Servere EDU compromise implicate în atacuri de tip DoS

Update: breşa de securitate din infrastructura MIT a fost remediată imediat după publicarea articolului

Atacurile informatice sunt la ordinea zilei și de aceea au încetat să mai constitue subiecte de știre. Cu toate acestea, din când în când, anumite astfel de incidente reușesc să atragă atenția. Un astfel de caz este atacul involuntar lansat de mit.edu, infrastructura web a uneia dintre cele mai prestigioase universități din lume.

Săptămâni întregi s-au purtat discuții pe forumurile tehnice pe marginea atacurilor ce vizează tehnologiile PHP și SQL și siteuri vulnerabile utilizate ca unelte pentru răspândirea de malware sau în atacuri de tip “brute-force”. Se estimează că astfel de atacuri au compromis peste 100,000 de site-uri din întreaga lume.

Această campanie a vizat şi unul din serverele MIT (CSH-2.MIT.EDU), care, în urma compromiterii, găzduiește un script malițios folosit de cyber-infractori pentru a găsi alte siteuri vulnerabile de pe web. Nu se știe cum a ajuns respectivul script de crawling pe serverul MIT, dar este clar că acesta urmărește detectarea de websiteuri cu vulnerabilități în PHPMyAdmin, cea mai populară interfață de administrare a serverelor MySQL.

PHPMyAdmin este utilizat de dezvoltatorii și administratorii de site pentru a se conecta și a efectua operațiuni specifice SQL, cum ar fi crearea, citirea, actualizarea și ștergera informațiilor din baza de date. Informațiile noastre arată că vulnerabilitatea vizează versiunile de PHPMyAdmin cuprinse între 2.5.6 și 2.8.2..

Când crawlerul localizat în infrastructura MIT găsește o versiune vulnerabilă de PHPMyAdmin, încearcă să obțină privilegii administrative și să injecteze o comandă SQL în baza de date. Dacă website-ul a fost compromis cu success, crawlerul lasă în urmă un director numit “muieblackcat” – un mutex ce serveşte atât ca marker de infecţie, cât şi ca instrument der propagare, dat fiind faptul că în interiorul acestuia se copiază cunoscutul pachet de exploituri BlackHole. Acesta însă nu este singurul prejudiciu adus serverului atacat. În funcție de cât de solid este serverul, multitudinea de cereri GET pe secundă ar putea să-l scoată din funcţiune temporar, într-o manieră similară cu atacurile de tip DoS.

Numele de domeniu .edu este privilegiat prin natura sa și este utilizat nu numai de instituţii de învăţământ din toată lumea, dar şi de universităţi prestigioase cu infrastructuri informatice extrem de puternice. Un trackback de la un astfel de domeniu este privit ca un vot de încredere pentru un articol, un blog, un site întreg, sau chiar pentru o instituție. Astfel, o infrastructură de mărimea MIT.edu nu este doar garantată să aibă lăţimi de bandă suficiente pentru a duce la sfârşit un atac masiv în timp extrem de scurt, dar de asemenea este și o cale sigură de a trece de firewalluri care de obicei acceptă traficul dinspre MIT.edu ca fiind legitim.

Acest lucru explică și interesul infractorilor pentru infrastructurile EDU sau altele de acest gen (de exemplu GOV sau MIL), pentru a le folosi în scopuri ilicite, cum ar fi promovarea unor mărfuri ilegale sau a unui conținut dubios.

Articolul se bazează pe informații primite prin amabilitatea Doinei Cosovan, BitDefender VirusAnalyst.

Toate denumirile şi numele de produs menţionate mai sus aparţin deţinătorilor de drept şi pot fi mărci înregistrate ale acestora.