Hàng ngàn máy chủ bị tấn công SQL Injection

Một đợt tấn công brute-force SQL Injection dữ dội bắt đầu vào ngày 13-5 đã gây ảnh hưởng lớn đến hơn 10.000 máy chủ, lây nhiễm malware cho hàng ngàn website Trung Quốc và Đài Loan.

Khởi điểm từ 1000 máy chủ đặt tại Trung Quốc, những kẻ tấn công đã sử dụng các truy vấn được tự động gửi đến công cụ tìm kiếm của Google để định danh các trang web với các lỗi bảo mật có thể khai thác. Hơn nữa, kẻ tấn công cũng không nhắm đến một lỗi bảo mật mà khai thác đến hơn 10 lỗ hổng bảo mật nguy hiểm bao gồm: MS06-014 (CVE-2006-0003), MS07-017 (CVE-2007-1765), RealPlayer IERPCtl.IERPCtl.1 (CVE-2007-5601),GLCHAT.GLChatCtrl.1 (CVE-2007-5722), MPS.StormPlayer.1 (CVE-2007-4816), QvodInsert.QvodCtrl.1, DPClient.Vod (CVE-2007-6144), BaiduBar.Tool.1 (CVE-2007-4105), VML Exploit (CVE-2006-4868) và PPStream (CVE-2007-4748).

Giám đốc điều hành công cụ ứng dụng bảo mật cho Web Armorize Technology, ông Wayne Huang nhận xét "cuộc tấn công đã được thiết kế khá tốt".

Việc lập trình không được chăm chút có thể dẫn đến việc tin tặc khai thác các lỗi SQL dễ dàng. Trong tháng trước, một đợt tấn công SQL Injection đã gây tổn thất cho hơn nửa triệu website. Tiếp theo đó, một trang web của Oklahoma đã bị tin tặc khai thác lỗi chỉ qua một vài câu lệnh truy vấn SQL là có thể mò vào tận cơ sở dữ liệu, chạm tay đến 10.597 số an sinh xã hội và hồ sơ phạm pháp của các công dân thuộc nơi Oklahoma.

Hiện các chuyên gia bảo mật và quản trị server đang tiến hành xử lý khắc phục lỗi để ngăn chặn hệ thống của mình bị cuốn vào đợt tấn công kế tiếp.

Cisco vá lỗi nguy hiểm trong Router

Hãng Cisco đã phát hành 3 bản vá bảo mật có thể gây trục trặc cho các sản phẩm router sau khi được cảnh báo vào đầu tuần.

Bản vá tập trung sửa chữa lỗi DoS của phần mềm SSH (Secure Shell) trong Cisco Internetwork Operating System (IOS) và Cisco Service Control Engine. Máy chủ SSH được quản trị viên dùng để kết nối từ xa vào trong một router sử dụng mã hóa. Theo Cisco công bố đến khách hàng, lỗi trong phần mềm có thể bị tin tặc khai thác lặp lại việc nạp thiết bị hay truy xuất giả mạo hoặc khóa phần cứng trong một cuộc tấn công từ chối dịch vụ (DoS).

Trong khi đó, chuyên viên nghiên cứu bảo mật Sebastian Muniz thuộc Core Security Technologies đã giới thiệu trong hội nghị bảo mật EuSecWest tại London từ ngày 22-5 về một rootkit tấn công vào IOS (Internetwork Operating System, một hệ điều hành chuyên dùng cho các bộ đính tuyến của Cisco). Theo Muniz, tin tặc có thể khai thác rootkit, tấn công vào các lỗi trong router của Cisco để thâm nhập sâu vào hệ thống. Tuy nhiên, Muniz cũng không có ý định công bố mã nguồn của rootkit này, việc phát triển rootkit chỉ để chứng minh rằng các router của Cisco cũng không phải lệ ngoại lệ với rootkit.

Cisco khuyến cáo khách hàng nên truy cập vào phần bảo mật trên website của mình để có thể cập nhật thông tin hay tải các bản vá mới nhất.