Sucuri, một công ty bảo mật an ninh mạng mới được GoDaddy mua lại vừa phát hiện ra một chiến dịch tìm kiếm trên mạng quy mô rộng để tìm ra các website sử dụng kịch bản quản trị cơ sở dữ liệu của Adminer.
Adminer là công cụ tương tự như phpMyAdmin nhưng có kích thước nhỏ hơn và ít tính năng hơn, đó cũng là lý do vì sao nó được dùng rất phổ biến trong thế giới quản trị web.
Adminer đã có mặt hơn một thập kỉ qua và vì sự nhỏ gọn, nó được dùng trên nhiều máy chủ và nhúng vào nhiều plugin cho các nền tảng CMS nổi tiếng như WordPress, Drupal, Joomla, Magento…
Do mục đích sử dụng của nó, nếu ai chiếm được tài khoản Adminer thì cũng có khả năng thực thi lệnh truy vấn SQL trên máy chủ. Hacker có thể dễ dàng dùng các lệnh này để chiếm quyền sử dụng máy chủ và gián tiếp kiểm soát tất cả các website đang chạy trên đó.
Phát hiện chiến dịch càn quét tìm kiếm Adminer
Scuri, công ty đang chạy một trong những Web Application Firewall (WAF) tốt nhất thị trường, nói rằng họ đã tìm thấy dấu hiệu quét tìm Adminer trên website mà họ tiến hành điều tra.
Phát hiện công cụ tìm kiếm Adminer trên website
Nhà nghiên cứu Denis Sinegubko nói anh đã tìm ra hệ thống quét ẩn sau tập tin hợp lệ có tên at.php, thực hiện truy vấn tới máy chủ từ xa cho 10.000 domain được sắp xếp theo thứ tự ABC. Công cụ quét sau đó kết nối với các domain này và tìm 14 tập tin với các tên giống với kịch bản hoặc plugin của Adminer.
Sinegubko nói rằng một khi trang phát hiện đang chạy Adminer, nó sẽ lưu lại trang và URL đang làm việc vào một tập tin với tên đơn giản “c”. Quét xong, nó sẽ tiếp tục làm việc với các domain khác.
Chúng ta chỉ có thể ước tính rằng kẻ tấn công hoặc là dùng một trong các lỗ hổng của Adminer để chiếm quyền truy cập giao diện quản lý cơ sở dữ liệu hoặc sử dụng phương pháp thử sai để đột nhập vào thực thể (instance) Adminer có mật khẩu mặc định hoặc dễ đoán.
Adminer cũng như phpMyAdmin, SQL Buddy và các công cụ tương tự, không có hệ thống bảo vệ trước kiểu tấn công thử sai. Người quản trị web nào sử dụng GUI dựa trên web để quản lý cơ sở dữ liệu cần xem xét việc chuyển sang giao diện CLI hoặc cài WAF. Nếu không thể dùng các bản mất phí, có thể dùng những công cụ miễn phí như ModSecurity hay NinjaFirewall.