phpMyAdmin, una de las aplicaciones más populares para administrar bases de datos basadas en MySQL y MariaDB, tiene una nueva vulnerabilidad de día cero y el investigador a cargo del descubrimiento publicó una PoC para respaldar el hecho, falla la cual aún no ha sido parcheada.
Una herramienta de administración gratuita y de código abierto que se usa ampliamente para administrar bases de datos de sitios web creados con WordPress, Joomla y muchas otras plataformas de administración de contenido (CMS). La vulnerabilidad afirma ser una falla de falsificación de solicitudes entre sitios (CSRF), también conocida como XSRF, un ataque bien conocido en el que los atacantes engañan a los usuarios autenticados para que ejecuten una acción no deseada. Identificada por CVE-2019-12922 , la falla ha recibido una calificación CVSS media debido a su alcance limitado que solo permite que un atacante elimine cualquier servidor configurado a través de la página de configuración del panel de phpMyAdmin en el servidor de la víctima.
Cabe señalar que este ataque no permite a los ciberdelincuentes eliminar ninguna base de datos o tabla almacenada en el servidor. El flujo del ataque consiste en enviar una URL modificada a los administradores web que ya hayan iniciado sesión en su panel de phpMyAdmin engañándolos para que eliminen sin consentimiento, el servidor configurado, simplemente haciendo clic en este enlace malicioso.
Sin embargo, la vulnerabilidad es trivial para explotar porque, aparte de conocer la URL del servidor de destino, un atacante no necesita conocer ninguna otra información, como por ejemplo el nombre de las bases de datos. La falla afecta a las versiones de phpMyAdmin hasta 4.9.0.1, que es la última versión. La falla de seguridad incluso reside en phpMyAdmin 5.0.0-alpha1, la cual se lanzó en julio de 2019.
La vulnerabilidad fue descubierta en junio de 2019 y también se informó de manera responsable a los responsables del proyecto. A pesar de ello, después de que los responsables de phpMyAdmin no pudieron corregir la vulnerabilidad dentro de los 90 días posteriores a la notificación, el investigador decidió divulgar los detalles de la vulnerabilidad y PoC publicado el 13 de septiembre. Para abordar esta vulnerabilidad, el experto recomendó "implementar en cada llamada la validación de la variable de token, como se hace en otras solicitudes de phpMyAdmin", como solución.
Hasta que los responsables de mantenimiento corrijan la vulnerabilidad, se recomienda encarecidamente a los administradores de sitios web y proveedores de alojamiento, evitar hacer clic en enlaces sospechosos para prevenir este tipo de ataque.
REFERENCIA
https://seclists.org/fulldisclosure/2019/Sep/23
COMENTARIOS