domenica 1 giugno 2008

Aggiornamenti SQL injection siti .IT

Anche se sono passati ormai parecchi giorni dai primi attacchi a siti anche italiani il numero di pagine .IT indicizzato dai motori di ricerca invece che ridursi a subito in queste ultime ore un vistoso aumento
Una ricerca generica ad esempio con Yahoo di uno degli script coinvolti (b.js) nell'atacco da questi risultati
Visto che il sito banner82 e' adesso offline facendo una ricerca piu' specifica per adw95(dot)com che e' attualmente online e linka ad exploit pericolosi abbiamo comunque risultati notevoli in quanto a numero di siti compromessi o comunque che lo sono stati nei giorni scorsi ed ora bonificati.

Una ricerca di esempio con Yahoo

e con Google


Chiaramente non tutti i links riportati dal motore di ricerca puntano allo script pericoloso in quanto molti dei siti elencati sono ora bonificati ed inoltre possono esserci links duplicati o non corretti.

A questo punto rimane comunque il dubbio che gli attacchi a base di sql injection non siano terminati ma in qualche modo vengano portati piu' volte andando a compromettere nuovamente siti gia bonificati (es.il sito del Comune di Grugliasco attaccato e bonificato a piu' riprese)

In ogni caso, tra le centinaia di pagine .IT che appaiono nei risultati dei motori di ricerca online nelle ultime ore e' comparso indicizzata anche il sito del quotidiano italiano LA STAMPA.

Questa una delle pagine colpite

e relativo codice

Come sempre alcune analisi del contenuto del sito dimostrano che sono decine le pagine che presentano il problema


con alcune pagine ad elevato numero di script presenti

Queso il codice sorgente della pagina con il maggior numero di riferimenti ad ADW95


Un altro sito con ancora problemi sembrerebbe questo della Provincia di Piacenza


Tra l'atro su alcuni blog italiani sono comparsi post che illustrano praticamente come e' stato eseguito uno di questi attacchi ed in effetti la sua semplicita' e' evidente.
Bastano veramente poche righe di codice da iniettare nell’URL dinamica per ottenere una query SQL che aggiunge nel database in tutte le colonne la stringa che costituisce lo script e che di conseguenza porta ad avere nel codice delle pagine una presenza massiccia dei link ad ADW95.

Microsoft ha riportato sul suo blog “Security Vulnerability Research & Defense” i dettagli di questo tipo di attacchi dove viene evidenziato che “......... attack does not exploit vulnerabilities in Windows, IIS, SQL Server, or other infrastructure code; rather, it exploits vulnerabilities in custom web applications running on this infrastructure ...... “ a conferma che le vulnerabilita' sfruttate sono in larga misura quelle generate dalle applicazioni create e gestite dagli utenti.

Edgar

Nessun commento: