Versión troyanizada de phpMyFAQ descargable desde la web oficial

El equipo de phpMyFAQ ha informado a través de su página web que desde el 4 al 15 de diciembre ha estado siendo descargada una versión del software phpMyFAQ que contenía una puerta trasera. Al parecer el servidor que alojaba la versión oficial ha sido vulnerado, sustituyéndola por una fraudulenta. Los atacantes también modificaron el hash MD5 en la web que "garantizaba" la integridad del archivo, en un intento de ser detectados en el caso de que algún usuario comprobase la firma del fichero.

phpMyFAQ es una popular aplicación para preguntas y respuestas frecuentes escrito en PHP.

La puerta trasera estaba codificada en base64 y se encontraba en la función getTopTen localizada en el fichero inc/Faq.php. El código fraudulento enviaba un correo electrónico al atacante informando del servidor donde se encontraba instalada la versión troyanizada. Además añadía una entrada en la tabla faqconfig, por la que los atacantes podían ejecutar código PHP arbitrario.

Las versiones afectadas son phpMyFAQ 2.6.11 y 2.6.12.

Los ficheros fraudulentos han sido sustituidos y su CVE asignado es CVE-2010-4558.

Fernando Ramírez
framirez@hispasec.com

Más información:

phpmyfaq.de compromised
http://www.phpmyfaq.de/advisory_2010-12-15.php