Intrusión en el servidor de descargas de PostNuke

PostNuke es un “fork” del proyecto PHPNuke, un conocido y popular gestor de contenidos/portal Open Source.

Los administradores detectaron la modificación del fichero de descarga el pasado lunes por la noche, hora española, y desactivaron el sistema de descarga de forma proactiva mientras se realizaba el análisis de la situación.

Se determinó que el atacante había cargado el fichero alterado la noche del domingo, aprovechando una vulnerabilidad en el propio servidor de descargas (no en el código de PostNuke). La versión alterada recopila los datos de instalación y los envía a un servidor seleccionado, donde el atacante puede revisarlos a discreción.

Por tanto, todos aquellos administradores que hayan descargado PostNuke entre las 23:50 GMT del domingo (la hora local en España peninsular serían las 01:50 de la madrugada del lunes) y las 08:30 GMT del martes deberían verificar la integridad y autenticidad de su instalación y, en caso necesario o en caso de duda, proceder a realizar una nueva descarga.

Como siempre, Hispasec insiste en la conveniencia de verificar criptográficamente la integridad y autenticidad de los ficheros descargados por Internet, sobre todo si se realizan desde servidores espejo o no oficiales. La forma más segura es verificar la firma digital de los ficheros. Si ello no es posible, debe verificarse el “hash” criptográfico de los mismos, comparándolo con versiones almacenadas, presumiblemente, en otro servidor diferente.

Los “hashes” criptográficos oficiales de los ficheros son:

PostNuke .750 Gold (.zip)

Hash MD5: c8a31c50a41ef7d6aa77a5ee850388cd

Hash SHA1: 7dec34531f886777b8c21a8a9111bf3e4cf374bc

PostNuke .750 Gold (tar.gz)

Hash MD5: 237975777086466ced38e55321981274

Hash SHA1: 2f2823259293cbbea757000bb1fcd19ca31472f0