Cientos de servidores con osCommerce continúan infectados (actualiza!)
Un elevado número de portales que hacen uso de osCommerce contienen código malicioso debido a varias vulnerabilidades publicadas recientemente.
El los últimos meses miles de páginas web que utilizaban versiones osCommerce vulnerables fueron comprometidas masivamente mediante código malicioso. Aunque muchos de estos sitios han solucionado las vulnerabilidades y reestablecido los servicios, todavía permanecen multitud de dominios con páginas web infectadas que a su vez continuan infectando a usuarios.
osCommerce es una aplicación web (OpenSource) que permite instalar y configurar una tienda virtual para la compra y gestión de productos de forma rápida y sencilla. Uno de los puntos fuertes de dicho sofware es la facilidad de su gestión ya que no requiere de conocimientos avanzados de programación para su puesta en marcha.
A raíz de una serie de vulnerabilidades de tipo "Remote File Upload" encontradas en los últimos tres meses y la facilidad con la que es posible localizar sitios con versiones osCommerce vulnerables (basta con hacer búsquedas por determinados criterios en google) los ciberdelicuentes automatizaron la explotación de dicha plataforma:
La forma de infectar dichas páginas es mediante la inclusión de varios iframes dentro de la página comprometida:
El primero de ellos obliga al navegador a realizar una peticion al dominio "willysy.com" que a su vez redirige a otra serie de dominios maliciosos que ejecutan varios ficheros Javascript. La ejecución de dichos ficheros generan a su vez una nueva redirección del navegador a otro dominio malicioso (chrisalrussia.ru). En este ultimo se generan nuevos iframes que intentan explotar varias vulnerabilidades en el navegador:
La gente de Armonize.com han realizado un video bastante detallado donde se analiza el proceso de infección de dicho malware.
Aunque ya se han publicado varias soluciones para prevenir, detectar y solucionar dichas vulnerabilidades, todavía existe un gran volumen de páginas infectadas que a su vez sirven de foco de infección a otros usuarios. En caso de utilizar osCommerce como portal web es fundamental revisar los ficheros de log del servidor web en busca de alguna de las siguiente IP:
Además de buscar por el iframe y la llamada mostradas anteriormente.
Otra fuente de información realmente útil para el usuario, la cual permite conocer en numerosos casos si la página solicitada contiene código malicioso, nos lo proporciona google con su mensaje "Este sitio puede dañar tu equipo". Aunque dicha funcionalidad no es 100% fiable (se abre en nueva ventana) puede resultar útil en casos como el ocurrido en osCommerce.
Los servidores web son elementos especialmente sensibles debido a que son accesibles por cualquier usuario a través de Internet. Por esta razón, hay que tomar medidas para evitar que sean comprometidos o que sean utilizados como punto de entrada a la red interna de una empresa.
La guía "Seguridad WebSite" publicada por Inteco-CERT pretende servir de referencia a los responsables de seguridad a la hora de detectar ataques, de minimizar posibles daños una vez sufrido un ataque o de tomar medidas preventivas para evitar que un sistema se vea comprometido.
Fuente: INTECO-CERT y Armorize
El los últimos meses miles de páginas web que utilizaban versiones osCommerce vulnerables fueron comprometidas masivamente mediante código malicioso. Aunque muchos de estos sitios han solucionado las vulnerabilidades y reestablecido los servicios, todavía permanecen multitud de dominios con páginas web infectadas que a su vez continuan infectando a usuarios.
osCommerce es una aplicación web (OpenSource) que permite instalar y configurar una tienda virtual para la compra y gestión de productos de forma rápida y sencilla. Uno de los puntos fuertes de dicho sofware es la facilidad de su gestión ya que no requiere de conocimientos avanzados de programación para su puesta en marcha.
A raíz de una serie de vulnerabilidades de tipo "Remote File Upload" encontradas en los últimos tres meses y la facilidad con la que es posible localizar sitios con versiones osCommerce vulnerables (basta con hacer búsquedas por determinados criterios en google) los ciberdelicuentes automatizaron la explotación de dicha plataforma:
- osCommerce 2.3.1 (banner_manager.php) Remote File Upload Vulnerability, descubierta el 14 de mayo, 2011
- Oscommerce Online Merchant v2.2 File Disclosure And Admin ByPass, descubierta el 30 de mayo
- osCommerce Remote Edit Site Info Vulnerability, descubierta el 10 de julio
La forma de infectar dichas páginas es mediante la inclusión de varios iframes dentro de la página comprometida:
El primero de ellos obliga al navegador a realizar una peticion al dominio "willysy.com" que a su vez redirige a otra serie de dominios maliciosos que ejecutan varios ficheros Javascript. La ejecución de dichos ficheros generan a su vez una nueva redirección del navegador a otro dominio malicioso (chrisalrussia.ru). En este ultimo se generan nuevos iframes que intentan explotar varias vulnerabilidades en el navegador:
- CVE-2010-0840 -- Java Trust
- CVE-2010-0188 –- PDF LibTiff
- CVE-2010-0886 -– Java SMB
- CVE-2006-0003 -– IE MDAC
- CVE-2010-1885 – HCP
La gente de Armonize.com han realizado un video bastante detallado donde se analiza el proceso de infección de dicho malware.
Aunque ya se han publicado varias soluciones para prevenir, detectar y solucionar dichas vulnerabilidades, todavía existe un gran volumen de páginas infectadas que a su vez sirven de foco de infección a otros usuarios. En caso de utilizar osCommerce como portal web es fundamental revisar los ficheros de log del servidor web en busca de alguna de las siguiente IP:
178.217.163.33, 178.217.165.111, 178.217.165.71, 178.217.163.214
Además de buscar por el iframe y la llamada mostradas anteriormente.
Otra fuente de información realmente útil para el usuario, la cual permite conocer en numerosos casos si la página solicitada contiene código malicioso, nos lo proporciona google con su mensaje "Este sitio puede dañar tu equipo". Aunque dicha funcionalidad no es 100% fiable (se abre en nueva ventana) puede resultar útil en casos como el ocurrido en osCommerce.
Los servidores web son elementos especialmente sensibles debido a que son accesibles por cualquier usuario a través de Internet. Por esta razón, hay que tomar medidas para evitar que sean comprometidos o que sean utilizados como punto de entrada a la red interna de una empresa.
La guía "Seguridad WebSite" publicada por Inteco-CERT pretende servir de referencia a los responsables de seguridad a la hora de detectar ataques, de minimizar posibles daños una vez sufrido un ataque o de tomar medidas preventivas para evitar que un sistema se vea comprometido.
Fuente: INTECO-CERT y Armorize
0 Comments:
Publicar un comentario
Gracias por dejar un comentario en Segu-Info.
Gracias por comentar!