Sito del consorzio di sistemi di Internet violato

[ware_item id=33][/ware_item]

Sito del consorzio di sistemi di Internet violato


Questa settimana il sito del Consorzio dei sistemi Internet è stato violato.

I visitatori del sito, che sviluppa gli strumenti BIND DNS, OpenReg, ISC AFTR e ISC DHCP, sono accolti con un messaggio che afferma che:

"Riteniamo che il sito Web potrebbe essere stato infettato da malware. Esegui la scansione di qualsiasi macchina che ha avuto accesso a questo sito di recente per malware.

Il consorzio ritiene che il problema risieda nel sistema di gestione dei contenuti che utilizza - WordPress - o nei file e plug-in associati.

ISC afferma che ftp.isc.org, kb.isc.org e altre risorse di rete non sono interessati e che non ha ricevuto alcuna segnalazione per suggerire che eventuali macchine client siano state infettate dal suo sito Web. Tuttavia, chiede ai visitatori di informare [email protected] se ritengono di aver acquisito un'infezione da malware dal sito.

Secondo Techworm, gli aggressori dietro l'hacking hanno reindirizzato i visitatori a ISC.org su un altro sito Web che è stato caricato con il kit Angler Exploit che la società di sicurezza Symantec identifica come un grave rischio per la sicurezza in seguito alla scoperta, tra l'altro, che potrebbe sfruttare un difetto in Flash per assumere il controllo del sistema di un utente target.

Il fatto che il consorzio sia stato attaccato in questo modo è fonte di preoccupazione in considerazione del suo ruolo nello sviluppo e nel mantenimento dei protocolli di base della struttura di Internet e della sua gestione dei server root F del mondo che sono al centro del dominio sistema di nomi.

È probabile che i visitatori non occasionali del sito web ISC siano coinvolti nell'ingegneria hardware e software all'interno di organizzazioni e framework che sono fondamentali per il funzionamento di Internet. È quindi probabile che un attacco mirato contro tali operatori fornisca informazioni preziose su sistemi e persone ai responsabili.

Fortunatamente, sembra che i server root F siano rimasti inalterati, almeno fino ad ora - Dan Mahoney, un funzionario della sicurezza dell'ISC, ha dichiarato a The Register che "il servizio e la sicurezza non sono assolutamente interessati" dall'hack.

Il sito web ISC presenta ai visitatori l'attuale sito segnaposto dal 23 dicembre, il giorno dopo che un post sul blog di Cyphort Labs ha avvertito che stava distribuendo malware.

La società ha dichiarato che i visitatori del sito infetto venivano reindirizzati ai seguenti siti e indirizzi IP:

  • snail0compilacion.localamatuergolf.com (5.196.41.3)
  • symbolology-rumperis.prairievillage.info (5.196.41.3)
  • zapalny.placerosemere-ideescadeaux.ca (95.211.226.158)
  • chambouler.mygiftback.com (5.196.41.3)

Nell'ambito della sua indagine sul compromesso ISC, ha analizzato diversi file di interesse, tra cui "class-wp-xmlrpc.php" che, una volta eseguito, ha portato a un'interfaccia di accesso per gli aggressori. Dopo aver inserito la password "root", l'attaccante è stato in grado di accedere a vari controlli che gli avrebbero permesso di:

  • Apri una shell.
  • Carica ed esegui file.
  • Leggere e scrivere file.
  • Crea file e directory.
  • Elenca i file.
  • Apri database SQL.
  • Esegui il codice PHP.
  • Kill Self (cancellarsi).
  • Elenca le informazioni di sicurezza del tuo server, inclusi account utente, impostazioni dell'account, versioni del database, versione php, software del server, unità e spazio disponibile.

A novembre un'altra organizzazione cruciale di Internet - ICANN - è stata compromessa a seguito di un attacco di spear-phishing ma non si pensa che i due incidenti siano correlati.

Sito del consorzio di sistemi di Internet violato
admin Author
Sorry! The Author has not filled his profile.