MySQL.com вновь взломан

Николай Головко 27 Сентября 2011 - 08:26

...

Сайт популярного решения для управления базами данных подвергся налету взломщиков. Хакеры смогли получить административный доступ к серверу проекта и внесли несанкционированные изменения в код страниц ресурса. В итоге все посетители, открывавшие эти страницы в своем обозревателе, рисковали стать жертвой атаки вредоносного программного обеспечения.

При посещении инфицированной страницы браузер скрытно направлялся на посторонний ресурс, где операционная система и установленные программы проверялись на наличие уязвимостей при помощи набора эксплойтов Blackhole. Если на компьютере посетителя обнаруживались незакрытые изъяны, то к ним подбирался атакующий код, результатом работы которого являлась установка в систему вредоносных программ. Все происходило в фоновом режиме без ведома пользователя; никаких действий с его стороны для совершения успешной атаки не требовалось.

О взломе сообщили исследователи компании Armorize; именно их данные позволили утверждать, что против посетителей MySQL.com использовался набор Blackhole. Однако можно считать, что они были не первыми вестниками компрометации сайта: так, некоторое время назад известный обозреватель и аналитик Брайан Кребс заметил на киберкриминальном форуме объявление о продаже аутентификационных сведений для административного доступа к ресурсу. Несколько позже аналогичная информация появилась и в блоге исследовательской лаборатории Trend Micro. Взломщик под псевдонимом sourcec0de был готов обменять вышеупомянутые данные на 3 000 долларов США.

По-видимому, злоумышленники желали воспользоваться mysql.com исключительно как площадкой для распространения вредоносного кода. Посещаемость сайта составляет порядка 400 тыс. человек в день, так что с этой точки зрения он довольно привлекателен. Тем не менее, пока нет ясности в вопросе о том, не внесли ли киберпреступники каких-либо иных модификаций в хранящиеся на сервере объекты - например, не произошла ли подмена ссылок в разделе загрузок программного обеспечения MySQL. Необходимо заметить, что ранее - весной этого же года - mysql.com уже подвергался кибернападению; тогда злоумышленникам удалось извлечь часть базы данных о пользовательских учетных записях, включая имена, адреса электронной почты и пароли.

Sophos

Письмо автору

Следующая главная новость »

SOC без иллюзий: от выбора технологий к реальной защите - обсудим в эфире AM Live! Регистрируйтесь »

Екатерина Быстрова 09 Февраля 2026 - 09:13

Уязвимости программ Ошибки конфигурации программ Домашние пользователи Корпорации

Исследователь нашёл опасную дыру в автообновлении драйверов AMD

На дворе 2026 год: человечество обсуждает будущее с ИИ, роботы становятся всё более человекоподобными а функция автообновления драйверов AMD для Windows по-прежнему скачивает апдейты по небезопасному соединению. На это обратил внимание начинающий ИБ-специалист из Новой Зеландии, опубликовавший свой разбор в блоге.

Правда, вскоре пост был «временно удалён по запросу», что только подогрело интерес к истории.

По словам Пола, когда AMD Auto-Updater находит подходящее обновление, он загружает его по обычному HTTP. А значит, любой злоумышленник, находящийся в той же сети (или где-то по пути трафика), может подменить сайт AMD или изменить файл «на лету», встроив в драйвер шпионский софт или шифровальщик, который будет работать с правами администратора.

Исследователь утверждает, что сразу сообщил о проблеме AMD, но получил довольно формальный ответ: атаки типа «Человек посередине» якобы находятся «вне области ответственности». Судя по формулировкам, уязвимость, скорее всего, была отправлена через программу баг-баунти компании, соответственно, ни патча, ни награды Пол, вероятно, не увидит.

Формально представитель AMD может быть прав, но на практике планка для атаки выглядит пугающе низкой. Достаточно, например, подменить домен ati.com или перехватить трафик в публичной сети Wi-Fi (функция автообновления доверяет источнику безо всяких проверок и валидации). А учитывая, сколько устройств по всему миру используют видеокарты AMD, поверхность атаки измеряется миллионами компьютеров.

Ситуацию усугубляет и то, что непонятно, как давно обновления доставляются таким образом.

Обнаружил всё это Пол случайно — его насторожило внезапное появление консольного окна на новом игровом компьютере. Дальше, по его словам, он решил декомпилировал софт. В процессе выяснилось, что список обновлений действительно загружается по HTTPS, но сами драйверы скачиваются по HTTP, через странно названный URL с опечаткой — Devlpment.

Если описанное подтвердится, остаётся надеяться, что AMD всё-таки признает проблему, срочно переведёт загрузку драйверов на HTTPS и выплатит Полу заслуженное вознаграждение. Потому что в 2026 году такие ошибки выглядят уже не просто неловко, а откровенно опасно.

SOC без иллюзий: от выбора технологий к реальной защите - обсудим в эфире AM Live! Регистрируйтесь »