Masívny SQL injection útok Lizamoon infikoval 1.5 milióna URL

DSL.sk, 1.4.2011

V posledných dňoch zatiaľ neznámi útočníci realizujú masívny útok využívajúci techniku SQL injection na infikovanie rozsiahleho počtu webových stránok.

Na útok upozornila bezpečnostná spoločnosť Websense, ktorá ho na základe používanej domény lizamoon.com označila ako útok Lizamoon.

Aktuálne sa v indexe Google nachádza 1.57 milióna infikovaných URL. Presný počet rozličných infikovaných domén nie je zatiaľ známy.

Pri útoku typu SQL injection sa snaží útočník vložiť do nedostatočne kontrolovaných vstupných hodnôt vlastný SQL príkaz, ktorý sa pri úspešnom útoku aj vykoná. Pri útoku cez webové stránky kód vkladá cez parametre v URL.

Websense vo svojich zisteniach uvádza niekoľko príkladov kódu, ktorý bol použitý pri tomto útoku na ASP stránkach využívajúcich Microsoft SQL Server.

Či útok napáda len stránky s niektorými CMS respektíve aké všetky chyby v overovaní parametrov využíva zatiaľ nie je jasné. V jednom príklade použitého kódu ale vkladá SQL kód do parametrov, ktoré webová aplikácia zrejme očakáva v numerickom formáte.

Do databáz využívaných infikovanými stránkami je pri útoku vkladaný JavaScript kód sťahovaný z iných stránok, ktorý sa vykoná v prípade zobrazenia tohto kódu v infikovanej stránke. Kód užívateľa podľa zistení Websense aktuálne presmerováva na stránku s falošným antivírusom, zatiaľ sa neobjavili informácie o priamom zneužívaní bezpečnostných chýb v prehliadači a automatickom infikovaní počítačov návštevníkov iba po návšteve stránok infikovaných Lizamoon SQL injection útokom.


Najnovšie články:



Diskusia:

jedine Od: Mitolo | Pridané: 1.4.2011 12:09 no jedine Odpovedať Známka: -8.0 Hodnotiť:

Apríl Od: Lojzo 1.5 Milióna | Pridané: 1.4.2011 12:18 Toto bude nejaký aprílový žart. Veď predsa Microsoft SQL Server nemôže byť tak zraniteľný. Microsoft predsa robí najbezpečnejšie produkty. Odpovedať Známka: -1.2 Hodnotiť:

Re: Apríl Od reg.: peter-zm | Pridané: 1.4.2011 12:26 toto je dobry zart !!!!! :D Odpovedať Známka: 8.0 Hodnotiť:

Re: Apríl Od: Sancho | Pridané: 1.4.2011 12:29 Obavam sa, ze utok typu SQL injection nema nic spolocne z MS. Ide o kvalitu pisania aplikacie, kde musi programator najskor osetrit vstupy - typicky tam, kde ocakavam cislo, najskor overim, ze to cislo je, inak ho neposlem do DB. Kedze vela programatorov je lenivych, pripadne v rozsiahlych aplikaciach je prilis vela miest na kontrolu a na nejake miesto sa zabudne, dostane utocnik pristup aj kam nema. V kvalitne navrhnutej aplikacii sa, samozrejme, este aj takyto utok da limitovat spravne pridelenymi DB pravami. A to je dalsia vec, na ktoru dnesni programatori/aplikacni architekti casto zabudaju. Odpovedať Známka: 9.4 Hodnotiť:

Re: Apríl Od: rouen | Pridané: 1.4.2011 12:29 ked je programator debil, moze byt SQL server hociajky.. ked je niekto lenivy urobit procku alebo aspon parametrized query, alebo je to PHP-grown student co nevie ze sa to nema robit skladanim stringov, tak tam MS nema ako pomoct... Odpovedať Známka: 7.2 Hodnotiť:

Re: Apríl Od: knedel | Pridané: 1.4.2011 13:28 Tak to by si sa divil, ake su MS aplikacie derave... Odpovedať Známka: 0.0 Hodnotiť:

