PHP-Nuke, el popular portal Web y solución para la gestión de contenido, escrito en PHP, ha recibido muchas criticas en el pasado por la gran cantidad de vulneraribilidades de seguridad que afectan a su plataforma.  Pues bien, hoy, la web principal de PHP-Nuke ha vuelto a ser atacada. Se ha inyectado un iframe malicioso en la página principal (que todavía está activa) y, al igual que en el ataque sufrido por la Web del Departamento del Tesoro de Estados Unidos, esta campaña también emplea el paquete de exploits Eleonore para distribuir el malware.

Si se visita la web principal de PHP-Nuke (aún activa), el iframe realiza una redirección mediante el uso de las vulnerabilidades de Adobe Collab overflow, getIcon, y doc.media.newPlayer.

Redirección maliciosa del iframe - php-nuke
Redirección maliciosa del iframe - php-nuke

Tras la primera redirección del iframe, se produce una segunda redirección y se accede a una serie de servidores de estadísticas (alojados en Rusia).

Segunda redirección del iframe/recogida de estadísticas
Segunda redirección del iframe/recogida de estadí­sticas

 Una vez termina esta segunda fase, comienza una tercera y se inicia el intento de explotación de las vulnerabilidades.

3ª fase – Código ofuscado- Intentos de explotación de las vulnerabilidades
3ª fase – Código ofuscado- Intentos de explotación de las vulnerabilidades

Si tienen éxito los diversos intentos de explotación, se ejecuta el troyano CI.A en el ordenador de la víctima.

Recientemente hemos detectado un incremento en el uso del paquete de exploits Eleonore y a juzgar por la variable del site en la URL (P.ej. site=phpnuke.org), podemos suponer que ésta no es la única Web que ha sido objetivo de este ataque.