Массированная атака: 500 тыс. IIS-серверов подверглись SQL-инъекции
Среда, 30.04.2008Новая атака, осуществляемая при помощи SQL-инъекций, направлена на 500 тыс. веб-серверов Microsoft IIS, среди которых веб-ресурсы Организации Объединенных Наций, правительства Великобритании и Департамента Национальной Безопасности США. Хотя Microsoft не виновна в атаке, она уникальна для IIS серверов.
Автоматизированная атака используется для того, чтобы IIS-серверы Microsoft позволяли генерировать команды. Однако, уязвимость является результатом плохой обработки данных на конкретных сайтах, а не ошибки Microsoft.
Иными словами, нет патча, что устранить возникшие проблемы. Проблема возникла по вине разработчиков сайтов, которые не достаточно хорошо обеспечивают безопасность обработки входных данных.
Сама же атака основана на инъекции вредоносных JavaScript-кодов в текстовых полях базы данных. После внедрения Javascript загружает внешний сценарий, который может скомпрометировать пользовательский ПК.
Большинство крупных организаций, пострадавших от массированной атаки, решили проблему сами и утверждают, что проблема возникла из-за их кода, который был исправлен. Если пользователь желает избежать данной проблемы, есть простой - использовать Firefox с NoScript, пишется на blog.wired.com.
До сих пор не было никаких данных о том, кто стоит за атаками.
