Scoperta una vulnerabilità in phpMyAdmin che consente agli Hacker di eliminare tabelle e record del database
Tra le applicazioni più comuni e richieste per la gestione di database MySQL è il phpMyAdmin, strumento di amministrazione per MariaDB e MySQL open source e gratuito. E’ ampiamente utilizzato nella gestione del database per i siti web che sono stati progettati utilizzando Joomla, WordPress e altre piattaforme per la gestione dei contenuti.
Cosa è phpMyAdmin
phpMyAdmin è un’applicazione web scritta in PHP, distribuita con licenza GPL, che consente di amministrare un database MySQL o MariaDB tramite un qualsiasi browser. L’applicazione è indirizzata sia agli amministratori del database, sia agli utenti, gestendo i permessi prelevandoli dal database.
phpMyAdmin permette di creare un database da zero, creare le tabelle ed eseguire operazioni di ottimizzazione sulle stesse. Presenta un feedback sulla creazione delle tabelle per evitare eventuali errori. Sono previste delle funzionalità per l’inserimento dei dati (popolazione del database), per le query, per il backup dei dati, ecc.
L’amministratore ha anche a disposizione un’interfaccia grafica per la gestione degli utenti: l’interfaccia permette l’inserimento di un nuovo utente, la modifica della relativa password e la gestione dei permessi che l’utente ha sul database.
Installazione phpMyAdmin
phpMyAdmin in verità non necessita di una vera e propria installazione: per utilizzarlo, trattandosi tecnicamente di un insieme di pagine PHP, occorre semplicemente scaricare phpMyAdmin e decomprimerlo in una cartella del proprio server web (cartella che nei sistemi Linux è solitamente collocata nel percorso /var/www). La parte solitamente più complessa è per cui quella di installare e preparare il server web.
Requisiti necessari
- Un server web (solitamente Apache HTTP Server);
- Pacchetto MySQL o MariaDB server;
- Pacchetto PHP;
- Un browser.
Nella maggior parte delle distribuzioni Linux vi è un sistema di gestione dei pacchetti che permette di installare facilmente phpMyAdmin e tutte le sue dipendenze sopra citate in una volta sola, installando il pacchetto phpmyadmin.
In Debian, per esempio, basta lanciare (da utente root):
apt-get install phpmyadmin
Al contrario, per altri sistemi operativi come Microsoft Windows dove non vi è una gestione del software a pacchetti, si possono utilizzare degli installatori già preconfezionati come per esempio EasyPhp o XAMPP (quest’ultimo è multipiattaforma) che permettono di raggiungere lo stesso risultato.
Una volta installato, phpMyAdmin potrà essere utilizzato accedendo tramite il proprio browser alla cartella dove è stato installato phpMyAdmin sul proprio server web (solitamente è un indirizzo simile a http://localhost/phpMyAdmin/).
Hack phpMyAdmin – Descrizione della vulnerabilità
Ashutosh Barot, un ricercatore indiano, ha scoperto il bug in phpMyAdmin che avrebbe potuto essere il motivo che ha permesso ai cyber criminali di eseguire operazioni pericolose e dannose ai database, ingannando gli operatori creando una richiesta con codice infetto e maligno.
La vulnerabilità, secondo Ashutosh, è un Cross Site Request Forgery noto anche come CSRF. Si trova anche l’ elenco Top Ten del progetto Open Web Application Security Project (OWASP).
Cosa è Cross-site request forgery
Il Cross-site request forgery, abbreviato CSRF o anche XSRF, è una vulnerabilità a cui sono esposti i siti web dinamici quando sono progettati per ricevere richieste da un client senza meccanismi per controllare se la richiesta sia stata inviata intenzionalmente oppure no. Diversamente dal cross-site scripting (XSS), che sfrutta la fiducia di un utente in un particolare sito, il CSRF sfrutta la fiducia di un sito nel browser di un utente.
In parole povere, un CSRF è un attacco in cui l’ hacker inganna un utente legittimo a compiere azioni indesiderate.
Nel video SRF in phpMyAdmin | DROP TABLE with a single click!
Per contrastare questa vulnerabilità è consigliabile l’aggiornamento immediato alla versione phpMyAdmin 4.7.7.7 rilasciata il 23 Dicembre 2017 compatibile con PHP vers. 5.5 to 7.2 e MySQL dalla vers. 5.5.
