Vulnerabilità XSRF su PhpMyAdmin con PoC pubblico

20/09/2019

CSRF CVE-2019-12922 phpmyadmin Vulnerabilità xsrf

Durante la consueta attività di monitoraggio, il CERT-PA ha appreso di una recente vulnerabilità di tipo CSRF (Cross Site Request Forgery), conosciuta anche come XSRF su PhpMyAdmin. Lo scenario di attacco, in riferimento per questa tipologia di vulnerabilità, consiste nell’indurre gli utenti ad eseguire un’azione indesiderata.

PhpMyAdmin è una delle applicazioni open source più popolari per l’amministrazione di database MySQL e MariaDB spesso utilizzata dalle piattaforme di gestione dei contenuti.

Identificata come CVE-2019-12922, con CVSS Base Score 4,3/10, la vulnerabilità consente ad un utente malintenzionato di eliminare qualsiasi server configurato nella pagina di configurazione di un pannello phpMyAdmin di un server affetto. L’attacco, tuttavia, non consente agli aggressori di eliminare qualsiasi database o tabella archiviata sul server.

Lo specifico scenario di attacco prevede che un utente malintenzionato invii un URL appositamente predisposto alle proprie vittime, solitamente amministratori Web, se questi fossero autenticati al proprio pannello PhpMyAdmin dallo stesso browser, potrebbero inconsapevolmente eliminare il server configurato semplicemente facendo clic su di esso. Il ricercatore che ha individuato la vulnerabilità ha spiegato che “L’aggressore può facilmente creare un collegamento ipertestuale fake, contenente la richiesta che desidera eseguire per conto dell’utente, rendendo possibile l’attacco CSRF che è causato dell’errato utilizzo del metodo HTTP”.

PoC Exploit

Un Proof of Concept è pubblicamente disponibile sulla piattaforma exploit-db:

Il difetto, scoperto inizialmente nel mese di giugno 2019, riguarda le versioni di PhpMyAdmin fino alla 4.9.0.1 inclusa, che è l’ultima versione oggi disponibile del software. La vulnerabilità impatta anche in PhpMyAdmin 5.0.0-alpha1, che è stata rilasciata a luglio 2019.

Conclusioni

Come possibile soluzione alla vulnerabilità, il ricercatore ha menzionato l’implementazione della convalida dei token per ogni chiamata. Gli sviluppatori del software ad oggi non hanno rilasciato alcuna correzione per questa vulnerabilità, pertanto il CERT-PA raccomanda estrema cautela prima di cliccare su eventuali collegamenti sospetti, che potrebbero arrivare a seguito di apposite campagne di Phishing, e che potrebbero invocare la vulnerabilità in oggetto.