29 sep. 2014

jQuery.com fue comprometido para servir malware

El sitio web oficial de la popular biblioteca de JavaScript multiplataforma jQuery.com ha sido comprometido para servir software malicioso y redirigir a los visitantes de un sitio web que utilice sus scripts al Exploit RIG, el mismo que distribuye Cryptowall.

La buena noticia es que no hay ningún indicio de que haya sido afectada la propia librería de jQuery.

Hay dos ventajas en permitir jQuery albergue el código:
  • Rendimiento: el código JS es entregado más rápido, y es probable que usuario ya lo tenga en su caché por haber visitado otro sitio que utiliza el CDN de jQuery.
  • Actualizaciones automáticas: las actualizaciones de jQuery son colocadas en sus CDN por los desarrolladores y, un sitio web que los utilice, recibirá la última copia automáticamente.
Por otro lado, hay un inconveniente importante: el código que se sirve desde los CDN puede ser modificado y se debe confiar a "ciegas" en los sitios de terceras partes y, ante un posible compromiso, este sitio de terceros afectará la seguridad del sitio propio.

El ataque se detectó primero el 18 de septiembre, y dado que el script redirector malicioso fue alojado en un dominio (jquery-cdn.com) que se registró ese mismo día, es muy probable que el ataque empezara en ese momento.

Los investigadores de RiskIQ notificaron inmediatamente a la Fundación jQuery sobre el compromiso. Si bien jQuery inicialmente no confirmó el ataque, el 24 de septiembre el Director de investigación de RiskIQ, informó que habían realizado análisis de los sitios web y se detectaron exploits que definitivamente provenían de jquery.com. Además pudieron verificar (mediante captura de tráfico [PDF]) que varias compañías de Fortune 100 habían visitado el dominio jquery-cdn.com  desde jQuery.com.

Finalmente el 25 de septiembre el equipo de infraestructura de jQuery, confirmó el compromiso de jQuery.com pero creen que se trata de incidentes distintos y que se podría haber utilizado el mismo vector de ataque. Al momento de escribir el presente blog.jquery.com está fuera de servicio, posiblemente por un ataque de DDoS.

Por otro lado jQuery ha confirmado que en ningún momento se pudo confirmar que se distribuyó malware desde cualquiera de sus sitios, desde el código de bibliotecas o desde sus CDN y hacen notar que que el dominio oficial de sus CDN es code.jquery.com.

Fuente: Net-Security

0 comentarios:

Publicar un comentario

Gracias por dejar un comentario en Segu-Info
Si vas a dejar una consulta, procura tener habilitado tu perfil en Blogger o deja una forma de contacto.

Gracias por comentar!