Mondo
Un nuovo worm che si propaga sfruttando le vulnerabilità dei software web server sta attaccando i sistemi Linux, che finora sembravano immuni a questo tipo di minacce.
Il worm, che la società antivirus McAfee ha battezzato ‘Lupper’, si diffonde attraverso quei web server che ospitano script suscettibili in location specifiche, installando ed eseguendo una copia del worm appena trova un server vulnerabile.
Sui server infettati viene installata una backdoor, che permette agli hacker di prendere il controllo del sistema in remoto e inserire il Pc in una rete di computer compromessi (le cosiddette reti zombie), utilizzata per sferrare nuovi attacchi contro altri computer o per inviare email spam.
Lupper, spiega Symantec, sfrutta tre vulnerabilità per propagarsi: la XML-RPC for PHP Remote Code Injection; AWStats Rawlog Plugin Logfile Parameter Input Validation e Darryl Burgdorf’s Webhints Remote Command Execution.
La falla XML-RPC colpisce i sistemi di blogging e i software di gestione dei contenuti ed è stata scoperta all’inizio di quest’anno. Sono già disponibili patch correttive per la maggior parte dei sistemi.
AWStats è un analizzatore di log open source che roduce statistiche dettagliate e complete per una svariata tipologia di log, da quelli dei Web Server a quelli dei server di eMail o FTP.
Vulnerabilità multiple riscontrate nel software – relative ai parametri ‘loadplugin’ e ‘pluginmode’ di ‘awstats.pl’ nelle versioni 4.0, 5.X esclusa la 5.6, e 6.0/1/2 – consentono ad aggressori di sfruttare AWStats per eseguire comandi da remoto coi privilegi del server Web che esegue l’applicativo.
Anche in questo caso, la patch è disponibile già da febbraio.
Per i problemi al terzo script non ci sono al momento correttivi disponibili.
McAfee definisce Lupper come un worm a basso rischio. Per Symantec, che lo chiama “Plupii”, la pericolosità è invece di livello medio, nonostante il worm non si sia diffuso su ampia scala.
Symantec e McAfee hanno aggiornato i loro prodotti per la protezione contro quest’ultima minaccia e raccomandano, in caso di infezione, di reinstallare completamente il sistema, a causa delle difficoltà a determinare a quali pericoli il Pc sia veramente esposto.
