Kirjaudu

Uutiskirje

Rekisteröidy Sektoriin ja tilaa itsellesi joko aamuisin tai iltaisin ilmestyvä uutiskirje sähköpostiisi.

Tiistai, 29.4.2008

500 000 IIS-verkkopalvelua SQL-ruiskehyökkäyksen kohteena

Useita satoja tuhansia internet-verkkopalveluita on joutunut automaattisen robottiohjelman suorittaman SQL-ruiskehyökkäyksen kohteeksi. F-Securen mukaan hyökkäys oli jo viime viikolla muokannut noin 510 000 internet-sivua. Tunnetuimpia hyökkäyksen edessä kaatuneita sivustoja oli YK:n internet-verkkopalvelu.

Hyökkäys on kohdistettu vain Microsoft IIS -palvelinohjelmiston päällä toimiviin verkkopalveluihin. Hyökkäyksen onnistuminen edellyttää, että palvelussa käytetään vastoin hyviä tietoturvakäytäntöjä tehtyä ASP.NET-koodia ja palvelun taustalta löytyy Microsoft SQL Server -tietokanta. Hyökkäys lisää kaikkiin tekstimuotoisiin tietokantakenttiin linkin JavaScript-koodiin, joka puolestaan internet-sivulle päätyessään pyrkii asentamaan verkkopalvelun loppukäyttäjien tietokoneeseen troijalaisen.

Onnistuneen hyökkäyksen jäljiltä SQL-tietokannan tietosisällöt ovat pääsääntöisesti niin sekaisin, että tilanteen palauttaminen onnistuu helpoiten varmuuskopiosta, jos sellainen on saatavilla. Ilman haavoittuvuudelle alttiiden ASP.NET-ohjelmakoodien korjaamista verkkopalvelu on kuitenkin jatkuvasti avoin uudelle hyökkäykselle.

Lue juttu oma, 29.4.2008 20:55. Lähde: Wired, hackademix.net, Microsoft, F-Secure

Muita aiheeseen liittyviä uutisia

Rekisteröidy ja kirjaudu sisään, jos haluat kommentoida.

Kommentit ( 10 uutta / 10 )
pistettä.
Näytä vain kommentit joilla on vähintään
Mike Steel Re: 500 000 IIS-verkkopalvelua...
Mike Steel, 29.4.2008 21:01:27		 Pisteet: 0
Ja tämä siis _ei_ ole bugi IIS:ssä tai SQL Serverissä, vaan koodaajien kädettömyyttä. Aiheesta lisää esim täällä:

http://www.news.com/8301-10789_3-9930452-57.html?p...
"This was no boating accident!"
bungle Re: 500 000 IIS-verkkopalvelua...
bungle, 29.4.2008 21:53:28		 Pisteet: 0
Ja tämä siis _ei_ ole bugi IIS:ssä tai SQL Serverissä, vaan koodaajien kädettömyyttä. Aiheesta lisää esim täällä:
Olenko väärässä, mutta koodaajien kädettymyyden takia on päästy hyödyntämään Windowsista löytyvää turva-aukkoa? Eli kyllä myös Windowsilla on tähän käsittääkseni osallisuutensa vaikkei se sisäänpääsy reikä ollutkaan. Yhdestä paikasta vuoti vähän, toisesta vähän lisää.
--
"See the animal in his cage that you built, are you sure what side you're on?" -- Trent Reznor
Mike Steel Re: 500 000 IIS-verkkopalvelua...
Mike Steel, 30.4.2008 08:13:09		 Pisteet: 0
Olenko väärässä, mutta koodaajien kädettymyyden takia on päästy hyödyntämään Windowsista löytyvää turva-aukkoa? Eli kyllä myös Windowsilla on tähän käsittääkseni osallisuutensa vaikkei se sisäänpääsy reikä ollutkaan.
- Olet väärässä. Tuossa ei hyödynnetty mitään aukkoa. Lueppa artikkeli.

