c.m.g
13-05-2013, 19:56
lunedì 13 maggio 2013
La minaccia che inizialmente si credeva diretta ai server Apache ha in realtà una superficie di impatto molto maggiore: infetti risultano anche gli altri web server FOSS, mentre il bizzarro comportamento del malware è ancora sotto analisi
Roma - Sembrava un pericolo circoscritto ai solo web server Apache (http://punto-informatico.it/3781029/PI/News/apache-pericolo-backdoor.aspx), e invece il comportamento del malware Linux/Cdorked.A appare via via sempre più complesso. A cominciare dai software per server compromessi, visto che ora risultano infetti anche quei siti che girano su nginx e Lighttpd.
Quella che i ricercatori di sicurezza hanno descritto come la "più sofisticata backdoor per Apache mai vista" è dunque ancora più complessa di quanto si credeva all'inizio: cade l'ipotesi vulnerabilità in cPanel - il software di backend grafico implementato in molti server Apache delle società di hosting condiviso - e gli esperti identificano (http://www.tgdaily.com/hardware-brief/71523-apache-backdoor-causes-problems) ora 400 diversi webserver compromessi con 50 dei quali presenti nella lista dei siti più visitati al mondo.
Linux/Cdorked.A è progettato per non lasciare alcuna traccia di sé sul server, a parte un demone httpd modificato e i dati di configurazione nella memoria condivisa del sistema. L'obiettivo del malware è redirigere i visitatori del sito ospitato sul server compromesso verso URL malevoli, su cui è attivo il famigerato exploit kit Blackhole.
Anche in quest'ultimo caso, però, il procedere dell'analisi della minaccia porta alla scoperta di comportamenti bizzarri e complessi (http://www.theregister.co.uk/2013/05/08/cdorked_latest_details/): Cdorked.A usa server DNS compromessi per risolvere gli indirizzi IP dei siti rediretti, agisce secondo whitelist e blacklist per tali redirezioni, prende di mira i sistemi Windows da XP a 7 con browser Firefox e Internet Explorer e su iOS gli utenti vengono rediretti su siti pornografici.
Continua infine a rappresentare un mistero il metodo di propagazione di Cdorked.A: cPanel è stato scagionato dopo l'individuazione di software per server compromessi diversi da Apache, e la backdoor non sembra essere dotata di meccanismi di infezione/propagazione autonomi come ogni virus che si rispetti.
Alfonso Maruccia
Fonte: Punto Informatico (http://punto-informatico.it/3790572/PI/News/backdoor-apache-infetta-altri-web-server.aspx)
La minaccia che inizialmente si credeva diretta ai server Apache ha in realtà una superficie di impatto molto maggiore: infetti risultano anche gli altri web server FOSS, mentre il bizzarro comportamento del malware è ancora sotto analisi
Roma - Sembrava un pericolo circoscritto ai solo web server Apache (http://punto-informatico.it/3781029/PI/News/apache-pericolo-backdoor.aspx), e invece il comportamento del malware Linux/Cdorked.A appare via via sempre più complesso. A cominciare dai software per server compromessi, visto che ora risultano infetti anche quei siti che girano su nginx e Lighttpd.
Quella che i ricercatori di sicurezza hanno descritto come la "più sofisticata backdoor per Apache mai vista" è dunque ancora più complessa di quanto si credeva all'inizio: cade l'ipotesi vulnerabilità in cPanel - il software di backend grafico implementato in molti server Apache delle società di hosting condiviso - e gli esperti identificano (http://www.tgdaily.com/hardware-brief/71523-apache-backdoor-causes-problems) ora 400 diversi webserver compromessi con 50 dei quali presenti nella lista dei siti più visitati al mondo.
Linux/Cdorked.A è progettato per non lasciare alcuna traccia di sé sul server, a parte un demone httpd modificato e i dati di configurazione nella memoria condivisa del sistema. L'obiettivo del malware è redirigere i visitatori del sito ospitato sul server compromesso verso URL malevoli, su cui è attivo il famigerato exploit kit Blackhole.
Anche in quest'ultimo caso, però, il procedere dell'analisi della minaccia porta alla scoperta di comportamenti bizzarri e complessi (http://www.theregister.co.uk/2013/05/08/cdorked_latest_details/): Cdorked.A usa server DNS compromessi per risolvere gli indirizzi IP dei siti rediretti, agisce secondo whitelist e blacklist per tali redirezioni, prende di mira i sistemi Windows da XP a 7 con browser Firefox e Internet Explorer e su iOS gli utenti vengono rediretti su siti pornografici.
Continua infine a rappresentare un mistero il metodo di propagazione di Cdorked.A: cPanel è stato scagionato dopo l'individuazione di software per server compromessi diversi da Apache, e la backdoor non sembra essere dotata di meccanismi di infezione/propagazione autonomi come ogni virus che si rispetti.
Alfonso Maruccia
Fonte: Punto Informatico (http://punto-informatico.it/3790572/PI/News/backdoor-apache-infetta-altri-web-server.aspx)