalando desde cero.

¿Voy muy equivocado?

Gracias!

________________________________________
De: xabi@nodo50.org [xabi@nodo50.org]
Enviado: viernes, 19 de septiembre de 2014 21:21
Para: spip-es@rezo.net
Asunto: Re: [Spip-es] Todo SPIP viejo es vulnerable: actualizar

-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1

El 19/09/14 a les 20:48, Martín Gaitán ha escrit:

Actualicen urgentemente a 2.1.26 o 3.0.17 segun corresponda.

hola,

la seguridad por ofuscación no es buena, y no quise ocultar nada a la
comunidad, pero tampoco quería dejar la receta para el ataque en el
archivo de la lista.

ahora que ya está ahí, tampoco me parece tan mal: susto o muerte?

salut!
- --
###
http://info.nodo50.org/4137 | error al sistema
   ______________________________________
   a internet la llibertat no és gratuïta
    ====================================
-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1

iQEcBAEBAgAGBQJUHIJEAAoJEFDusbMSkZg4dZAIAIlN5BoACrimv8ZgioZIJF6E
k//X8fnunoWL3nQPkAn9+AeOxNdX1fZgg69Ja1B8Xq2tywbIw5JPni1OQowYZZwK
CKfxpO78EG/7aUDyVLJFv2BZ8WWGp8JeyG2luvOJl+wnyk+dZfRtHLDMhzeU1wIP
JorzP22QJ0W/VXcW5psbrl9cwrIovl57V4SLUv0MV1mp3gRSQquefoiopMvS8TZZ
3Ew/zfBngOX56JDomhQwJPDwNJyp8mjeI8NnF1eOPVvWEgiDKBQ8TfnyRQviYWWu
P4LwWd0KXVmTN3leglFaDLM7TdOlMf+LsxyKHmCezuePq1EdQJKcD/IT+CJ0rq8=
=Ui+9
-----END PGP SIGNATURE-----
_______________________________________________
Spip-es@rezo.net - http://listes.rezo.net/mailman/listinfo/spip-es
This e-mail and the documents attached are confidential and intended solely for the addressee; it may also be privileged. If you receive this e-mail in error, please notify the sender immediately and destroy it.
As its integrity cannot be secured on the Internet, the Atos group liability cannot be triggered for the message content. Although the sender endeavors to maintain a computer virus-free network, the sender does not warrant that this transmission is virus-free and will not be liable for any damages resulting from any virus transmitted.

Este mensaje y los ficheros adjuntos pueden contener información confidencial destinada solamente a la(s) persona(s) mencionadas anteriormente y pueden estar protegidos por secreto profesional.
Si usted recibe este correo electrónico por error, gracias por informar inmediatamente al remitente y destruir el mensaje.
Al no estar asegurada la integridad de este mensaje sobre la red, Atos no se hace responsable por su contenido. Su contenido no constituye ningún compromiso para el grupo Atos, salvo ratificación escrita por ambas partes.
Aunque se esfuerza al máximo por mantener su red libre de virus, el emisor no puede garantizar nada al respecto y no será responsable de cualesquiera daños que puedan resultar de una transmisión de virus.

Hola

No te olvides de carpetas de imágenes, etc.

Como lo puedes hacer en paralelo, puedes primero actualizar la que tienes, validando que los datos que tenias siguen apareciendo y que no hay nada extra, luego, por seguridad, puedes comparar la nueva instalación con la vieja y ver qué archivos extra hay, que puedan ser el malware que indican, así como ficheros de spip que hayan sido modificados.

Saludos,
Pablo

-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1

Muy estimados spiperos,

Yo soy uno de los culpables, por dejadez, de la poca administración de
esta lista y de otros recursos spip-es. (pero no es de corazón, sólo de
otras vorágines).

El 19/09/14 a las 16:21, xabi@nodo50.org escibió:

la seguridad por ofuscación no es buena, y no quise ocultar nada a la
comunidad, pero tampoco quería dejar la receta para el ataque en el
archivo de la lista.

ahora que ya está ahí, tampoco me parece tan mal: susto o muerte?

Quizás le podemos pedir a los cumpas de spip-core que al menos borren el
mensaje en los archivos, para que no quede publicado. ¿les parece?

Abrazo desde Uruguay,
daniel

-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.4.12 (GNU/Linux)

iQIcBAEBAgAGBQJUcIH/AAoJEArBiPeUidmZNXwP/2oC7qtDQk9KgflMbR1qgELX
mikuMef29Hawe6by3ZwJ/zTg6Hz9+mivvqRVbsxhK1/I/r/P+IlxjktXb7hfqH1m
V0baR7L88O5BT7LhYbVotvi/V9PjptNEGzoeEMQg5mDtL6gv+4Zlen1V7Js7UDY5
EdG+2+Pzapwom/sZ54VkqQLs9IAX8vMk9d1iBXpwjmVrZ5AbIMa+SW1jJe83urvQ
xZsm3n7DjYAHLu1Q4nNoWfcE2foArSax0zPBA3oc0C/bDsnZkabS8/0W9UpFLy0n
y+H4MIMFDhZiP4UNmrsmvNzyecfTXF+TwqeDQh60krsPIh6yv3UBhv0IOxXIXPwh
x3mA4jr9wKR9nDqCxfUMteT7CmZy29306JcuJoBhTQhfmio5fzNTptyt5Ij2nBLU
9wRq4NTrZ4u1BNjq9wjlJ6ncPdIvR7xWCmQLXL2ihr2i1v3BddiVXU9riDhUlhdt
Wx8PUqprJ0Ce5l+ayXL3z+Fh9uRLsGclLmf6cn1R6urWIcF4gpGZ0Uo4+uBP1+Ep
4z/xEKwJ48sXoXNWdx2GeEY9h6i2hQHVJQPSz2LBCtHfmvIG4bezqMAx4S8I523M
Zc+TFUElLM5iynxBhvpkzwfL/QhpBVapAtNrn1V2zQ1BIFBJSbqyg//yBeT9ZZB3
vanfj+IZa8zn9QDC6cfM
=iCGa
-----END PGP SIGNATURE-----

Quizás le podemos pedir a los cumpas de spip-core que al menos borren el
mensaje en los archivos, para que no quede publicado. ¿les parece?

