В сообществе Хабрахабр появилась заметка в которой описана уязвимость zero-day в web-почте roundcube. Злоумышленники могут удаленно изменить значение любой переменной конфигурации и открыть любой файл, передает SecurityLab.
В безопасности почтового сервиса roundcube сомневаются редко. Автор опубликованного в Хабрахабр поста занимается разработкой службы shared-hosting. Пользователи этого популярного решения для roundcube стали присылать жалобы на утечку данных к FTP.
Расследуя один за другим эти инциденты, эксперт установил, что раскрытие данных связано с использованием web-части почтовой системы roundcube. Для того чтобы обнаружить брешь, через которую происходила утечка данных, исследователь выполнил выборочное протоколирование прокси серверов США.
Обнаружился ряд сообщений, к которым прикреплен сценарий config/db.inc.php. Из этого файла злоумышленники извлекали пароль roundcube, и затем подключались к базе данных почтового сервиса через phpmyadmin.
Самый очевидный методы борьбы — очистка и перемонтирование /tmp с опцией noexec. Не у всех, однако, /tmp на отдельном разделе.
Пока что мы заметили такие названия файлов с троянами: wcube и kaibsd. Соответственно
для Linux:
chmod 0 /tmp/wcube; killall -9 wcube; chattr +i /tmp/wcube
для FreeBSD:
chmod 0 /tmp/kaibsd; killall -9 kaibsd; chflags schg /tmp/kaibsd
Ну и, в любом случае, для профилактики
chmod 0 /var/www/html/roundcube/bin/html2text.php
Более общая чистка может быть произведена так:
find /tmp -type f -perm -u+x -exec chmod -x {} \;