[NEWS] Compromessi oltre 500 mila siti web

[c.m.g]

14 Maggio 2008 ore 13:10

Spoiler:

Quote: Secondo i ricercatori dediti alla sicurezza, più di mezzo milione di siti sono stati recentemente compromessi in modo da trasformarsi in un involontario veicolo per la diffusione di malware. Sotto accusa la piattaforma open source phpBB

Secondo quanto riportato da Computerworld, un recente massiccio attacco malevolo ha compromesso più di mezzo milione di siti, mettendo i computer degli ignari visitatori in balia di un gran numero di malware. Si tratterebbe dell'ultimo capitolo di una lunga serie di attacchi partiti lo scorso gennaio e aventi come comune denominatore phpBB, il popolare sistema open source per la gestione dei forum.


«Si tratta di una campagna in continua evoluzione» ha dichiarato Paul Ferguson di Trend Micro, «e i domini stanno cambiando continuamente». La piattaforma phpBB è tristemente famosa per i bug contenuti al suo interno, in grado di renderla particolarmente vulnerabile, ma la situazione rischia di diventare insostenibile. Tuttavia, non è ancora chiaro come i cracker stiano ultimamente veicolando i loro attacchi tramite exploit del programma open source; potrebbe trattarsi di siti mal configurati o che ospitano versioni datate della piattaforma: «non siamo sicuri se la causa sia una configurazione impropria di phpBB o una vulnerabilità delle applicazioni open source come phpBB ad attirare l'attenzione», ha dichiarato Ferguson.

Gli utenti che visitano un sito compromesso vengono reindirizzati attraverso una serie di server a loro volta compromessi fino a raggiungere la parte finale della catena; a questo punto il server ricerca la presenza di vulnerabilità all'interno del computer connesso. Le eventuali falle rilavate vengono utilizzate per ottenere l'exploit e scaricare dei malware all'interno del computer della vittima. Il codice maligno più frequentemente installato sarebbe rappresentato da una variante del Zlob Trojan che giunge sotto le sembianze di un falso codec video; il trojan cambierebbe inoltre i DNS del computer infetto e le impostazione del browser in modo da facilitare ulteriori attacchi.

Si tratta secondo Ferguson solamente dell'ultimo di una massiccia serie di attacchi che potrebbero protrarsi per ancora molto tempo: «finché gli attacchi sono correlati allo sviluppo dei siti e finché i siti non proteggono i loro contenuti, gli attacchi continueranno».

Tullio Matteo Fanti


Fonte: WebNews