Esta semana, o site do Internet Systems Consortium foi invadido.
Os visitantes do site, que desenvolvem as ferramentas BIND DNS, OpenReg, ISC AFTR e ISC DHCP, são recebidos com uma mensagem informando que:
“Acreditamos que o site pode ter sido infectado por malware. Verifique se há malware em qualquer máquina que tenha acessado este site recentemente. ”
O consórcio acredita que o problema reside no sistema de gerenciamento de conteúdo que ele usa - WordPress - ou em arquivos e plugins associados..
O ISC diz que ftp.isc.org, kb.isc.org e outros recursos de rede não são afetados e que não recebeu nenhum relatório para sugerir que as máquinas clientes foram infectadas pelo site. No entanto, solicita aos visitantes que notifiquem [email protected] se acreditam que adquiriram uma infecção por malware no site..
De acordo com o Techworm, os atacantes por trás do hack redirecionaram os visitantes para o ISC.org para outro site que foi carregado com o kit Angler Exploit, que a empresa de segurança Symantec identifica como apresentando um grave risco de segurança após a descoberta, entre outros, de que poderia aproveitar uma falha no Flash para assumir o controle do sistema de um usuário-alvo.
O fato de o consórcio ter sido atacado dessa maneira é uma preocupação, dado seu papel no desenvolvimento e manutenção dos principais protocolos da estrutura da Internet, bem como na execução dos servidores raiz F do mundo, que estão no coração do domínio sistema de nomes.
Visitantes não casuais do site do ISC provavelmente estão envolvidos na engenharia de hardware e software nas organizações e estruturas essenciais para a operação da Internet. Portanto, é provável que um ataque direcionado contra esses operadores produza informações altamente valiosas sobre sistemas e pessoas para os responsáveis.
Felizmente, parece que os servidores raiz F permaneceram inalterados, pelo menos até agora - Dan Mahoney, um oficial de segurança do ISC, disse ao The Register que "o serviço e a segurança não são afetados absolutamente" pelo hack.
O site do ISC apresenta aos visitantes o site de espaço reservado atual desde 23 de dezembro, um dia após um post do Cyphort Labs avisar que estava distribuindo malware.
A empresa disse que os visitantes do site infectado estavam sendo redirecionados para os seguintes sites e endereços IP:
Como parte de sua investigação sobre o comprometimento com o ISC, analisou vários arquivos de interesse, incluindo "class-wp-xmlrpc.php" que, quando executado, levava a uma interface de login para os atacantes. Depois de inserir a senha 'root', o invasor conseguiu acessar vários controles que permitiriam:
Abra uma concha.
Carregar e executar arquivos.
Ler e gravar arquivos.
Crie arquivos e diretórios.
Listar arquivos.
Bancos de dados SQL abertos.
Executar código PHP.
Kill Self (excluir a si mesmo).
Listar informações de segurança do seu servidor, incluindo contas de usuário, configurações de conta, versões de banco de dados, versão php, software de servidor, unidades e espaço disponível.
Em novembro, outra organização crucial da Internet - ICANN - foi comprometida como resultado de um ataque de spear phishing, mas não se pensa que os dois incidentes estejam relacionados.
Site do Internet Systems Consortium invadido
Esta semana, o site do Internet Systems Consortium foi invadido.
Os visitantes do site, que desenvolvem as ferramentas BIND DNS, OpenReg, ISC AFTR e ISC DHCP, são recebidos com uma mensagem informando que:
“Acreditamos que o site pode ter sido infectado por malware. Verifique se há malware em qualquer máquina que tenha acessado este site recentemente. ”
O consórcio acredita que o problema reside no sistema de gerenciamento de conteúdo que ele usa - WordPress - ou em arquivos e plugins associados..
O ISC diz que ftp.isc.org, kb.isc.org e outros recursos de rede não são afetados e que não recebeu nenhum relatório para sugerir que as máquinas clientes foram infectadas pelo site. No entanto, solicita aos visitantes que notifiquem [email protected] se acreditam que adquiriram uma infecção por malware no site..
De acordo com o Techworm, os atacantes por trás do hack redirecionaram os visitantes para o ISC.org para outro site que foi carregado com o kit Angler Exploit, que a empresa de segurança Symantec identifica como apresentando um grave risco de segurança após a descoberta, entre outros, de que poderia aproveitar uma falha no Flash para assumir o controle do sistema de um usuário-alvo.
O fato de o consórcio ter sido atacado dessa maneira é uma preocupação, dado seu papel no desenvolvimento e manutenção dos principais protocolos da estrutura da Internet, bem como na execução dos servidores raiz F do mundo, que estão no coração do domínio sistema de nomes.
Visitantes não casuais do site do ISC provavelmente estão envolvidos na engenharia de hardware e software nas organizações e estruturas essenciais para a operação da Internet. Portanto, é provável que um ataque direcionado contra esses operadores produza informações altamente valiosas sobre sistemas e pessoas para os responsáveis.
Felizmente, parece que os servidores raiz F permaneceram inalterados, pelo menos até agora - Dan Mahoney, um oficial de segurança do ISC, disse ao The Register que "o serviço e a segurança não são afetados absolutamente" pelo hack.
O site do ISC apresenta aos visitantes o site de espaço reservado atual desde 23 de dezembro, um dia após um post do Cyphort Labs avisar que estava distribuindo malware.
A empresa disse que os visitantes do site infectado estavam sendo redirecionados para os seguintes sites e endereços IP:
Como parte de sua investigação sobre o comprometimento com o ISC, analisou vários arquivos de interesse, incluindo "class-wp-xmlrpc.php" que, quando executado, levava a uma interface de login para os atacantes. Depois de inserir a senha 'root', o invasor conseguiu acessar vários controles que permitiriam:
Em novembro, outra organização crucial da Internet - ICANN - foi comprometida como resultado de um ataque de spear phishing, mas não se pensa que os dois incidentes estejam relacionados.