Laman Web Konsortium Internet digodam
Pada minggu ini tapak Internet Konsortium Internet telah diretas.
Pengunjung ke tapak yang membangunkan DNS BIND, OpenReg, ISC AFTR dan alat ISC DHCP, disambut dengan mesej yang menyatakan bahawa:
“Kami percaya laman web itu mungkin telah dijangkiti malware. Sila imbas mana-mana mesin yang telah mengakses tapak ini baru-baru ini untuk perisian hasad. “
Konsortium percaya bahawa isu itu sama ada dengan sistem pengurusan kandungan yang digunakan – WordPress – atau fail dan plugin yang berkaitan.
ISC mengatakan ftp.isc.org, kb.isc.org dan sumber rangkaian lain tidak terjejas dan ia tidak menerima sebarang laporan untuk menunjukkan bahawa mana-mana mesin klien telah dijangkiti dari laman webnya. Walau bagaimanapun, ia meminta pelawat untuk memberitahu [email protected] jika mereka percaya bahawa mereka telah memperoleh jangkitan malware dari laman web ini.
Menurut Techworm, penyerang di belakang hack itu mengalihkan pelawat ke ISC.org ke laman web lain yang dimuatkan dengan kit Pengeluar Exploit yang firma keselamatan Symantec mengenal pasti sebagai menimbulkan risiko keselamatan yang teruk berikutan penemuan, antara lain, ia boleh memanfaatkan kecacatan dalam Flash untuk mengawal sistem pengguna yang disasarkan.
Hakikat bahawa konsortium telah diserang sedemikian rupa adalah kebimbangan yang diberikan dalam peranannya dalam membangun dan memelihara protokol teras struktur internet serta menjalankan pelayan akar F di dunia yang berada di tengah-tengah domain sistem nama.
Pelawat bukan kasual ke laman web ISC mungkin terlibat dalam kejuruteraan perkakasan dan perisian dalam organisasi dan rangka kerja yang menjadi kunci kepada operasi internet. Oleh itu, serangan yang disasarkan terhadap pengendali tersebut mungkin menghasilkan maklumat yang sangat berharga tentang sistem dan orang kepada mereka yang bertanggungjawab.
Nasib baik, seolah-olah pelayan root F masih tidak terjejas, sekurang-kurangnya sehingga sekarang – Dan pegawai keselamatan ISC, Dan Mahoney, memberitahu The “bahawa perkhidmatan dan keselamatan tidak terjejas” oleh hack.
Laman web ISC telah menyampaikan pelawat dengan laman web pemegang tempat semasa sejak 23 Disember, hari selepas pos blog Cyphort Labs memberi amaran bahawa ia mengedarkan perisian hasad.
Syarikat itu mengatakan bahawa pelawat ke tapak yang dijangkiti telah diarahkan ke laman dan alamat IP berikut:
- snail0compilacion.localamatuergolf.com (5.196.41.3)
- symbolology-rumperis.prairievillage.info (5.196.41.3)
- zapalny.placerosemere-ideescadeaux.ca (95.211.226.158)
- chambouler.mygiftback.com (5.196.41.3)
Sebagai sebahagian daripada penyiasatannya kepada kompromi ISC, ia menganalisis beberapa fail yang menarik, termasuk “class-wp-xmlrpc.php” yang, apabila dilaksanakan, membawa kepada antara muka login untuk penyerang. Setelah memasukkan kata laluan ‘root’, penyerang dapat mengakses pelbagai kawalan yang akan membolehkan mereka:
- Buka cangkerang.
- Muat naik dan laksanakan fail.
- Baca dan tulis fail.
- Buat fail dan direktori.
- Senaraikan fail.
- Buka pangkalan data SQL.
- Jalankan kod PHP.
- Membunuh Sendiri (padam sendiri).
- Senaraikan maklumat keselamatan pelayan anda termasuk akaun pengguna, tetapan akaun, versi pangkalan data, versi php, perisian pelayan, pemacu dan ruang yang tersedia.
Kembali pada November satu lagi organisasi internet penting – ICANN – telah dikompromi sebagai akibat dari serangan tombak-phishing tetapi tidak menganggap bahawa kedua-dua insiden itu berkaitan.