20
junio
2007

¿Cómo comprometer más de 10.000 sitios web?

o más...
[Vulnerabilidades] 
En relación al ataque basado en sitios webs comprometidos, tal vez lo que más ha impactado es el número de servidores web utilizados, o el hecho de que se puedan dar estadísticas tan concretas sobre usuarios afectados. La realidad es que ambas cosas suelen ser habituales, las herramientas automáticas permiten atacar múltiples sistemas en muy corto espacio de tiempo y sin necesidad de dedicarle recursos "humanos", mientras que las estadísticas concretas se pueden dar en los casos donde los "atacantes" son atacados. Sí, también cometen fallos de programación, o simplemente son descuidados como en este caso y dejan una password por defecto en algún script.


Desvelado el cómo se accede a las estadísticas, la incógnita quedaba en descubrir que herramienta automática habían utilizado para poder comprometer tal número de sitios webs. Herramientas de seguridad que buscan y explotan vulnerabilidades hay muchas, si bien en estos casos donde se presupone que se automatiza todo el proceso suele tratarse de herramientas o scripts muy específicos que explotan también una o varias vulnerabilidades concretas. Para intentar averiguar que han utilizado basta, a priori, con hacer un pequeño análisis de seguridad a varias webs comprometidas en el mismo ataque y detectar una vulnerabilidad común.


Nada más comenzar esta prueba he visto que, en este ataque, la explicación era mucho más sencilla, incluso predecible (a veces nos ofuscamos). Tras escoger al alzar 5 webs comprometidas, y nada más comenzar el análisis, he visto que había coincidencias en la versión del servidor web, cosa lógica si buscamos una vulnerabilidad común. Pero había algo más obvio, sus IP estaban en rangos de la misma clase B. Sí, los atacantes han comprometido un proveedor de servicios de hosting y han tenido acceso directo a todas las webs.


Los más de 10.000 sitios webs comprometidos están hospedados en Aruba (http://www.aruba.it), un proveedor italiano que utiliza el rango 62.149.128.0 - 62.149.137.255. Incluyendo la página de nuestra Marta Torné (lo de "nuestra" con el permiso de Sergio): www.martatorne.com [62.149.130.214].


Despejada la incógnita de las infecciones webs masivas (todo apunta a un problema de seguridad del proveedor del hosting), la otra noticia es que el ataque ha sido finalmente neutralizado, al eliminarse MPack del servidor al que redireccionaban las páginas webs comprometidas mediante un IFRAME oculto.

Enviado por bquintero a las 01:51 | Enlace permanente | Comentarios (5) | Trackbacks (0)
Comentarios
Re: ¿Cómo comprometer más de 10.000 sitios web?

Que yo sepa una direccion del tipo 62.*.*.* es de clase A, no B.

Posted by: Ramón at junio 20,2007 11:00
Re: ¿Cómo comprometer más de 10.000 sitios web?

La que se lía porque unos niñatos se hacen root de un server con 10,000 webs y usan unos super-kits mega chulos !

Posted by: SiRw2P at junio 20,2007 11:47
Re: ¿Cómo comprometer más de 10.000 sitios web?

Ramón: entonces también sabrás que una del tipo 62.149.*.* es de clase B

Posted by: bquintero at junio 20,2007 11:49
Re: ¿Cómo comprometer más de 10.000 sitios web?

SIRw2P: sí, la que se ha liao... aunque apunta a algo más que niñatos. Se supone que han podido pagar $700 por el kit de los exploits (que es lo de menos), y que tienen los suficientes recursos para desarrollar (o comprar también) un troyano bancario tipo Sinowal que era lo que instalaban aprovechando el kit, que no es de los facilitos precisamente (un BHO, cifrado con el servidor, inyección de HTML en local, etc). No los conozco personalmente como para saber la edad... pero estaba claro que la cosa estaba medianamente organizada e iban a por pasta.

Posted by: bquintero at junio 20,2007 11:55
Re: ¿Cómo comprometer más de 10.000 sitios web?

Yo avisé a la gente de aruba (abriendo un incidente con ellos) el día 16 de junio de 2007 (mismo día que detecté el cambio de una de mís páginas en las que se habia añadido un iframe que redirigía a la IP: 58,65,239,180 (he puesto comas en la ip, para evitar clicks inoportunos). Veo que la IP, por cierto, sigue activa.

No me hicieron ni caso, alegaban que alguno de mis script en mi página WEB era inseguro. Y que los revisase.

Les indiqué que creia que el problema no era de mi código y que si habian conseguido acceder a mis páginas web y modificar archivos podian hacerlo en cualquiera de sus clientes. Lo mismo, ni caso.

Solo se modificaron aquellos archivos (.php en mi caso) que tenian un campo PASSWORD en un FORM y para elevar más el nivel de alarma, en mi caso, se modificaron páginas que NO eran accesibles publicamente. Es decir, que no tenian ningún enlace que apuntase a ellas. Con lo que mis sospechas se centraban en un ataque al propio sistema de archivos del servidor web de aruba.it (teoricamente un linux) o una vulnerabilidad en alguno de sus servicios (apache, php o lo que fuese).

Nada, siguieron sin hacerme ni caso. Les solicite entonces los logs de apache, php-errores y ftp. Pero se negaron a darmelos.

En fin.... un desastre esta gente de aruba. Me trataron como a un loco y me alegro (solo por ellos, claro) de que al final hayan pagado la absoluta indiferencia con que me trataron.

Saludos.

Posted by: Federico at junio 25,2007 01:00
Trackbacks
Por favor envía los trackbacks a: http://blog.hispasec.nospam/laboratorio/225/tbZ3ping
Reemplazando "nospam" por "com"
No hay trackbacks.
Enviar un comentario