Re: Apríl Od reg.: Uhlik | Pridané: 1.4.2011 18:16 toto, zial, nie je pripad, kedy je problem s MS aplikaciou, ale so zle napisanou webovou aplikaciou ... server uz len vykona, co mu aplikacia kaze ... Odpovedať Známka: 8.6 Hodnotiť:

Re: Apríl Od: ........... | Pridané: 1.4.2011 13:46 ja som nevidel nikde takuto statistiku .. daj link .. ale ak robis reklamu, tak je to dost priehladne .. Odpovedať Známka: 5.0 Hodnotiť:

Re: Apríl Od reg.: e3k.. | Pridané: 1.4.2011 14:48 :) Odpovedať Známka: 10.0 Hodnotiť:

SQL Server Od: sinn | Pridané: 1.4.2011 12:31 Z týmto sql server nemá nič spoločne. je to vec aplikačnej vrstvy. Bohužiaľ ešte stále sú ľudia čo nevedia napísať SQL dotaz tak aby sa na ňom sql injection vykonať nedala. Odpovedať Známka: 6.2 Hodnotiť:

Re: SQL Server Od: lolo21 | Pridané: 1.4.2011 12:44 ak je to také priamočiare, prečo SQL priamo nemá taký syntax, aby sa SQL injection nedala vykonať? Odpovedať Známka: -7.1 Hodnotiť:

Re: SQL Server Od: SQL coder | Pridané: 1.4.2011 12:57 takze sql v ktorom by sa nedali spustat SQL prikazy? pochop ze databaza dostane normalny sql dotaz a spusti ho - je na aplikacii aby nepustila do datazoveho systemu to co tam nema ist Odpovedať Známka: 10.0 Hodnotiť:

Re: SQL Server Od: karolkoo | Pridané: 1.4.2011 13:21 SQL injection je nedostatocna ochrana vstupnych parametrov, kde sa do SQL dotazu da pridat dalsi SQL dotaz a ziskat tym viac udajov nez by malo byt povolene. SQL nevie o tom, ze sa jedna o SQL injection, pre neho je to normalny funkcny SQL dotaz. Odpovedať Známka: 10.0 Hodnotiť:

injection Od: marsell | Pridané: 1.4.2011 12:52 Kvôli bezpečnosti je rozhodne dobre používať prepared statements a parametre do SQL bindovat, kde sa definuje spolu s hodnotou aj TYP. Ak tu takáto možnosť nie je, tak SQL dopyt zložiť až po striktnom overení vstupov (čísla, reťazce) a ak ide o reťazec, treba "vyescapovať" špeciálne znaky. Je smutné, že častokrát lenivosť napísať takto jednoduchú triedu dáva priestor útokom typu SQL injection :( Stále totiž platí "Never trust user" :) Odpovedať Známka: 9.1 Hodnotiť:

5 znakov Od: Matooo01 | Pridané: 1.4.2011 13:00 Podla mna to jednoznacne infikuje len konkretne CMS, ktore vedia na zaklade tvaru URL vyhladat v Google. Inak by predsa nemali ako vediet strukturu tabuliek, aby sa im infiltracia zobrazovala na strankach. Odpovedať Známka: 5.6 Hodnotiť:

opensource a ich diery Od: karolkoo | Pridané: 1.4.2011 13:25 Kazdopadne pouzivajte opensource a mate o bezpecnost vystarane. (potom sa ale nedivte, ze vam to niekto hackol) Odpovedať Známka: -1.4 Hodnotiť:

Re: opensource a ich diery Od: Andrejjj | Pridané: 1.4.2011 15:28 +1 Trafil si do čierneho. :) Odpovedať Známka: 2.0 Hodnotiť:

Re: opensource a ich diery Od: milanko.. | Pridané: 1.4.2011 15:32 Zarasteneho? Odpovedať Známka: 2.3 Hodnotiť:

