Обнаружена уязвимость в форумном движке phpBB3

Специалисты по безопасности компании RIPS Technologies опубликовали информацию об уязвимости, обнаруженной ими в движке phpBB3, предназначенном для администрирования форумов. Баг позволяет злоумышленнику, получив права администратора одного из форумов, исполнить собственный код и захватить полный контроль над всем сервером.

Как это работает?

Администраторы форумов могут редактировать загружаемые изображения и указывать системе абсолютный путь с помощью редактора ImageMagic. Для реализации бага хакер должен разместить на сервере файл с собственным кодом и знать точный путь к нему. При осуществлении атаки используется уязвимость Phar deserialization, основанная на применении PHP-архивов формата .phar. Она включает следующие этапы:

• Загрузка файла. Сначала злоумышленнику нужно загрузить на сервер файл с вредоносным кодом. Сделать это можно даже с правами рядового пользователя, так как форумы разрешают загрузку вложений к постам.
• Смена расширения. Движок проверяет расширение файла и не позволяет загрузить данные с расширениями, отличными от разрешённых. Однако для файла PHP-архива можно сменить расширение на .jpeg или любое другое из белого списка, что не помешает его запуску.
• Извлечение точного пути к файлу. Тем не менее возникает другая сложность. Всем загруженным файлам phpBB3 присваивает случайные имена, таким образом, точный путь к коду остаётся неизвестным хакеру. Обойти это можно, активировав загрузку файла по частям. Сервер принимает разбитый на фрагменты код и собирает его во временном файле, название которого генерируется из названия принимаемого файла, его расширения и особого параметра — plupload_salt — уникального для каждого сервера. Значение plupload_salt хакер может получить из бэкапа сервера, для этого потребуются права администратора. Для того, чтобы движок не удалил временный файл, можно заявить об отправке большего количества пакетов, чем на самом деле, заставив систему ожидать недостающие.

Угрожает ли уязвимость форумам на phpBB3?

Информация опубликована на сайте компании 20 ноября 2018 года, через полтора месяца после реального обнаружения уязвимости. За это время разработчики движка успели выпустить патч 3.2.4, устраняющий возможность атаки. Таким образом, для серверов, на которых установлена актуальная версия ПО, опасность устранена.

В то же время специалисты RIPS Technologies отмечают, что Phar deserialization — новая техника, и проблема может затронуть многие аналогичные системы.

RIPS Technologies регулярно сообщает об уязвимостях, обнаруженных в различных CMS. В начале ноября 2018 года специалисты компании нашли серьёзные баги в плагине WooCommerce для WordPress.