Sinun logiikan mukaan jos joku kirjoittaa batin "format c:",ja joku tämän ajaa on hyödynnetty tietoturva-aukkoa.
"This was no boating accident!"
bungle Re: 500 000 IIS-verkkopalvelua...
bungle, 5.5.2008 09:26:10		 Pisteet: 0
Sinun logiikan mukaan jos joku kirjoittaa batin "format c:",ja joku tämän ajaa on hyödynnetty tietoturva-aukkoa.
Tämän ongelman yhteydessä oli vain ollut puhetta msdtc:ssä olevasta bugista. Ts. SQL injektiolla ei välttämättä pääse kuin manipuloimaan tietokantaa, mutta msdtc:n bugin ja sql injektion avulla kaiketi pystyisi ajaman mitä tahansa koodia. Vaikkapa tuon format c:n (tosin systeemilevyn formatointi lienee muutenkin estetty, koska on enemmän tai vähemmän lukossa). Mutta kuten sanoit, nyt nämä ongelmat olivat lähinnä koodaajien huolimattomuutta syötteen tarkistuksessa tai sql lauseiden parametrisoinnissa (tai niiden tekemättä jättämisestä). Outoa sinänsä, että missään ei ole oikein puhuttu, että asialla olisi joku tietty laajalle levinnyt softa. *nix puolellahan näitä tapahtuu silloin kun esim. Wordpressin, MediaWikin, PHPBB:n, tms. laajalle levinneen OSS softan haavoittuvuutta hyödynnetään. Sinänsä tämä massainjektio oli erilainen tällä kertaa, että se kohdistui ainoastaan IIS sivustoihin ja ainoastaan MS SQL tietokantaan ja ei hyödyntänyt minkään tunnetun tai käytetyn softan tietoturva-aukkoa.
--
"See the animal in his cage that you built, are you sure what side you're on?" -- Trent Reznor
Re: 500 000 IIS-verkkopalvelua...
101010, 29.4.2008 23:00:24		 Pisteet: 0
Ja tämä siis _ei_ ole bugi IIS:ssä tai SQL Serverissä,
Jos se ei mukamas ole bugi noissa, niin kerropas miksi tuo hyökkäys ei toimi PHP+MySQL yhdistelmällä, eli miksi se toimii vain Microsoftin tuotteissa?
weicco Re: 500 000 IIS-verkkopalvelua...
weicco, 30.4.2008 08:38:10		 Pisteet: 0
Ei se toimisi SQL Serverissäkään jos ASP.NET koodaaja olisi ollut ammattinsa osaava. MS:n tuotteet ovat tukeneet jo ainakin vuosikymmenen SQL parametrisointia ja jos sitä ei käytetä, niin MS ei voi enää asialle mitään. Eli EI näin:

string sql = "select * from taulu where kentta1 = " + ehto;

Vaan näin:

SqlCommand cmd = new SqlCommand("select kentta1,kentta2,... from taulu where kentta1=@k1");
cmd.Parameters.AddWithValue("k1", ehto);

PHP on yrittänyt lieventää asiaa koodaamalla ajurinsa niin, että ne eivät suostu ottamaan useampaa SQL komentoa yhtäaikaa. Joten siis normaali hyökkäys "1 or 1=1;drop users;--" ei onnistu. En ymmärrä koko "paikon" ideaa, sillä tuota ongelmaa ei ole parametrisoinnin kanssa. Luo vain väärää turvallisuudentunnetta.

Ja tuonlainen hyökkäys onnistui muuten vallan mainiosti eduskunnan sivuilla kun testailin jokunen viikko sitten. Käsittääkseni siellä on joku Java kikkare käytössä ja Oracle? Tietoenator voisi tietää enemmän ;)
Join me! Together we can rule the galaxy as father and son.
kilotavu Re: 500 000 IIS-verkkopalvelua...
kilotavu, 30.4.2008 08:11:44		 Pisteet: 0
Ja tämä siis _ei_ ole bugi IIS:ssä tai SQL Serverissä,
Jos se ei mukamas ole bugi noissa, niin kerropas miksi tuo hyökkäys ei toimi PHP+MySQL yhdistelmällä, eli miksi se toimii vain Microsoftin tuotteissa?
Eiköhän samasta syystä ettei PHP koodi toimi Java-koneessa? Tai Java Struts tekniikalla toteutettu ohjelmointivirhe ei ole käytössä Ruby on Rails tekniikalla tehdyillä sivustoissa.
Re: 500 000 IIS-verkkopalvelua...
MakeL_, 30.4.2008 07:45:05		 Pisteet: 0
Ja tämä siis _ei_ ole bugi IIS:ssä tai SQL Serverissä, vaan koodaajien kädettömyyttä. Aiheesta lisää esim täällä: http://www.news.com/8301-10789_3-9930452-57.html?p...
Tirsk...BWAHAHAHAHAHAHAAAAAAAAAAAAAAAAAAAAAAAAAAAAA!!!
cahva Re: 500 000 IIS-verkkopalvelua...
cahva, 29.4.2008 22:29:08		 Pisteet: 0
"SQL-ruiskehyökkäys"... Tirsk! :) Taitaa olla eka kerta kun kuulen SQL-injektion suomennettavan tuolla tavalla :)
Re: 500 000 IIS-verkkopalvelua...
wally, 30.4.2008 07:24:57		 Pisteet: 0
"SQL-ruiskehyökkäys"... Tirsk! :) Taitaa olla eka kerta kun kuulen SQL-injektion suomennettavan tuolla tavalla :)
Taitaa olla eräät kommentit asian taustalla, kun on välillä käytelty mielenkiintoista finglishiä ;-)

Ihan vain huomautuksena, injektio on ihan suomea, vaikka lainasana onkin.