Alfonso Maruccia

Apache, ancora problemi di sicurezza

I server Apache ancora vittima di attacchi a mezzo binari modificati, exploit kit e ransomware. Decine di migliaia gli indirizzi IP coinvolti

Roma - I ricercatori di Eset identificano una nuova campagna spargi-malware indirizzata contro i server basati su piattaforma Apache, un attacco che ha come obiettivo - o come uno dei suoi obiettivi - la distribuzione di ransomware sui PC dei client non adeguatamente protetti.

Darkleech, questo il nome del nuovo attacco, ha molte similitudini con quello recentemente attribuito a Linux/Cdorked.A - il misterioso malware classificato come la backdoor per Apache più complessa di sempre: il vettore dell'attacco è un binario del demone Apache modificato, demone che a sua volta carica un iframe malevolo nelle pagine web ospitate sul server.

L'iframe redirige la connessione del visitatore del sito su una URL compromessa per distribuire l'exploit kit Blackhole, così da testare il browser dell'utente e sfruttare eventuali vulnerabilità individuate per disseminare ulteriori genie di codice malevolo sul PC del client.
Durante la scorsa settimana Eset ha identificato 270 diversi siti web modificati per spargere il kit Blackhole, e uno dei malware veicolati dal kit è il ransomware Nymaim, che blocca l'accesso al computer e mette l'utente di fronte a un vero e proprio ricatto: per ritornare in possesso del proprio sistema occorre il pagamento di una certa somma di denaro.

Stando ai dati forniti da Eset, gli attacchi progettati per sfruttare il kit Blackhole sono al momento particolarmente popolari con 40mila indirizzi IP unici sin qui "arruolati" in questo genere di pratiche, 15mila dei quali attivi contemporaneamente nel solo mese di maggio.

Alfonso Maruccia
Notizie collegate
  • SicurezzaLa backdoor di Apache infetta altri web serverLa minaccia che inizialmente si credeva diretta ai server Apache ha in realtà una superficie di impatto molto maggiore: infetti risultano anche gli altri web server FOSS, mentre il bizzarro comportamento del malware è ancora sotto analisi
6 Commenti alla Notizia Apache, ancora problemi di sicurezza
Ordina
  • come dire che attenzione la porta del vostro appartamento presenta gravi problemi di sicurezza, qualcuno in possesso delle vostre chiavi potrebbe uscire ed entrare a suo piacimento e tirare gavettoni di acqua dalla finestra...
    non+autenticato
  • " il vettore dell'attacco è un binario del demone Apache modificato, "

    ma maruccia, .....capisci ciò che scrivi? ...come può essere apache la causa? se, ipoteticamente, "qualcuno" ha modificato (ricompilando ad hoc) httpd (in ambito *nix) per renderlo "cattivo", significa: 1. la persona in questione ha le credenziali di root su quell' host e sa cosa/come fare ...e non è da tutti

    che poi sia il detentore effettivo delle credenziali, o le "abbia" rubate, è un discorso a parte che esula dal contesto iniziale

    ...non come le schifezze che tu ami tanto di redmonnezz che si autoimpestano da sole via rpc, remote code execution, etc etc

    inutile tentare di denigrare un mondo a te completamente sconosciuto...fai una figura barbina come sempre
    -----------------------------------------------------------
    Modificato dall' autore il 08 luglio 2013 08.10
    -----------------------------------------------------------
  • Ho riscontrato alcune imprecisioni, prima fra tutte
    non sono del opinione che questa sia un problema di sicurezza per
    Apache.
    Se si legge l'articolo originale è spiegato che il problema è dovuto a un modulo maligno di apache che viene caricato in un WEB SERVER GIA COMPROMESSO:

    --
    First, a malicious Apache module named Darkleech is installed on compromised web servers
    --

    Il modulo che hanno chiamato Darkleech è interessante, infatti sempre leggendo l'articolo di eset di scopre che inietta nelle pagine un iframe
    che ridirige a un URL che sparge un exploit kit chiamato Blackhole.
    Da notare che il modulo Darkleech è furbo perche prende di mira solo
    browser che hanno come User Agent MSIE o JAVA, probabilmente perche
    presentano un maggior numero di BUG di sicurezza rispetto agli altri.

    --
    The User-Agent field of the request is also inspected and rejects requests that do not contain either “MSIE” or “Java”.
    --


    Ritornando in tema, sempre dal sito di eset viene specificamente scritto:

    --
    We do not know at this time how access to the servers is initially obtained
    --

    Che per ora non sanno come l'accesso iniziale venga ottenuto, ed è questo il vero anello debole della catena di sicurezza NON APACHE che non essendo dotato di IA non puo sapere che il modulo Darkleech è maligno!! ^^

    Se suppone che il metodo di incursione in questi siti sia dovuto a Pony Loader,che ha funzione per il furto di dati d'accesso per FTP e HTTP, che viene inoculato per mezzo di Blackhole

    IMHO    un altro problema potrebbe essere anche le interfacce di amministrazione tipo Cpanel e Plesk o anche WebMin che per loro natura girano con privilegi di root e che se compromesse possono portare al compreto controllo del sistema.
    non+autenticato
  • - Scritto da: Alien321
    > Ho riscontrato alcune imprecisioni, prima fra
    > tutte
    > (...)

    >
    >
    > IMHO    un altro problema potrebbe essere anche
    > le interfacce di amministrazione tipo Cpanel e
    > Plesk o anche WebMin che per loro natura girano
    > con privilegi di root e che se compromesse
    > possono portare al compreto controllo del
    > sistema.
    ma si infatti... e' la stessa storia di prima... questo "nuovo" e' un fork del vecchio malware per apache... e l'accesso ai sistemi non c'entra con Apache...
    oltre al furto di credenziali via sistemi gia noti al tempo del 1'malware... e' poi uscita una grave vulnerabilita' (sottovalutata) su yaml+ruby ... che ha colpito duro nei primi mesi del 2013.. (e stara' ancora colpendo)
    non+autenticato
  • finalmente uno che ne capisce.
    Titoloni roboanti che se approfonditi palesano ignoranza e superficialità.
    Se modifico un software su un server già compromesso é colpa del software in questione? o magari c'era qualcosa prima?
  • è come dire 0,00000000000000000001% ...sicuri che non ci sia qualche stranezza?
    poi si parla di plesk non apache...
    non credo di aver capito
    non+autenticato