Массовая SQL-инъекция затронула уже миллион сайтов

Массовая атака с внедрением SQL-кода, схожая с атаками LizaMoon, получившими широкую известность прошлой весной, заразила уже более миллиона сайтов, работающих на технологии ASP.NET, сообщили сегодня исследователи из Armorize. Согласно исследователям безопасности баз данных, успех используемого атакой метода внедрения SQL-кода зависит от небрежности настройки серверов и back-end баз данных, которая когда-то способствовала проникновению в них LizaMoon.



"Эта атака очень похожа на LizaMoon", - сказал Уэйн Хуан, президент Armorize, который, вместе со своей командой, первым доложил о скрипте на сайтах, работающих на ASP.NET. Этот скрипт загружет на сайт iFrame для инициации работы эксплоитов, использующих уязвимости браузеров посетителей для загрузки им вредоносного ПО.

Первоначальный отчет Armorize показал, что скрипт поразил 180 000 сайтов, но Хуан сказал сайту Dark Reading, что, согласно исследованию Google, уже 1 миллион сайтов содержит внедренный код.

По словам Джоша Шоула, технического директора Application Security Inc., новости о заражении, пришедшие вслед за шумихой вокруг LizaMoon, делают такую ошибку еще обиднее.

"Это очень печально, потому что LizaMoon заражала этот же тип систем из-за точно таких же проблем с настройками безопасности", - сказал Шоул. "Такое ощущение, что людям, которые работают с этими системами, нет до них никакого дела".

Шоул сказал, что очень часто проблемы возникают из-за того, что организации отключают проверку вводимых данных на своих серверах, способствуя таким образом внедрению кода и порче баз данных, пишет xakep.ru.

"Отключать проверку вводимых данных – это безумие", - говорит Шоул. "На ASP.NET есть скриптовая функция, которая проверяет вводимые данные, и она включена по умолчанию. Эти люди выключили ее, и я просто не могу представить, зачем они это сделали".

Хуан также сказал, что само количество инфекций, вызванных атакой и цепочка улик, которые удалось раскопать его команде, наводит на мысль, что большинство этих сайтов создавалось малыми и средними предприятиями практически без какого-либо понимания безопасности.

Он порекомендовал предприятиям начать обновлять свои библиотеки и фреймворки на новые версии, чтобы бороться с SQL-инъекциями. Еще им следовало бы научиться лучше использовать бесплатные инструменты для поиска уязвимого кода, а также службами для поиска уязвимостей веб-сайтов, за которые они, возможно, платят, даже не зная всех их возможностей.

Что касается больших предприятий, то, по словам Хуана, "у них нет никакого оправдания" в том, что они пали жертвами подобных массовых атак. Он заметил, что это происходит нечасто. Организациям, которые пострадали из-за разгильдяйского отношения к внутренней безопасности, нужно начать беспокоиться, ибо подобные массовые атаки могут позволить продвинутым хакерам проводить разведывательную работу в организации.

"Это словно всесетевое сканирование уязвимостей. Ты идешь и вслепую внедряешь SQL-код в серверы вроде ASP.NET. А потом ждешь, пока Google сообщит, в какие сайты тебе удалось внедрить свой SQL. Теперь у тебя на руках дорожная карта по уязвимым сайтам", - сказал он. "Остается только выбрать, на каких из них имеются данные, которые стоить украсть. Так что все это может быть сложнее, чем кажется. Впоследствии может произойти связка нацеленных атак на людей, относящихся к безопасности баз данных настолько халатно, чтобы хранить в них что-то, что действительно стоит украсть".

Anti-Malware Яндекс ДзенПодписывайтесь на канал "Anti-Malware" в Яндекс Дзен, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

Газпромбанк пожаловался на мощную DDoS-атаку

6 сентября на сервисы Газпромбанка натравили ботов. В результате DDoS-атаки пострадали сайт компании, кол-центр и смс-провайдер. ИБ-отдел Газпромбанка жалуется, что бизнесу в кибервойне не помогают силовики.

“Прошли те времена, когда модель угроз состояла из криминала, а целью была нажива. Теперь это политически подкованные группы с идеей что-то обрушить, сделать что-то плохое”, — этими словами начал свое выступление на Business Information Security Summit Александр Егоркин, первый вице-президент Газпромбанка.

