Site do Internet Systems Consortium invadido


Esta semana, o site do Internet Systems Consortium foi invadido.

Os visitantes do site, que desenvolvem as ferramentas BIND DNS, OpenReg, ISC AFTR e ISC DHCP, são recebidos com uma mensagem informando que:

“Acreditamos que o site pode ter sido infectado por malware. Verifique se há malware em qualquer máquina que tenha acessado este site recentemente. ”

O consórcio acredita que o problema reside no sistema de gerenciamento de conteúdo que ele usa – WordPress – ou em arquivos e plugins associados..

O ISC diz que ftp.isc.org, kb.isc.org e outros recursos de rede não são afetados e que não recebeu nenhum relatório para sugerir que as máquinas clientes foram infectadas pelo site. No entanto, solicita aos visitantes que notifiquem [email protected] se acreditam que adquiriram uma infecção por malware no site..

De acordo com o Techworm, os atacantes por trás do hack redirecionaram os visitantes para o ISC.org para outro site que foi carregado com o kit Angler Exploit, que a empresa de segurança Symantec identifica como apresentando um grave risco de segurança após a descoberta, entre outros, de que poderia aproveitar uma falha no Flash para assumir o controle do sistema de um usuário-alvo.

O fato de o consórcio ter sido atacado dessa maneira é uma preocupação, dado seu papel no desenvolvimento e manutenção dos principais protocolos da estrutura da Internet, bem como na execução dos servidores raiz F do mundo, que estão no coração do domínio sistema de nomes.

Visitantes não casuais do site do ISC provavelmente estão envolvidos na engenharia de hardware e software nas organizações e estruturas essenciais para a operação da Internet. Portanto, é provável que um ataque direcionado contra esses operadores produza informações altamente valiosas sobre sistemas e pessoas para os responsáveis.

Felizmente, parece que os servidores raiz F permaneceram inalterados, pelo menos até agora – Dan Mahoney, um oficial de segurança do ISC, disse ao The Register que “o serviço e a segurança não são afetados absolutamente” pelo hack.

O site do ISC apresenta aos visitantes o site de espaço reservado atual desde 23 de dezembro, um dia após um post do Cyphort Labs avisar que estava distribuindo malware.

A empresa disse que os visitantes do site infectado estavam sendo redirecionados para os seguintes sites e endereços IP:

  • snail0compilacion.localamatuergolf.com (5.196.41.3)
  • symbolology-rumperis.prairievillage.info (5.196.41.3)
  • zapalny.placerosemere-ideescadeaux.ca (95.211.226.158)
  • chambouler.mygiftback.com (5.196.41.3)

Como parte de sua investigação sobre o comprometimento com o ISC, analisou vários arquivos de interesse, incluindo “class-wp-xmlrpc.php” que, quando executado, levava a uma interface de login para os atacantes. Depois de inserir a senha ‘root’, o invasor conseguiu acessar vários controles que permitiriam:

  • Abra uma concha.
  • Carregar e executar arquivos.
  • Ler e gravar arquivos.
  • Crie arquivos e diretórios.
  • Listar arquivos.
  • Bancos de dados SQL abertos.
  • Executar código PHP.
  • Kill Self (excluir a si mesmo).
  • Listar informações de segurança do seu servidor, incluindo contas de usuário, configurações de conta, versões de banco de dados, versão php, software de servidor, unidades e espaço disponível.

Em novembro, outra organização crucial da Internet – ICANN – foi comprometida como resultado de um ataque de spear phishing, mas não se pensa que os dois incidentes estejam relacionados.

Kim Martin Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map