F-Secure: migliaia di siti infettati tramite SQL injection

In questi giorni è in atto un massiccio attacco nei confronti del Web - questo è quanto emerge da un post apparso di recente sul blog di F-Secure, compagnia Finlandese che si occupa di sicurezza informatica. Secondo quanto riportato, sarebbero infatti oltre 500.000 i siti che risultano infettati da un attacco di tipo SQL injection.

Per verificare il tasso di diffusione dell'infezione, F-Secure ha eseguito una semplice ricerca su Google, utilizzando come chiave di ricerca la traccia dello script malevolo individuato dalla software house. I risultati scaturiti dalla ricerca hanno mostrato un numero davvero elevato di siti compromessi che potrebbero essere utilizzati per veicolare del malware agli inconsapevoli avventori dei siti in questione.

Ma esattamente di che tipo di attacco si tratta? Sostanzialmente un SQL injection è una tecnica di hacking indirizzata a colpire siti che si appoggiano ad un database. Generalmente si tratta di pagine dinamiche, ad esempio quelle di un forum o di un blog, in cui agli utenti è consentito l'inserimento di contenuti che vengono poi memorizzati all'interno del database del sito stesso. L'attacco sfrutta l'inefficienza dei controlli sui dati ricevuti in ingresso per inserire del codice maligno all'interno della base di dati, infettando conseguentemente il sito.

Il problema è dunque dovuto alla scarsa qualità sul fronte della sicurezza del codice sorgente dei siti Web e non ad una falla di sicurezza del server Web Microsoft IIS, come invece ipotizzato la scorsa settimana da varie fonti. In accordo con quanto riportato nel blog di F-Secure, sono risultati compromessi anche diversi siti delle Nazioni Unite, del governo statunitense, del Regno Unito e di quello australiano.

Nello specifico, questa nuova ondata di attacchi SQL injection tenta di inserire un link ad uno script malevolo realizzato in JavaScript all'interno di qualsiasi campo di testo che viene individuato in un determinato sito realizzato in ASP o ASPX; quando uno di questi campi viene ricaricato all'interno di una pagina web, il browser viene indirizzato automaticamente al collegamento con lo script maligno, che tenta di sfruttare diversi exploit per installare un trojan nel sistema della vittima.

F-Secure per il momento è riuscita a risalire a 3 domini che vengono utilizzati per ospitare il software malevolo: nmidahena.com, aspder.com e nihaorr1.com. La software house finlandese suggerisce a tutti gli utenti ed agli amministratori di rete di bloccare l'accesso a questi domini preventivamente per evitare eventuali attacchi ai propri sistemi.