DragonSoft 安全通報

網站型病毒 Santy.A 利用 phpBB 弱點進行感染，phpBB 用戶需盡速更新程式

phpBB 為廣受使用的網站論壇程式，由於 phpBB 論壇程式中的 viewtopic.php 存在安全弱點，自 11 月份公佈弱點後，駭客便開始利用弱點進行攻擊，置換網站頁面及竊取資料。在 2004/12/22 發現，駭客更進一步的將此弱點的寫成 Santy.A 病毒。

安全弱點是發生在 viewtopic.php 中，由於 urldecode() 函數在處理 "highlight" 參數時未充分過濾使用者提供的資料內容，而可以讓遠端攻擊者在安裝 phpBB 的伺服器執行任意程式碼。

受影響的 phpBB 論壇程式為 2.0.11 之前的版本，Santy.A 是透過 Google 搜尋引擎找尋安裝 phpBB 的伺服器，然後攻擊這些存在安全弱點的伺服器，當攻擊成功後，Santy.A 會將自己複製到受感染的主機，並且使用以下內容覆蓋 asp, .htm, .jsp, .php, .phtm, .shtm 檔案。

This site is defaced!!!
NeverEverNoSanity WebWorm generation (感染數)

DragonSoft 安全研究小組建議安裝 phpBB 論壇程式的用戶盡速更新至 2.0.11 版本，對駭客及病毒防範於未然，也避免電腦中的機密資料遭竊取。

相關連結:

PHPBB viewtopic.php SQL 植入弱點
http://vdb.dragonsoft.com.tw/detail.php?id=2080
US-CERT Technical Cyber Security Alert TA04-356A
http://www.us-cert.gov/cas/techalerts/TA04-356A.html

攻擊程式:

Santy.A - phpBB <= 2.0.10 Web Worm Source Code
http://vdb.dragonsoft.com.tw/exploit/Santy.A.html
Santy.B - phpBB <= 2.0.10 Bot Install (Using AOL/Yahoo Search) 2004/12/25 更新
http://vdb.dragonsoft.com.tw/exploit/Santy.B.html
Santy.C - PHP Scripts Automated Arbitrary File Inclusion 2004/12/25 更新
http://vdb.dragonsoft.com.tw/exploit/Santy.C.html

關於 DragonSoft Security Associates, Inc. (中華龍網股份有限公司)

DragonSoft 於 2002 年推出全球第一個全中文的網路安全弱點評估軟體.
DragonSoft Secure Scanner 於 2003 年 10 月獲得國際安全組織 CVE(Common Vulnerability and Exposure) 的認可, 為台灣第一個獲得 CVE 認可的資訊安全產品.
Dragonsoft Secure Scanner 於 2004 年 11 月獲得 Certificates of CVE Compatibility 認證.

國際安全組織 CVE (Common Vulnerability and Exposure)，是目前在國際上最具公信力的安全弱點披露與發佈單位，其目前與全球一百二十五個組織機構（包含相關之非營利政府單位、學術研究機構、公司單位）及全球二百項安全產品、五十七家開發原廠共同合作，「CVE」是編號與命名特定弱點的標準協定，以確保哪個弱點已經清楚確實的被辨識出來。商業工具將提供追隨 CVE 協定的結果。並不是所有的軟體工具都會提供這樣的功能，而是只有少數的專屬工具(proprietary)會被 CVE 協定編入。