La cosa es muy conocida -- en mi opinion borrarla no serviria para nada.

-- Fil

Bueno, yo no la conocía (pero solo de pelotudo A ver si me hackeo algún spip por ahí… Y a actualizar los sitios, ¡sea dicho!

Hola lista. Aquí un antiguo habitual desaparecido pero atento a todo lo que se comenta.

Un pregunta ¿porqué usar la 2.1.26 si existe la 2.1.4 de fecha posterior? Entiendo que la 2.1.4 estará más actualizada ¿me equivoco?

Saludos.
F.

El 26/11/14 a las 21:45, Fernando García Balestena escribió:

Un pregunta ¿porqué usar la 2.1.26 si existe la 2.1.4 de fecha
posterior? Entiendo que la 2.1.4 estará más actualizada ¿me equivoco?

Hola Fernando, no es así, la 2.1.26 es posterior a la 2.1.4.
Todos los números que forman la versión siguen una progresión normal, es
decir que 26 es mayor que 4.

Quizás lo que te confunde son las fechas que aparecen en la página de
descargas http://files.spip.org/spip/archives/?lang=es
Esas fechas no corresponden a la de publicación de cada versión, me
imagino que esa página muestra la fecha de la última modificación del
archivo en el disco duro del servidor. Además no hace una ordenación
numérica correcta, lo que añade mas confusión.

Si te fijas en esas fechas, de la 2.1.5 a la 2.1.8 tienen la misma
(24-01-2011) y no creo que hayan sacado 4 versiones en un día.

No he encontrado el anuncio original de la 2.1.4, pero sí de la 2.1.5 y
es del 22 de diciembre de 2010 http://blog.spip.net/SPIP-2-1-5.html?lang=fr
Y el anuncio de la 2.1.26 es del 14 de marzo de 2014
http://contrib.spip.net/Alerte-SPIP-2-0-25-SPIP-2-1-26-SPIP-3-0-16-sont-gavees?lang=fr

En cuanto a lo que se hablaba de si comentar o no los detalles de la
vulnerabilidad, ya están por todos lados desde hace meses, por ejemplo:
http://www.exploit-db.com/exploits/33425/

Lo que hay en las dos últimas semanas es una ola de ataques usando este
fallo. Uno de los autores es Fallag GTX y reivindica sus defacements en
http://zone-h.org/archive/notifier=Fallag%20GTX/page=1

salud!
Santi

-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1

El 27/11/14 a les 10:27, Santi ha escrit:

Lo que hay en las dos últimas semanas es una ola de ataques usando
este fallo. Uno de los autores es Fallag GTX y reivindica sus
defacements en
http://zone-h.org/archive/notifier=Fallag%20GTX/page=1

hola!
meto esto en este hilo,

¿os llegan mensajes como los de la imagen?

salut!
- --
###
http://info.nodo50.org/4137 | error al sistema
   ______________________________________
   a internet la llibertat no és gratuïta
    ====================================
-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1

iQEcBAEBAgAGBQJUdvXDAAoJEFDusbMSkZg4eoQH+gP/qb92zX0lj6yS/wyR9xVP
tJfJVHYyk1P9lwrKqaEnOluoz6CZg8MiBl7Bogm+4LvY7GRVpJ+1yOSVoGdDQ6Cn
M12pnkHcaJQYfWxKAKDEyoBdzzle5DVD+GALVa2OyP7O5qfKasRk8Qy7Ur8OyX+J
0NEWO/GAIqQWcG6ikjez8xN92H7KeYQDtzKDSn+qaW2hPO+NQmoSIDwdRk5QDWDO
cuKR8Wp00yBHlOHcm87tTXLyHbWU9X0c6lxyoAbOy/JDp8MnIPqt7KAMIZedlGbR
lL2UCv8aQqzPUKOwdD/XC0USZiqcy2VC92UFU3ASepyzz1GS8xxjLmVHURAnt6E=
=rIHV
-----END PGP SIGNATURE-----

Gracias Santi, totalmente claro y efectivamente me decía que la 2.1.26 era más antigua que la que tenía instalada.

Informo por si os interesa, que el miércoles me liquidaron todos los contenidos de una web con Spip. Creo que fue un ataque muy deliberado, no indiscriminado, por el contenido de la web y la « reivindicación » que dejaron.

La cuestión es que borraron todo, sólo dejaron las carpetas de primer nivel pero sin contenidos. La base de datos sin embargo estaba intacta (y entiendo que si quisiera podría haber entrado también). Hubo que restaurar 10 gb de archivos que afortunadamente teníamos en una copia de seguridad reciente.

No sé cómo entraron, el proveedor de hosting me dice que no ha habido actividad FTP a la hora del crackeo. Las claves eran seguras y no había más que una cuenta FTP para el acceso a todo el sistema, una adicional para el tmp/upload.

Por tanto, la única medida de seguridad que puedo tomar es cambiar las claves MySQL y FTP, dejar la versión de Spip más actualizada… y mantener una buena automatización de backups y cruzar los dedos.

Saludos y gracias.
F.

PD: No tengo ningún ataque del cracker que dices Xavi, en aproximadamente 20 spips activos.