Attacco MPack: per ISC è tutta questione di permessi

Con un articolo pubblicato sul suo sito web, l’Internet Storm Center (ISC) di SANS fa alcune riflessioni sull'”attacco MPack” sferrato nei giorni scorsi verso migliaia di siti web, prevalentemente italiani. All’interno delle pagine che compongono molti siti “nostrani” era stata infatti aggiunta una tag html IFRAME che faceva riferimento a server remoti in grado di veicolare software dannoso. L’utente sprovvisto di particolari patch di sicurezza relativamente al sistema operativo in uso ed al browser web impiegato, visitando uno dei siti web attaccati, poteva quindi vedere il proprio personal computer infettato da malware.
L’ISC afferma di aver acquisito un particolare script PHP presente in uno dei server web presi di mira da MPack. Lo script è assai semplice e tutto ciò che fa è “scandagliare” il file system e modificare tutti i file con estensioni specifiche in modo da inserirvi la tag IFRAME “incriminata”.
Due sono le riflessioni di ISC: il provider Internet, evidentemente, nel caso degli attacchi dei giorni scorsi, non ha adottato politiche di sicurezza adeguate sui vari server. Secondo ISC, quindi, Apache probabilmente era dotato non solo di diritti in lettura ma anche, globalmente, di quelli in scrittura. Come secondo punto, ISC osserva che gli aggressori hanno dovuto soltanto individuare un solo script PHP vulnerabile sul server sebbene questo potesse ospitare migliaia di siti web.
Una volta trovato lo script PHP “attaccabile”, gli aggressori sono passatipoi a stabilire la gerarchia delle directory all’interno del sito web. Lo script PHP ricevuto da ISC, mostra come, in modo ricorsivo, vengano analizzate tutte le cartelle contenenti i vari siti web in hosting sulla medesima macchina e venga poi invocata una funzione che, per ciascun file con estensione .php, .htm, .html o .tpl, provvede ad inserire la tag IFRAME maligna all’interno del corpo della pagina html.