Re: opensource a ich diery Od: wyrmjie | Pridané: 2.4.2011 12:35 tak ty si iny kokot :D Odpovedať Známka: -2.7 Hodnotiť:

................... Od: ........... | Pridané: 1.4.2011 13:47 treba byt secure, na pozadi by mal byt brigadnik ktory by prepisoval data z formulara do excelu a nebol by ziadny injection .. lameri .. Odpovedať Známka: 8.8 Hodnotiť:

Re: ................... Od: highlanderr | Pridané: 1.4.2011 14:51 Keby nepouzivali v tabulkach standardne nazvy nepotrebovali by ani brigadnika. Odpovedať Známka: 8.0 Hodnotiť:

Re: ................... Od: Andrejjj | Pridané: 1.4.2011 15:33 Dal si mi skvelú myšlienku. Hneď si idem prepísať stĺpec so štandardným názvom "email" na "napadlamachujovina_email". Teraz budem secure :) Odpovedať Známka: 10.0 Hodnotiť:

Re: ................... Od: ........... | Pridané: 1.4.2011 19:05 .. ale ked tam napisu logyn, to zase uhadne kazdy blavak ;) Odpovedať Známka: 6.2 Hodnotiť:

Valové zabezpečenie Od reg.: Terepin | Pridané: 1.4.2011 16:05 NoScript + CIS a nemá šancu. Odpovedať Známka: -7.1 Hodnotiť:

tipujem prvy april Od: cvreve | Pridané: 1.4.2011 17:55 Tipujem to na prvy april, ale imho mohlo byt nieco lepsie... Nieco ako "Ruski hackeri odkupili mobilnu aplikaciu tatrabanky". Odpovedať Známka: 10.0 Hodnotiť:

cmska Od: xlfs | Pridané: 1.4.2011 17:58 ak to je pravda tak jasne ze je to len na konkretny typ/typy cms alebo stranok. naprogramovat "genericky" "sql injection utok" je prakticky nemozne. Odpovedať Známka: 10.0 Hodnotiť:

nemam cibulu ani cikulu Od: skatt | Pridané: 1.4.2011 19:43 Domény v tomto útoku, vrátane presmerovaní URL a server, na ktorom hosťuje malware, sú všetky spojené s jedným zo štyroch adries IP, podľa Dancho Danchev , nezávislý bezpečnostný expert. Zatiaľ čo 20 alebo tak domén používa ako presmerovanie URL striedať medzi dvoma IP adresami, Danchev zistila viac ako 120 Indie-umiestnený alebo Kokosové ostrovy Ostrov-založené domén všetko ukazuje na jeden hostiteľský server malware, a 50 z Indie-založené domén odídu do iného . Domény boli všetky registrované automaticky registrovaných účtov Gmail, Danchev povedal. Prvé doména na zozname bol zapísaný ako ďaleká chrbát ako októbri 2010 a nových domén, ktoré boli pridané od LizaMoon explodoval, podľa Runald. Najprv dobrá správa: Používatelia sú hit s Windows stability podvod Center iba raz, a tak navštívi miesto opakovane neopakuje útok. Odpovedať Známka: -6.0 Hodnotiť:

Re: nemam cibulu ani cikulu Od: Mek | Pridané: 5.4.2011 21:21 aj ja chcem taky matros Odpovedať Hodnotiť:

nemam cibulu ani cikulu Od: skatt | Pridané: 1.4.2011 19:43 Zlá správa: Nie je mnoho antivírusových programov, sa zdajú byť schopný detekovať Windows stability Center. VirusTotal je služba, ktorá kontroluje vzoriek malwaru proti 43 hlavným antivírusové produkty a zistite, ktoré výrobky môžu detekovať. K 1. aprílu, iba 17 z 43 testovaných bloku Windows stability Scanner. Aspoň, zabezpečenia firmy pohybujúce sa na túto hrozbu: To bolo len 13 z 43 31. marca ca Odpovedať Známka: -3.3 Hodnotiť:

Pridať komentár