Malware attack spreads to 5 million pages (and counting)
Unpatched sites turn on visitors
By Dan Goodin in San Francisco • Get more from this author
Posted in Malware, 2nd August 2011 18:07 GMT
Theo: http://www.theregister.co.uk/2011/08/02/mass_injection_attack_goes_viral/
Bài được đưa lên Internet ngày: 02/08/2011
Lời người dịch: Một cuộc tấn công gây lây nhiễm cho khoảng 5 triệu máy tính chỉ trong vòng 1 tuần. Theo Armorize, cuộc tấn công khai thác ít nhất 3 lỗi an ninh của osCommerce, một trong số đó đã được phát hiện chỉ 3 tuần trước. Những chỗ bị tổn thương đã cho phép những kẻ tấn công sử dụng các địa chỉ IP của Ukrain để tiêm các iframes vào các website chưa được vá. Iframes lặng lẽ định tuyến lại các khách viếng thăm tới một loạt các website trung gian cuối cùng cố khai thác một vài chỗ bị tổn thương của Windows. Video bên dưới, chỉ ra cuộc tấn công đang hoạt động. http://www.youtube.com/watch?v=okAIMflJ4bA&feature=player_embedded. Nếu bạn đang chạy một website có sử dụng osCommerce, thì Armorize đã chỉ dẫn chi tiết ở đây cho việc dò tìm và làm sạch lây nhiễm. osCommerce, đưa ra một chỉ dẫn an ninh ở đây.
Một cuộc tấn công nhằm vào một ứng dụng thương mại trực tuyến đã lây nhiễm cho khoảng 5 triệu trang web với các scripts định cài đặt phần mềm độc hại lên các máy tính của những người viếng thăm chúng.
Cuộc tấn công hàng loạt gây tổn thương cho các website chạy các phiên bản chưa được vá của ứng dụng web về quản lý cửa hàng osCommerce, đã lan rộng thực sự vào cuối tuần trước. Khi các nhà nghiên cứu từ hãng an ninh web Armorize lần đầu tiên phát hiện nó vào hôm 24/07, các kết quả tìm kiếm của Google đã gợi ý chỉ 91,000 trang web bị lây nhiễm. Tới hôm thứ ba, các kết quả của tìm kiếm tương tự đã chỉ ra sự khai thác đã lan rộng tới khoảng 5 triệu trang.
Theo Armorize, cuộc tấn công khai thác ít nhất 3 lỗi an ninh của osCommerce, một trong số đó đã được phát hiện chỉ 3 tuần trước. Những chỗ bị tổn thương đã cho phép những kẻ tấn công sử dụng các địa chỉ IP của Ukrain để tiêm các iframes vào các website chưa được vá. Iframes lặng lẽ định tuyến lại các khách viếng thăm tới một loạt các website trung gian cuối cùng cố khai thác một vài chỗ bị tổn thương của Windows.
Các khách viếng thăm mà không cài đặt các bản vá sau đó sẽ bị tổn thương, thường không nhận ra được.
Video bên dưới, chỉ ra cuộc tấn công đang hoạt động.
http://www.youtube.com/watch?v=okAIMflJ4bA&feature=player_embedded
Khi đang viết bài này, thì các kết quả tìm kiếm của Google đã chỉ ra 4,5 triệu trang bị lây nhiễm với liên kết willysy.com và 415,000 trang với exero.eu iframe.
Dòng thời gian là một ví dụ đồ thị về vì sao quan trọng đối với người sử dụng đầu cuối và các quản trị website áp dụng các bản vá ngay lập tức. Thậm chí việc chờ đợi vài ngày có thể có nghĩa sự khác biệt giữa bị lây nhiễm và vẫn còn sạch.
Nếu bạn đang chạy một website có sử dụng osCommerce, thì Armorize đã chỉ dẫn chi tiết ở đây cho việc dò tìm và làm sạch lây nhiễm. osCommerce, đưa ra một chỉ dẫn an ninh ở đây.
An attack that targets a popular online commerce application has infected almost 5 million webpages with scripts that attempt to install malware on their visitors' computers.
The mass attack, which compromises websites running unpatched versions of the osCommerce store-management web application, has spread virally over the past week. When researchers from web security firm Armorize first discovered it on July 24, Google search results suggested just 91,000 webpages were infected. As of Tuesday, those same search results showed the exploit had spread to almost 5 million pages.
According to Armorize, the attack exploits at least three osCommerce security flaws, one that was disclosed just three weeks ago. The vulnerabilities have allowed attackers using Ukrainian IP addresses to inject iframes into unpatched websites. The iframes silently redirect visitors to malicious files located on willysy.com and exero.eu. Those domain names, in turn redirect visitors to a series of intermediate websites that ultimately try to exploit several Windows vulnerabilities.
Visitors who haven't installed patches are then compromised, usually with no outward indication.
The video below, shows the attack in action.
http://www.youtube.com/watch?v=okAIMflJ4bA&feature=player_embedded
At time of writing, Google results showed 4.5 million pages infected with the willysy.com link and 415,000 pages infected with the exero.eu iframe.
The time line is a graphic example of why it's important for end users and website admins to apply patches immediately. Waiting even a few days can mean the difference between getting infected and staying clean.
If you're running a website that uses osCommerce, Armorize has detailed instructions here for detecting and cleaning up infections. osCommerce, provides a security primer here.
Dịch tài liệu: Lê Trung Nghĩa
Không có nhận xét nào:
Đăng nhận xét
Lưu ý: Chỉ thành viên của blog này mới được đăng nhận xét.