01 апреля 2011 Сотни тысяч сайтов пострадали от массированной атаки «SQL-инъекция» В Интернете зафиксирована небывалая эпидемия атак типа «SQL-инъекция» - на первый день апреля количество сайтов, пораженных этой эпидемией, составило более 694 тысяч. Новая эпидемия модифицирует текстовое содержимое баз данных, лежащих в основе веб-сайтов, в результате чего в веб-страницы на пораженных сайтах встраивается одна или несколько ссылок на вредоносный файл с JavaScript-сценарием.
Первыми, кто зафиксировал опасную эпидемию, стала компания Websense Security Labs. По их сведениям, атаке подвергаются практически любые сайты, в том числе серверы, где используются технологии ASP, ASP.NET, ColdFusion, JSP и PHP, а также любые другие технологии динамической генерации веб-страниц. Атаки типа «SQL-инъекция» обычно используют уязвимости в плохо написанных веб-приложениях, выполняя прямые запросы к внутренней базе данных. Примечательно, что эффективность подобных атак почти не зависит от конкретной технологии, использованной для написания веб-приложений: ошибки программирования, открывающие путь для таких «SQL-инъекций», можно допустить практически в любом языке или среде программирования. Первопричина таких уязвимостей заключается в том, что программист по умолчанию доверяет любым входящим данным, которые поступают от веб-страницы, будь то значение из формы или параметр в строке адреса URL. В результате такого слепого доверия входящие данные напрямую передаются в базу данных. Если злоумышленник целенаправленно подменяет входные данные, база теоретически может выполнить выбранный злоумышленником код.
В данном случае внедряемый код на языке SQL (именно этот язык используется для операций с базами данных) просто меняет текстовые поля в базе данных – эти поля будут содержать дополнительный фрагмент на языке HTML. Этот дополнительный HTML-код загружает JavaScript-сценарий с удаленного сервера: чаще всего с адресов типа «http://lizamoon.com/ur.php» или «http://alisa-carter.com/ur.php». Оба приведенных домена ведут на один и тот же IP-адрес, причем на данный момент этот сервер не отзывается на запросы, так что браузеры посетителей не могут загрузить вредоносный сценарий при посещении зараженных сайтов. До этого загружаемый сценарий перенаправлял посетителей на фальшивый сайт с антивирусными утилитами.
Массированный характер атаки и быстро растущее число пораженных сайтов выделяют новую эпидемию из общего числа подобных атак. Зараженный код, в частности, обнаружили на многих страницах продуктов в магазине приложений Apple iTunes. Дело в том, что сайт Apple собирает RSS-потоки, которые передаются конечным потребителям через сервис iTunes, а многие авторы этих RSS-потоков, точнее, их частные веб-сайты, как раз и пострадали от новой атаки. В результате вредоносный код проник на сайт компании Apple. В то же время, следует отметить, что из-за специфической обработки, которой компания Apple подвергает RSS-потоки, угроза распространения атаки через этот сайт сведена к нулю.
Строго говоря, «SQL-инъекции» подобного типа впервые проявились примерно 6 месяцев назад. Домен, в котором размещается JavaScript-сценарий, все время менялся, а вот имя файла – «ur.php» — и стиль заражения остался прежним. Результаты исполнения сценариев тоже остались без изменений – всплывающие окна c рекламой фальшивых антивирусов или скрытая загрузка вирусов. Как бы то ни было, первые атаки были далеки от нынешней интенсивности – всего лишь сотни пораженных сайтов вместо нынешних сотен тысяч. Кстати, изначально атаки исходили с IP-адресов, зарегистрированных в Восточной Европе и в России. Среди пораженных сайтов оказались не только сайты Apple, но и сайт MySQL.com, который посвящен открытой СУБД MySQL, сейчас принадлежащей компании Oracle – этот факт бросает тень на крупнейшего поставщика СУБД, неспособного обеспечить безопасность собственной БД. источник: Ars Technica |
