В поставке открытого форума MyBB обнаружен вредоносный код

25 октября 2011 года

В начале октября разработчики открытого форума MyBB опубликовали уведомление о наличии критической уязвимости в последней версии MyBB 1.6.4, выпущенной три месяца назад. Сегодня опубликованы подробности, указывающие на то, что уязвимость, позволяющая выполнить произвольный код PHP, была внесена злоумышленниками путем подмены архива с релизом форума на сервере загрузки.

По словам разработчиков, злоумышленники проникли в систему через неизвестную уязвимость в движке сайта, разработанном своими силами, но основанном на использовании сторонних открытых фреймворков. Разработчики считают, что проблема безопасности присутствует не в коде их CMS, который не распространяется публично, а в используемых внешних фреймворках. Подробности совершения взлома и время подмены архива неизвестны, поэтому разработчики рекомендуют срочно установить обновление для всех пользователей MyBB 1.6.4, загрузивших архив до 6 октября. Пользователям рекомендуется проверить файл index.php на наличие вредоносного кода и удалить директорию "install".

Уязвимы системы в файле index.php которых содержится строка:

eval("\$loginform = \"".$templates-get("index_loginform")."\";".@$col[23]);

для блокирования вредоносного кода, данную строку следует заменить на:

eval("\$loginform = \"".$templates-get("index_loginform")."\";");

С целью предотвращения подобных инцидентов в будущем, разработчики MyBB намерены начать распространение контрольных сумм для проверки целостности изначально опубликованных архивов. Контрольные суммы планируется распространять через сторонний сервер, чтобы исключить ситуацию, при которой злоумышленники могут подменить файлы с контрольными суммами. Второй вариант, который рассматривают разработчики MyBB - использование для организации загрузки релизов сетей доставки контента (CDN).