Investigador revela Zero-Day que afecta a todas las versiones de phpMyAdmin
Un investigador de ciberseguridad publicó recientemente detalles y prueba de concepto para una vulnerabilidad de día cero (zero-day) sin parches en phpMyAdmin, una de las aplicaciones más populares para administrar las bases de datos MySQL y MariaDB.
phpMyAdmin es una herramienta de administración gratuita y de código abierto para MySQL y MariaDB que, se usa ampliamente para administrar la base de datos de sitios web creados con WordPress, Joomla y muchas otras plataformas de administración de contenido.
Esta vulnerabilidad fue revelada por el investigador de seguridad y pentester Manuel García Cárdenas, la vulnerabilidad afirma ser una falla de falsificación de petición en sitios cruzados (CSRF), también conocida como XSRF, un ataque bien conocido en el que los atacantes engañan a los usuarios autenticados para que ejecuten una acción no deseada.
Impacto de la vulnerabilidad
Dicha vulnerabilidad ha sido identificada como CVE-2019-12922, esta ha recibido una calificación media debido a su alcance limitado, que solo permite que un atacante elimine cualquier servidor configurado en la página de administración de un panel phpMyAdmin, en el servidor de la víctima.
Cabe señalar que no es algo de lo que debas preocuparte mucho, esto porque el ataque no permite a los ciberdelincuentes eliminar ninguna base de datos o tabla almacenada en el servidor.
Todo lo que un atacante debe hacer es enviar una URL diseñada a los administradores web específicos, que ya han iniciado sesión en su panel phpmyAdmin en el mismo navegador, engañándolos para que eliminen sin saberlo el servidor configurado simplemente haciendo clic en él.
“El atacante puede crear fácilmente un hipervínculo falso que contiene la solicitud que desea ejecutar en nombre del usuario, lo que hace posible un ataque CSRF debido al uso incorrecto del método HTTP”, explica Cárdenas en una publicación en donde divulga en detalles la vulnerabilidad.
Sin embargo, la vulnerabilidad es trivial para explotar porque, aparte de conocer la URL de un servidor de destino, un atacante no necesita conocer ninguna otra información, como el nombre de las bases de datos.
Código del exploit de prueba de concepto
La vulnerabilidad afecta a las versiones de phpMyAdmin hasta 4.9.0.1, que es la última versión del software en el momento de la redacción de este artículo.
La falla de seguridad también está presente en phpMyAdmin 5.0.0-alpha1, que se lanzó en julio de 2019, afirmó Cárdenas
Cárdenas descubrió esta vulnerabilidad en junio de 2019 y también la informó de manera responsable a los encargados del proyecto.
Sin embargo, después de que los encargados de phpMyAdmin no pudieron corregir la vulnerabilidad dentro de los 90 días posteriores a la notificación, el investigador decidió divulgar los detalles de vulnerabilidad y la prueba de concepto al público el 13 de septiembre.
Para abordar esta vulnerabilidad, Cárdenas recomendó “implementar en cada llamada la validación de la variable de token, como ya se hizo en otras solicitudes phpMyAdmin”, como una solución.
Hasta que los responsables de mantenimiento corrijan la vulnerabilidad, recomendamos encarecidamente a los administradores de sitios web y proveedores de alojamiento que eviten hacer clic en enlaces sospechosos.
