28 nov 2011

Shell PHP alojada en subtitulos de #Cuevana permiten RFI

Ayer por la tarde he descargado el archivo completo de subtítulos del sitio Cuevana, ofrecido en un único archivo ZIP por Freevana, una excelente alternativa off-line cuando el sitio está saturado.

Como es de esperar, el archivo ZIP contiene archivos planos SRT de las películas y series alojadas en Cuevana pero mi sorpresa fue cuando el antivirus detectó uno de los archivos como dañino: PHP/WebShell (ver análisis de VirusTotal). Lo primero que pensé era que se trataba de un falso positivo pero al analizarlo efectivamente es una Shell PHP, como se en la siguiente imagen:
Uu usuario en Twitter también reportaba el caso. Luego, al analizar el sitio de Cuevana, puede comprobarse que efectivamente el archivo se encuentra encontraba alojado allí y si bien como SRT no es funcional, puede utilizarse para ataques de Remote File Inclusion (RFI). El archivo corresponde a la película Crepúsculo y seguramente fue subido como parte de la misma.

Con todo el culebrón reciente sobre Cuevana, las reciente denuncia de HBO y el supuesto ingreso al sitio por parte de terceros, este archivo alojado allí hace pensar.

Desde Segu-Info hemos procedido a avisar a Cuevana para que elimine el archivo dañino.

Actualización 16:15: el archivo dañino ya fue eliminado.

Cristian de la Redacción de Segu-Info

Suscríbete a nuestro Boletín

2 comentarios:

  1. Muy buena Info! pero me saltó una pregunta no muy dedicada al tema, Que antivirus Usa Ud como profesional en la Seguridad Informática?

    muchas gracias!

    ResponderBorrar
  2. JMG, gracias.

    El AV que uso no es un tema importante, ya que como digo en el post, varios de ellos lo detectan.

    Cristian

    ResponderBorrar

Gracias por dejar un comentario en Segu-Info.

Gracias por comentar!