"Em 25 de setembro, o SourceForge tomou conhecimento de uma cópia corrompida do phpMyAdmin, que está sendo oferecida a partir do espelho 'CDNetworks-kr-1' situado na Coréia. Este espelho foi imediatamente removido a partir da rotação", disse Rich Bowen, da Community Growth Hacker at SourceForge, o que foi confirmado no blog do site. "O fornecedor do mirror confirmou que o vetor de ataque foi identificado e é limitado ao seu espelho, com o exploit tendo ocorrido em torno do dia 22 de setembro".
phpMyAdmin oferece riscos aos seus downloaders devido a infiltração de código malicioso
O arquivo - phpMyAdmin-3.5.2.2-all-languages.zip - foi modificado para incluir um backdoor, que permitiu que os atacantes pudessem executar remotamente código PHP no servidor que executa a versão maliciosa de phpMyAdmin. De acordo com seus registros, cerca de 400 usuários fizeram o download do arquivo corrompido, e aqueles que poderiam ser rastreados através desses logs foram imediatamente alertados.
Bowen disse ainda que os downloaders estão em risco somente se uma cópia corrompida deste software tiver sido obtida, instalada em um servidor, e sua disponibilidade estiver sendo ativada. Exame de web logs e dados de outro servidor deve ajudar a confirmar se este backdoor foi acessado.
Ele ainda acrescentou que essa é a recomendação para que downloaders deste arquivo corrompido (que contém 'server_sync.php') possam avaliar os riscos e tomar as medidas que considerarem adequadas, incluindo a exclusão do arquivo corrompido e o download de uma nova cópia. Até o presente momento, parece que apenas um arquivo foi danificado, mas a investigação sobre essa ocorrência nefasta, certamente continua.
Saiba Mais:
[1] Net Security http://www.net-security.org/secworld.php?id=13664