Ads 468x60px

sunnuntai 6. toukokuuta 2012

Laaja tietoturvahyökkäys käynnissä Suomessa ja ulkomailla

Viime viikolla on suoritettu laaja tietoturvahyökkäys OpenX-mainosalustaa vastaan. CERT-FI julkaisi 3.5.2012 aiheeseen liittyvän tiedotteen. Sovellus on avoimen lähdekoodin ratkaisu mainosbannereiden hallintaan. Sovellusta käytetään laajasti sekä Suomessa että ulkomaila. Ensimmäiset hyökkäykset on suoritettu mahdollisesti jo viime vuoden puolella.

Perjantain ja lauantain aikana KPMG:n asiantuntijat selvittivät kyseistä aukkoa käyttäneen tietomurron kulkua eräässä organisaatiossa. Tutkinnan aikana kävi ilmeiseksi, että Suomessa on useita organisaatioita, jotka ovat joutuneet hyökkäyksen uhreiksi. CERT-FI:n tietoon näistä on tullut kolme. Lisäksi löysimme ainakin kolme uutta uhria, joihin olemme olleet yhteydessä. On mahdollista, että monet muut organisaatiot eivät vielä tiedä olevansa uhreja. Pyrimme olemaan yhteydessä kaikkiin tahoihin, joiden palvelimille on mahdollisesti murtauduttu. Toistaiseksi vain kaksi kohteista on tiedottanut sivuillaan murrosta.

Lisäksi olemme tiedottaneet CERT-FIlle hyökkäyksen yksityiskohdista. Näiden tietojen pohjalta CERT-FI julkaisi uuden tiedotteen 4.5.2012.

Vielä ei ole täyttä varmuutta siitä, kuinka hyökkäyksen ensimmäinen vaihe on toteutettu. On mahdollista, että kyseessä on ollut CSRF-tyyppinen haavoittuvuus OpenX:ssä ja OpenX:n omalla palvelimella, joiden avulla on saatu luotua admin-tason oikeuksilla uusi käyttäjä OpenX:n asennukseen. Käyttäjän nimi openx-manager. Tämän käyttäjän avulla hyökkäystä on viety eteenpäin seuraavilla tavoilla:
  1. Lisätty debug.php-tiedosto OpenX:n asennuksen alihakemistoihin. Tämä tiedosto on skripti, jonka avulla hyökkääjä voi kirjoittaa tiedostoja palvelimelle, palvelinprosessin oikeuksilla.
  2. Lisätty xmarket.php-tiedosto OpenX:n alle. Tämä tiedosto on varsinainen takaovi palvelimelle, ja tarjoaa shell-tason pääsyn palvelimelle, palvelinprosessin oikeuksilla.
  3. Lisätty OpenX:n tietokantaan tauluihin ZONES ja BANNERS kenttään APPEND haittaohjelmaa jakeleva pätkä javascriptiä.
Kuinka voit tarkistaa, oletko hyökkäyksen uhri:
  1. Tarkista, onko OpenX-asennukseen ilmestynyt käyttäjä openx-manager. Tämä käyttäjä ei kuulu normaaliin asennukseen.
  2. Tarkista, onko OpenX:n alla, lukuisissa eri hakemistoissa, debug.php-tiedosto. Tässä tiedostossa on useimmiten kaksi riviä lokitietoa. Suurin osa lokista on PHP-koodia, joka on ujutettu palvelimelle ilmeisesti OpenX:n haavoittuvuuden kautta.
  3. Tarkista, onko OpenX:n alla xmarket.php-tiedosto. Tämä tiedosto sisältää base64-enkoodatun takaoven.
Mitä tehdä, jos olet uhri:
  1. Mikäli mahdollista, ota kopio palvelimen nykyisestä tilasta.
  2. Poista takaovitiedostot.
  3. Vaihda palvelimien ja palveluiden salasanat.
  4. Päivitä OpenX julkaistujen ohjeiden mukaisesti (http://blog.openx.org/05/security-update-for-openx-28-users/)
  5. Tutki lokitiedoista, mitä palvelimellasi on tapahtunut. Web-palvelimen lokista voi esimerkiksi selvitä, mitä komentoja takaovien kautta on suoritettu. Tietokannan lokeista voit selvittää esimerkiksi milloin openx-manager-tili on luotu ja milloin haittaohjelmien jakelu on aloitettu.
  6. Suorita laaja tarkistus tietojärjestelmiin, joihin hyökkääjä on voinut päästä.
  7. Tiedota CERT-FIlle tietomurrosta. Erityisen arvokasta on lisätieto hyökkäyksen kulusta.
  8. Tee rikosilmoitus tietomurrosta.
KPMG avustaa myös mielellään murtojen selvittämisessä.

-Antti Alestalo ja Pasi Kolkkala


Lisätietoja:


Ei kommentteja:

Lähetä kommentti