Sarebbero oltre mezzo milione le pagine web che, la scorsa settimana, sono state compromesse da ignoti cracker utilizzando attacchi di tipo SQL injection . A riportarlo è l’organizzazione di sicurezza SANS Institute , secondo la quale tra i webserver craccati compaiono siti municipali, governativi e commerciali, tra i quali quello delle Nazioni Unite.
Come spesso accade, la finalità di questi attacchi è stata quella di inoculare sui siti vulnerabili uno script capace di redirigere gli utenti verso un server maligno (ora non più attivo): qui si trovavano otto differenti exploit che tentavano di installare sui PC Windows un trojan ruba-password ( toj_agent.KAQ ). Le vulnerabilità prese di mira da questi exploit, apparentemente già tutte note, interessano diverse applicazioni per Windows, tra le quali AIM, RealPlayer e iTunes.
L’elevato numero di pagine compromesse suggerisce che i cracker si siano avvalsi di un tool in grado di automatizzare sia la ricerca dei siti vulnerabili che il cracking degli stessi. Questa è, del resto, la stessa tecnica impiegata in tutti i più recenti attacchi su larga scala, l’ultimo dei quali si è verificato lo scorso marzo e ha infettato oltre 10mila pagine web.
Su Shadowserver.org si afferma che gli attacchi di SQL injection sono stati rivolti a siti web su cui giravano le tecnologie ASP o ASP.NET . Microsoft ha però tenuto a precisare che gli aggressori non hanno sfruttato falle, vecchie o nuove, contenute nei propri software.
“Dalle nostre indagini è emerso che non sono state sfruttate vulnerabilità nuove o sconosciute”, ha spiegato in questo post Bill Sisk, membro del Microsoft Security Response Center. “Questa ondata di attacchi – ha detto ancora Sisk – non è il risultato di una vulnerabilità in Information Services o in Microsoft SQL Server. Abbiamo anche determinato che questi attacchi non sono in alcun modo connessi al Microsoft Security Advisory 951306 “. In altre parole, Sisk afferma che i cracker non hanno sfruttato delle falle contenute in IIS, ASP o SQL Server, ma hanno approfittato di alcuni dei più comuni errori compiuti dagli amministratori nella configurazione dei siti web e dei database SQL.
Proprio negli scorsi giorni un noto esperto di sicurezza, David Litchfield, ha scoperto un nuovo modo per iniettare del codice SQL a propria scelta in un database Oracle .