Un investigador de ciberseguridad ha publicado recientemente detalles y una prueba de concepto de una vulnerabilidad de día cero (es decir que aún no hay parche disponible) para el popular programa de administración de base de datos phpMyAdmin, que permite la admnistración grafica de los populares motores de base de datos MySQL y MariaDB.
phpMyAdmin se usa ampliamente para administrar la base de datos de sitios web creados con WordPress, Joomla y muchas otras plataformas de administración de contenido.
Descubierta por el investigador de seguridad y expositor en temas de seguridad Manuel García Cárdenas, la vulnerabilidad es una falla de falsificación de solicitudes entre sitios (CSRF), también conocida como XSRF, un ataque bien conocido en el que los atacantes engañan a los usuarios autenticados para que ejecuten una acción no deseada.
La vulnerabilidad identificada como CVE-2019-12922, esta falla ha recibido una calificación media debido a su alcance limitado que solo permite que un atacante elimine cualquier servidor que haya sido configurado en la página de configuración de un panel phpMyAdmin en el servidor que es víctima del ataque.
Cabe señalar que no es algo muy preocupante, ya que el ataque no puede eliminar ninguna base de datos o tabla almacenada en el servidor de la víctima del ataque.
Todo lo que un atacante debe hacer es enviar una URL diseñado maliciosamente a los administradores web del phpMyAdmin, que ya han iniciado sesión en su panel de administración en el mismo navegador, engañándolos para que eliminen sin saberlo el servidor configurado simplemente haciendo clic en el URL malicioso.
Según explica Cárdenas en una publicación que ha distribuido por correo electrónico:
El atacante puede crear fácilmente un hipervínculo falso que contiene la solicitud que desea ejecutar en nombre del usuario, lo que hace posible un ataque CSRF debido al uso incorrecto del método HTTP.
Sin embargo, la vulnerabilidad es trivial para explotar porque, aparte de conocer la URL de un servidor de destino, un atacante no necesita conocer ninguna otra información, como el nombre de las bases de datos.
La falla afecta a las versiones de phpMyAdmin hasta 4.9.0.1, que es la última versión del software en el momento de la redacción.
La falla de seguridad también reside en phpMyAdmin 5.0.0-alpha1, que se lanzó el pasado mes de julio de 2019, según declaraciones de Cárdenas.
Cárdenas, quién descubrió esta vulnerabilidad en junio de 2019 y la informó de manera responsable a los encargados del proyecto.
Sin embargo, después de que los mantenedores de phpMyAdmin no pudieron corregir la vulnerabilidad dentro de los 90 días posteriores a la notificación, el investigador decidió divulgar los detalles de vulnerabilidad y una PoC (Prueba de Concepto) de la misma al público el viernes pasado (13 de septiembre de 2019).
Para mitigar los efectos de esta vulnerabilidad, Cárdenas recomendó implementar en cada llamada la validación de la variable de token, como ya se hizo en otras solicitudes de phpMyAdmin.
Hasta que los responsables de mantenimiento corrijan la vulnerabilidad, se recomienda encarecidamente a los administradores de sitios web y proveedores de alojamiento que eviten hacer clic en enlaces sospechosos recibidos por Email.