Web-Sicherheit

Januar 7, 2012

Erneut Massenattacken auf SQL-Injection-Schwachstellen

Filed under: Allgemein — sebastiankuebeck @ 15:08
Tags: , , , ,

Mark Hofman berichtete kürzlich auf der Webseite des Internet Storm Center (ISC), dass inzwischen mehr als eine Million Webseiten (davon zehntausende deutsche Webseiten) Opfer von automatisierten Angriffen auf SQL-Injection-Schwachstellen geworden sind. Betroffen sind offenbar ausschließlich Coldfusion-Installationen die mit dem Microsofts Internet Information Server (IIS) und SQL Server betrieben werden. Die Angreifer binden dabei Code in die Webseite ein, der Besucher auf die Domain Lilupophilupop.com umleitet, auf der Scareware angeboten wird.

Ob eine Webseite infiziert wurde, kann beispielsweise mit Hilfe von Google ermittelt werden. Liefert die Suche mit der Zeichenkette <script src="http://lilupophilupop.com/" sowie dem Parameter site samt einer verdächtigen Webadresse ein positives Ergebnis, ist diese infiziert.
Alle betroffenen Webseiten der Domäne .de lassen sich durch folgende Suche ermitteln:

  <script src="http://lilupophilupop.com/" site:de

Der Datensatz, mit dem die Webseiten manipuliert werden enthält folgenden Code, den Coldfusion offenbar ungefiltert an die Datenbank weiterleitet und so zur Ausführung bringt (siehe Mark Hoffmans Post von Anfang Dezember) …

declare+@s+varchar(4000)+set+@s=cast(0xset ansi_warnings off DECLARE @T VARCHAR(255),
@C VARCHAR(255) DECLARE Table_Cursor CURSOR FOR select c.TABLE_NAME,c.COLUMN_NAME
from INFORMATION_SCHEMA.columns c, INFORMATION_SCHEMA.tables t where c.DATA_TYPE in
('...IN EXEC('UPDATE ['+@T+'] SET ['+@C+']=''">''">

Laut den Kommentaren ist das keine Schwachstelle im Coldfusion-Server selbst sondern es handelt sich um Schwachstellen in den Coldfusion-Skripten der betroffenen Webseiten. Mark Hofman rät, die betroffenen Seiten über die Log-Einträge zu identifizieren und die Schwachstellen dort zu beheben. Wie das geht ist beispielsweise in folgendem Artikel beschrieben: Secure your ColdFusion application against SQL injection attacks.

Massenattacken auf SQL-Injection-Schwachstellen kommen inzwischen häufig vor und keine gängige Webtechnologie bleibt von ihnen verschont (siehe LizaMoon vor einem Jahr und dieser Angriff auf ISS-Installationen aus dem Jahr 2010). Höchste Zeit also, die eigene Webseite abzusichern.

Schreibe einen Kommentar »

Es gibt noch keine Kommentare.

RSS feed for comments on this post. TrackBack URI

Kommentar verfassen

Trage deine Daten unten ein oder klicke ein Icon um dich einzuloggen:

WordPress.com-Logo

Du kommentierst mit Deinem WordPress.com-Konto. Abmelden / Ändern )

Twitter-Bild

Du kommentierst mit Deinem Twitter-Konto. Abmelden / Ändern )

Facebook-Foto

Du kommentierst mit Deinem Facebook-Konto. Abmelden / Ändern )

Google+ Foto

Du kommentierst mit Deinem Google+-Konto. Abmelden / Ändern )

Verbinde mit %s

Bloggen auf WordPress.com.

%d Bloggern gefällt das: