¿Cómo comprometer más de 10.000 sitios web?
Nota de Segu-Info: ahora más que nunca recomendamos la lectura de nuestra Naranja 15: Webmasters: Las otras víctimas del Fraude en línea
En relación al ataque basado en sitios webs comprometidos, tal vez lo que más ha impactado es el número de servidores web utilizados, o el hecho de que se puedan dar estadísticas tan concretas sobre usuarios afectados. La realidad es que ambas cosas suelen ser habituales, las herramientas automáticas permiten atacar múltiples sistemas en muy corto espacio de tiempo y sin necesidad de dedicarle recursos "humanos", mientras que las estadísticas concretas se pueden dar en los casos donde los "atacantes" son atacados. Sí, también cometen fallos de programación, o simplemente son descuidados como en este caso y dejan una password por defecto en algún script.
Desvelado el cómo se accede a las estadísticas, la incógnita quedaba en descubrir que herramienta automática habían utilizado para poder comprometer tal número de sitios webs. Herramientas de seguridad que buscan y explotan vulnerabilidades hay muchas, si bien en estos casos donde se presupone que se automatiza todo el proceso suele tratarse de herramientas o scripts muy específicos que explotan también una o varias vulnerabilidades concretas. Para intentar averiguar que han utilizado basta, a priori, con hacer un pequeño análisis de seguridad a varias webs comprometidas en el mismo ataque y detectar una vulnerabilidad común.
Nada más comenzar esta prueba he visto que, en este ataque, la explicación era mucho más sencilla, incluso predecible (a veces nos ofuscamos). Tras escoger al alzar 5 webs comprometidas, y nada más comenzar el análisis, he visto que había coincidencias en la versión del servidor web, cosa lógica si buscamos una vulnerabilidad común. Pero había algo más obvio, sus IP estaban en rangos de la misma clase B. Sí, los atacantes han comprometido un proveedor de servicios de hosting y han tenido acceso directo a todas las webs.
Los más de 10.000 sitios webs comprometidos están hospedados en Aruba (http://www.aruba.it), un proveedor italiano que utiliza el rango 62.149.128.0 - 62.149.137.255. Incluyendo la página de nuestra Marta Torné (lo de "nuestra" con el permiso de Sergio): www.martatorne.com [62.149.130.214].
Despejada la incógnita de las infecciones webs masivas (todo apunta a un problema de seguridad del proveedor del hosting), la otra noticia es que el ataque ha sido finalmente neutralizado, al eliminarse MPack del servidor al que redireccionaban las páginas webs comprometidas mediante un IFRAME oculto.
Fuente: http://blog.hispasec.com/laboratorio/225
En relación al ataque basado en sitios webs comprometidos, tal vez lo que más ha impactado es el número de servidores web utilizados, o el hecho de que se puedan dar estadísticas tan concretas sobre usuarios afectados. La realidad es que ambas cosas suelen ser habituales, las herramientas automáticas permiten atacar múltiples sistemas en muy corto espacio de tiempo y sin necesidad de dedicarle recursos "humanos", mientras que las estadísticas concretas se pueden dar en los casos donde los "atacantes" son atacados. Sí, también cometen fallos de programación, o simplemente son descuidados como en este caso y dejan una password por defecto en algún script.
Desvelado el cómo se accede a las estadísticas, la incógnita quedaba en descubrir que herramienta automática habían utilizado para poder comprometer tal número de sitios webs. Herramientas de seguridad que buscan y explotan vulnerabilidades hay muchas, si bien en estos casos donde se presupone que se automatiza todo el proceso suele tratarse de herramientas o scripts muy específicos que explotan también una o varias vulnerabilidades concretas. Para intentar averiguar que han utilizado basta, a priori, con hacer un pequeño análisis de seguridad a varias webs comprometidas en el mismo ataque y detectar una vulnerabilidad común.
Nada más comenzar esta prueba he visto que, en este ataque, la explicación era mucho más sencilla, incluso predecible (a veces nos ofuscamos). Tras escoger al alzar 5 webs comprometidas, y nada más comenzar el análisis, he visto que había coincidencias en la versión del servidor web, cosa lógica si buscamos una vulnerabilidad común. Pero había algo más obvio, sus IP estaban en rangos de la misma clase B. Sí, los atacantes han comprometido un proveedor de servicios de hosting y han tenido acceso directo a todas las webs.
Los más de 10.000 sitios webs comprometidos están hospedados en Aruba (http://www.aruba.it), un proveedor italiano que utiliza el rango 62.149.128.0 - 62.149.137.255. Incluyendo la página de nuestra Marta Torné (lo de "nuestra" con el permiso de Sergio): www.martatorne.com [62.149.130.214].
Despejada la incógnita de las infecciones webs masivas (todo apunta a un problema de seguridad del proveedor del hosting), la otra noticia es que el ataque ha sido finalmente neutralizado, al eliminarse MPack del servidor al que redireccionaban las páginas webs comprometidas mediante un IFRAME oculto.
Fuente: http://blog.hispasec.com/laboratorio/225
0 Comments:
Publicar un comentario
Gracias por dejar un comentario en Segu-Info.
Gracias por comentar!