Internet Systems Consortium-site gehackt

[ware_item id=33][/ware_item]

Internet Systems Consortium-site gehackt


Deze week is de website Internet Systems Consortium gehackt.

Bezoekers van de site, die de BIND DNS-, OpenReg-, ISC AFTR- en ISC DHCP-tools ontwikkelt, worden begroet met een bericht waarin staat dat:

“We denken dat de website mogelijk is geïnfecteerd met malware. Scan elke machine die deze site onlangs heeft bezocht op malware. "

Het consortium is van mening dat het probleem ligt bij het contentbeheersysteem dat het gebruikt - WordPress - of bij bijbehorende bestanden en plug-ins.

ISC zegt dat ftp.isc.org, kb.isc.org en andere netwerkbronnen onaangetast zijn en dat het geen rapporten heeft ontvangen die suggereren dat clientcomputers zijn geïnfecteerd vanaf de website. Wel wordt bezoekers gevraagd om [email protected] op de hoogte te stellen als ze denken dat ze een malware-infectie van de site hebben opgelopen.

Volgens Techworm hebben de aanvallers achter de hack bezoekers omgeleid naar ISC.org naar een andere website die was geladen met de Angler Exploit-kit die beveiligingsbedrijf Symantec identificeert als een ernstig beveiligingsrisico na onder meer de ontdekking dat het een fout kon veroorzaken in Flash om de controle over het systeem van een gerichte gebruiker te nemen.

Het feit dat het consortium op zo'n manier is aangevallen, is een punt van zorg gezien zijn rol bij het ontwikkelen en onderhouden van de kernprotocollen van de structuur van het internet, evenals het beheer van de F-rootservers ter wereld die centraal staan ​​in het domein. naam systeem.

Niet-toevallige bezoekers van de ISC-website zijn waarschijnlijk betrokken bij hardware- en software-engineering binnen organisaties en kaders die cruciaal zijn voor de werking van internet. Een gerichte aanval op dergelijke operatoren zal daarom waarschijnlijk zeer waardevolle informatie over systemen en mensen opleveren voor de verantwoordelijken.

Gelukkig lijkt het erop dat de F-rootservers tot nu toe onaangetast zijn gebleven - Dan Mahoney, een ISC-beveiligingsofficier, vertelde het register dat de "service en beveiliging absoluut niet worden beïnvloed" door de hack.

De ISC-website presenteert bezoekers de huidige site voor tijdelijke aanduiding sinds 23 december, de dag nadat een blogpost van Cyphort Labs had gewaarschuwd dat het malware verspreidde.

Het bedrijf zei dat bezoekers van de geïnfecteerde site werden omgeleid naar de volgende sites en IP-adressen:

  • snail0compilacion.localamatuergolf.com (5.196.41.3)
  • symbolology-rumperis.prairievillage.info (5.196.41.3)
  • zapalny.placerosemere-ideescadeaux.ca (95.211.226.158)
  • chambouler.mygiftback.com (5.196.41.3)

Als onderdeel van zijn onderzoek naar het ISC-compromis analyseerde het verschillende bestanden van belang, waaronder "class-wp-xmlrpc.php" die, wanneer uitgevoerd, leidde tot een inloginterface voor de aanvallers. Na het invoeren van het ‘root’ wachtwoord kon de aanvaller toegang krijgen tot verschillende besturingselementen waarmee hij:

  • Open een shell.
  • Bestanden uploaden en uitvoeren.
  • Bestanden lezen en schrijven.
  • Maak bestanden en mappen.
  • Lijst met bestanden.
  • Open SQL-databases.
  • Voer PHP-code uit.
  • Kill Self (verwijder zichzelf).
  • Geef beveiligingsinformatie van uw server weer, inclusief gebruikersaccounts, accountinstellingen, databaseversies, php-versie, serversoftware, schijven en beschikbare ruimte.

In november werd een andere cruciale internetorganisatie - ICANN - gecompromitteerd als gevolg van een spear-phishing-aanval, maar er wordt niet gedacht dat de twee incidenten gerelateerd zijn.

Internet Systems Consortium-site gehackt
admin Author
Sorry! The Author has not filled his profile.