Un attacco contro MySQL, ecco cosa è accaduto

L’aggressione sì è basata sull’inserimento nel sito Web di un codice JavaScript maligno. Il codice faceva leva su una serie di vulnerabilità conosciute di Adobe Flash, Reader, delle runtime Java e di Windows per installare ed eseguire un pericoloso malware.

Come viene confermato da parte degli esperti dell’Internet Storm Center (ISC)
di SANS, il sito web mysql.com è stato oggetto di un’aggressione, condotta
in porto, al momento, da parte di sconosciuti due giorni fa.

Il malintenzionato è riuscito a fare in modo che il sito web ufficiale
del RDBMS MySQL, dal 2010 di proprietà di Oracle, dopo l’acquisizione
di Sun Microsystems, proponesse automaticamente – ai client di volta in volta
collegati – il download di un componente dannoso.

I ricercatori di Armorize – i primi ad accorgersi del problema – hanno spiegato
che il codice JavaScript maligno, inserito su mysql.com, sfruttava tutta una
serie di vulnerabilità conosciute dei pacchetti Adobe Flash, di Adobe
Reader, delle runtime Java e del sistema operativo Windows per installare ed
eseguire un pericoloso malware. Gli utenti che si sono collegati al sito di
MySQL utilizzando versioni obsolete di Flash, Reader, Java è quindi probabile
possano aver subìto l’infezione.

Secondo il CEO di Armorize, Wayne Huang, il problema sarebbe stato risolto
nel giro di qualche ora tanto che il codice maligno potrebbe essere rimasto
sul sito web per meno di una giornata.

Molto interessante è l’analisi che i tecnici di Armorize hanno pubblicato
a questo indirizzo.

Per comprendere immediatamente i passi utilizzati per infettare i personal
computer degli utenti collegati, è stato impiegato l’ottimo software
Fiddler.

Autobattezzatosi "web debugger", Fiddler è un’applicazione
capace di monitorare l’intero flusso dei dati verificando, passo dopo passo,
quali oggetti vengono scaricati attraverso i protocolli HTTP e HTTPS. Il programma
è in grado di estrarre singoli blocchi di dati e permettere, a colpo
d’occhio, di capire il dialogo in corso tra client e server (e viceversa).

I siti web ad elevato traffico sono spesso prede particolarmente ambite da
chi sviluppa malware. Nelle scorse settimana la stessa Linux Foundation è
stata obbligata a bloccare l’accesso a diversi suoi siti web – inclusi i più
famosi kernel.org e linux.com – con lo scopo di investigare sulle cause dell’incidente.
Ad oggi i siti web non sono stati ancora riaperti.

Stando a quanto dichiarato da alcuni ricercatori, l’autore dell’attacco sferrato
a mysql.com avrebbe già fatto sentire la sua "voce" offrendo
l’accesso root ai server di MySQL per la somma di 3.000 dollari.

LASCIA UN COMMENTO

Inserisci il tuo commento
Inserisci il tuo nome