Егоркин рассказал о масштабной DDoS-атаке, которой подверглись сервисы Газпромбанка 6 сентября. Хактивисты настроили тысячи ботов, которые одномоментно заполняли анкеты на сайте банка. Злоумышленники вбивали в форму данные из утечек интернет-провайдера, а тот автоматически рассылал сообщения по указанным номерам телефонов.

В итоге “упали” сайт и кол-центр Газпромбанка, а также сам смс-провайдер, рассказывает Егоркин.

“Надо отдать должное, атакующие серьезно готовились”, — оправдывается Егоркин. В тот же день атакам подвергся банк-клиент и сетевой экран Газпромбанка. По словам топ-менеджера, на восстановительные работы ушло примерно четыре часа.

Егоркин считает, что в сегодняшних сложных условиях кибервойны банки остаются один на один с хактивистами. Силовые структуры не уделяют должного внимания ни предотвращению, ни расследованию инцидентов.

Нас “дидосили” с российских, белорусских и китайских IP-адресов, добавляет ИБ-специалист. “Интернет-проксеры” и правоохранительные органы могли бы оперативно найти центр управления атаками и заблокировать сервер. Но этим никто не занимается.

“Каждый сам за себя в этом киберпространстве”, — сожалеет Егоркин.

Представитель Газпромбанка считает, что государство должно активнее помогать бизнесу в борьбе с атаками.

Уже на другой дискуссии, участников круглого стола “Ландшафт и стратегия ИБ голосами практиков” спросили, нужно ли государству больше вмешиваться в “разборки” больших бизнесов с киберпреступниками.

Крупные финансово-коммерческие организации должны сами оценивать свои риски, высказался Роман Морозов, руководитель Управления информационной безопасности Департамента безопасности, Capital Group.

Государство уже и так достаточно делает, добавили другие спикеры.

На рост атак жаловался и представитель коммерческого банка Кыргызстана.

Все мошенники, которые до этого терроризировали своими звонками российских пользователей, перешли на наших граждан, — уточнил начальник Службы ИБ Батырбек Абдрашитов. — В том числе потому, что официальный государственный язык в Кыргызстане — русский”.

Аферисты масштабировали свои сценарии на киргизских граждан.

После введения антироссийских санкций Кыргызстан стал плацдармом для поддержки “изъятых” в России банковских услуг, напоминает Абдрашитов. Риски при этом возросли.

“Нам было бы полезно и приятно принять участие в киберучениях вместе с российскими коллегами”, — добавляет Абдрашитов.

Есть вопросы у бизнеса и к импортозамещению, которое теперь принято называть “цифровой независимостью”.

В Газпромбанке больше половины систем уже импортозамещены, рассказывает Егоркин. Еще несколько десятков продуктов проходят тесты. По словам топ-менеджера, основные претензии к российским решениям — нагрузочные характеристики, слабая функциональность, сбои и “недружелюбный” интерфейс.

С такой оценкой согласен и Юрий Забавин, начальник отдела ИБ РусГазШельф:

“Многие российские решения, которые предлагают сейчас наши вендоры вместо ушедших, имеют костыли. Многие топовые решения ушли с рынка. Российские же не могут полноценно заменить. Интерфейс, нагрузочные характеристики не справляются, многое в стадии разработки. Мы ищем отечественные аналоги, которые бы нас удовлетворили. Но многие иностранные решения по деньгам были дешевле, чем наши. Сейчас я формирую бюджет. Пока не знаю, как буду защищать этот бюджет, если решения в 2022 году на такое же количество людей, стоят намного дороже, чем в 2021”.

Сдержанные эмоции вызвала у представителей бизнеса инициатива оборотных штрафов за утечки. На первой пленарной сессии BISS’22 регуляторы активно требовали большей ответственности для игроков.

По мнению вице-президента Газпромбанка, если банк внедрил все нужные ИБ-решения и соответствует требованиям, его не за что наказывать.

“Любая система уязвима, — считает Егоркин. — Тот, кто говорит, что можно построить неуязвимую систему, ничего не понимает в ИБ. Имея неограниченный денежный и временной ресурс, можно взломать любую систему”.

Кроме того, высокие оборотные штрафы могут спровоцировать шантажистов, считают участники дискуссии.

Оборотные штрафы за утечки — это философский вопрос, готового решения пока нет, заключили эксперты ИБ от бизнеса.

Anti-Malware Яндекс ДзенПодписывайтесь на канал "Anti-Malware" в Яндекс Дзен, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru