[NEWS] SQL Injection di Massa, Database Infettati

[c.m.g]

24 aprile 2008 alle 18.50 di netquik



Secondo quanto riportato sul blog ufficiale dell'azienda di sicurezza F-Secure, sarebbe in atto un nuovo round di iniezioni SQL malevole di massa, che ha portato alla compromissione ed all'infezione di centinaia di migliaia di siti web. Eseguendo una ricerca sul motore di Google (specificando come query la traccia dello script malevolo) i ricercatori di F-Secure hanno individuato più di 510.000 pagine web modificate tramite iniezione SQL.

Dal F-Secure Weblog: "Con sempre più siti web che utilizzando back-end database per poter essere più veloci e dinamici, risulta cruciale verificare quali informazioni vengono salvate o richieste in questi database – in particolare se permettete agli utenti di caricare contenuti autonomamente, cosa che accade sempre in forum di discussione, blog, form di feedback, etc. A meno che questi dati non siano sanificati prima di essere salvati non potete controllare cosa il sito web mostrerà agli utenti. Su questo si basa l'iniezione SQL, in modo da sfruttare le debolezze in questo tipo di controllo".

In questo nuovo giro di infezioni il codice iniettato (inizialmente codificato) si occupa trovare tutti campi di testo presenti nel database e di aggiungere a tutti questi un link che punta ad un codice JavaScript malevolo, in modo tale che il sito web mostri questi collegamenti in maniera automatica.

Dal F-Secure Weblog: "Quindi essenzialmente ciò che succedeva era che gli attacker cercavano pagine ASP o ASPX che contenevano un qualsiasi tipo di parametro querystring (un valore dinamico come un ID di un articolo, di un prodotto, etc.) e tentavano di utilizzarlo per caricare il proprio codice di SQL injection".

Finora i ricercatori di F-Secure hanno individuato 3 differenti domini che sono stati utilizzati per ospitare il contenuto malizioso: nmidahena.com, aspder.com e nihaorr1.com.


Da questi domini vengono caricati vari file che tentano di sfruttare differenti codici di attacco exploit per installare un "online gaming trojan". Attualmente la pagina di exploit iniziale su tutti i domini non è accessibile, ma questo, avverte F-Secure, potrebbe cambiare presto. L'azienda consiglia a tutti gli amministratori firewall di bloccare l'accesso a questi domini in maniera preventiva.

F-Secure suggerisce di verificare i log dei siti web in cerca del codice nocivo (riportato parzialmente sul blog) e capire se si è subito un attacco. In questo caso è necessario procedere alla pulitura del database per impedire ai propri visitatori di venire infettati. In secondo luogo è necessario assicurarsi che tutti i dati passati al database siano sanificati e che non ci siano elementi di codice. Infine è consigliabile bloccare l'accesso ai siti nocivi ed assicurasi di utilizzare software patchato (per esempio tramite F-Secure Health Check) e un software antivirus aggiornato.

Link per approfondimenti:
Report @ F-Secure Weblog


Fonte: f-secure.com via Tweakness

[FulValBot]

per caso potete mettere una lista dei link che sono infettati da sta cosa così da poterli bloccare? magari me li vedo poi + tardi.

thx.

intanto ho bloccato quei 3.

[c.m.g]

centinaia di migliaia di server microsoft sotto attacco:

http://www.downloadblog.it/post/6494...-sotto-attacco

[c.m.g]

Quote:

Originariamente inviato da FulValBot

per caso potete mettere una lista dei link che sono infettati da sta cosa così da poterli bloccare? magari me li vedo poi + tardi.

thx.

intanto ho bloccato quei 3.

http://www.hwupgrade.it/forum/showth...7#post22200937

[c.m.g]

ripreso da punto informatico:

http://punto-informatico.it/2268192/...di-siti/p.aspx

[FulValBot]

ovviamente la microsoft non fa nulla per risolvere sta falla nei suoi server -.-

[c.m.g]

la risposta di Microsoft su tweakness:

http://www.tweakness.net/topic.php?id=4495