Mysql.com subisce un'aggressione: cos'è accaduto

Come viene confermato da parte degli esperti dell’Internet Storm Center (ISC) di SANS, il sito web mysql.com è stato oggetto di un’aggressione, condotta in porto, al momento, da parte di sconosciuti nel corso della giornata di ieri. Il malintenzionato è riuscito a fare in modo che il sito web ufficiale del RDBMS MySQL, dal 2010 di proprietà di Oracle, dopo l’acquisizione di Sun Microsystems, proponesse automaticamente – ai client di volta in volta collegati – il download di un componente dannoso.

I ricercatori di Armorize – i primi ad accorgersi del problema – hanno spiegato che il codice JavaScript maligno, inserito su mysql.com, sfruttava tutta una serie di vulnerabilità conosciute dei pacchetti Adobe Flash, di Adobe Reader, delle runtime Java e del sistema operativo Windows per installare ed eseguire un pericoloso malware. Gli utenti che si sono collegati al sito di MySQL utilizzando versioni obsolete di Flash, Reader, Java è quindi probabile possano aver subìto l’infezione.

Secondo il CEO di Armorize, Wayne Huang, il problema sarebbe stato risolto nel giro di qualche ora tanto che il codice maligno potrebbe essere rimasto sul sito web per meno di una giornata.
Molto interessante è l’analisi che i tecnici di Armorize hanno pubblicato a questo indirizzo.

Com’è facile evincere dal video, per comprendere immediatamente i passi utilizzati per infettare i personal computer degli utenti collegati, è stato impiegato l’ottimo software Fiddler. Autobattezzatosi “web debugger“, Fiddler è un’applicazione capace di monitorare l’intero flusso dei dati verificando, passo dopo passo, quali oggetti vengono scaricati attraverso i protocolli HTTP e HTTPS. Il programma è in grado di estrarre singoli blocchi di dati e permettere, a colpo d’occhio, di capire il dialogo in corso tra client e server (e viceversa).

I siti web ad elevato traffico sono spesso prede particolarmente ambite da chi sviluppa malware. Nelle scorse settimana la stessa Linux Foundation è stata obbligata a bloccare l’accesso a diversi suoi siti web – inclusi i più famosi kernel.org e linux.com – con lo scopo di investigare sulle cause dell’incidente. Ad oggi i siti web non sono stati ancora riaperti.

Stando a quanto dichiarato da alcuni ricercatori, l’autore dell’attacco sferrato a mysql.com avrebbe già fatto sentire la sua “voce” offrendo l’accesso root ai server di MySQL per la somma di 3.000 dollari.