Pünktlich zur Weihnachtszeit wurde ein Exploit zu Schwachstellen in der Foren-Software phpBB veröffentlicht. Mit ihm lassen sich auf Systemen, auf denen phpBB in einer Version bis einschließlich 2.0.17 läuft, beliebige Befehle ausführen. Bereits vergangenes Jahr um diese Zeit nutzte der Wurm Santy ähnliche Schwachstellen, um massenweise Web-Server zu entstellen. Ob die in den letzten Tagen bei heise Security vermehrt eingegangenen Berichte über Befälle mit einem Lupper-Wurm bereits mit diesem Exploit in Zusammenhang stehen, ist bisher nicht klar.

Der Exploit sendet POST-Anfragen für profile.php?GLOBALS[...], die sich in den Log-Dateien des Web-Servers finden lassen sollten. Über sie versucht er einen neuen User r57phpBB2017xplXXXX anzulegen und dabei den auszuführenden Code einzuschleusen. Der Exploit funktioniert nur mit PHP bis einschließlich Version 5.0.5 wenn register_globals aktiv ist.

Die Lücken in phpBB wurden Ende Oktober durch das "Halloween Special Release", also Version 2.0.18 beseitigt. Betreiber von PHP-Foren insbesondere mit phpBB sollten unbedingt überprüfen, ob bereits die aktuelle Version in Betrieb ist und wenn nicht, das Forum sofort stilllegen bis die aktuelle Version installiert wurde.

QUELLE