PhpMyAdmin Malicioso Disponibilizado a Partir do Source Forge

Uma versão maliciosa da ferramenta de administração de banco de dados phpMyAdmin foi descoberta em um dos espelhos oficiais do SourceForge, o repositório popular online para o software livre e de código aberto. A equipe do phpMyAdmin foi notificada sobre este problema pelo Tencent Security Response Center, e eles imediatamente colocaram um aviso aos seus usuários. A partir de tal momento, eles começaram a alertar a equipe no SourceForge, que montou uma investigação sobre o assunto.

“Em 25 de setembro, o SourceForge tomou conhecimento de uma cópia corrompida do phpMyAdmin, que está sendo oferecida a partir do espelho ‘CDNetworks-kr-1’ situado na Coréia. Este espelho foi imediatamente removido a partir da rotação”, disse Rich Bowen, da Community Growth Hacker at SourceForge, o que foi confirmado no blog do site. “O fornecedor do mirror confirmou que o vetor de ataque foi identificado e é limitado ao seu espelho, com o exploit tendo ocorrido em torno do dia 22 de setembro”.

Usuários fizeram o download do arquivo corrompido, e aqueles que poderiam ser rastreados através desses logs foram imediatamente alertados.

phpMyAdmin oferece riscos aos seus downloaders devido a infiltração de código malicioso

Bowen disse ainda que os downloaders estão em risco somente se uma cópia corrompida deste software tiver sido obtida, instalada em um servidor, e sua disponibilidade estiver sendo ativada. Exame de web logs e dados de outro servidor deve ajudar a confirmar se este backdoor foi acessado.

Ele ainda acrescentou que essa é a recomendação para que downloaders deste arquivo corrompido (que contém ‘server_sync.php’) possam avaliar os riscos e tomar as medidas que considerarem adequadas, incluindo a exclusão do arquivo corrompido e o download de uma nova cópia. Até o presente momento, parece que apenas um arquivo foi danificado, mas a investigação sobre essa ocorrência nefasta, certamente continua.

Fontes: http://under-linux.org/phpmyadmin-malicioso-disponibilizado-partir-do-source-forge-5354/

              http://www.net-security.org/secworld.php?id=13664