Ict-leverancier Cisco meldt een aanvalsgolf op webservers met een verouderde Linux-kernel. Het gaat om de Linux 2.6 kernel die in 2003 is vrijgegeven. De meeste geïnfecteerde servers draaiden een versie van voor 2007. Via Javascripts worden website-bezoekers omgeleid naar malafide websites.
De kwetsbaarheid wordt aangekondigd op de blog van beveiligings-analist Martin Lee van Cisco. Volgens Lee dringen aanvallers de webserver binnen en voegen een regel code toe aan javascript-bestanden op de website. Die code leidt de websitebezoeker om naar een tweede omgeving waar geïnfecteerde content wordt geboden.
In sommige varianten gaat het om het laden van ongevraagde advertenties, maar er zijn ook gevallen bekend van fraude en koppelingen naar betaalsites.
De meeste cyberaanvallen op de webservers zijn gemeten op 17 en 18 maart 2014. Toen lag het aantal besmettingen rond de vierhonderd servers per dag. In Nederland zouden zeker 25 servers per dag besmet zijn geraakt. In de VS en Duitsland ligt dat aantal besmettingen vele malen hoger met op het hoogtepunt van de cyberaanvallen respectievelijk ruim 350 en driehonderd besmettingen per dag. Volgens Cisco zijn in totaal zeker 2700 urls besmet geraakt.
Ja Pim de VS en Duitsland zijn ook ietwat groter als Nederland, maar hoe zit het met de verhouding tussen totaal aantal servers en de betroffen servers, dat zegt meer dan deze weinig onderbouwde cijfers.
Het is natuurlijk grof schandalig wanneer een server-beheerder de updates niet laadt, dan krijg je dit resultaat. Waar het een hoster betreft kan die wat mij betreft failliet gaan.
Cisco heeft een update geplaatst:
[quote]Update 2014-03-22: This post’s focus relates to a malicious redirection campaign driven by unauthorized access to thousands of websites. The observation of affected hosts running Linux kernel 2.6 is anecdotal and in no way reflects a universal condition among all of the compromised websites. Accordingly, we have adjusted the title for clarity. We have not identified the initial exploit vector for the stage zero URIs. It was not our intention to conflate our anecdotal observations with the technical facts provided in the listed URIs or other demonstrable data, and the below strike through annotations reflect that. We also want to thank the community for the timely feedback.[/quote]
Het is dus niet bekend of er een relatie is met kernel 2.6, daarmee is de titel van dit verhaal ook achterhaald.
Ik begrijp het verhaal niet helemaal.
Er wordt aangegeven dat het gaat om een kwetsbaarheit die onstaat door het inzetten van een oude kernelversie… alla boneur… dat is niet speclaal heel verstandig.
Vervolgens staat er een verhaal over javascripts, dat heeft toch wel heel erg weinig met enige kernelkwetsbaarheid te maken.
Gaat het niet gewoon om een kwetsbaarheid in een of ander php framework ?
Hmmm ja.. op het moment van mijn schrijven was de bijdrage van Frank nog niet gepubliceerd.
Helder, dank Frank.