Ataque em massa injeta código malicioso em mais de 1 milhão de páginas

Ataque usa falha de configuração em servidores e bancos de dados para inserir códigos SQL que tentam baixar vírus na máquina dos usuários.

Um ataque em massa de injeção de código maliciosojá infectou mais de 1 milhão de páginas escritas na linguagem ASP.NET, afirma a empresa de segurança Armorize. De acordo com especialistas em segurança de banco de dados, a técnica de injeção SQL usada neste ataque explora uma configuração incorreta de servidores site e bancos de dados.

"Isso é muito semelhante ao ataque LizaMoon", diz Wayne Huang, CEO da Armorize, que, com sua equipe, primeiro descobriu um script (código) injetado em sites ASP.NET. Esse código gera um iFrame (janela oculta) que tenta baixar um malware automaticamente na máquina do internauta, sem que ele perceba.

Os relatórios iniciais da Armorize mostraram que 180 mil páginas haviam sido atingidas pelo ataque, mas Huang disse ao site especializado Dark Reading que uma pesquisa posterior no Google resultou em mais de 1 milhão de páginas contaminadas.

"Este novo ataque é decepcionante porque o LizaMoon atacou

exatamente a mesma falha de configuração", disse Josh Shaul, diretor de tecnologia da Application Security Inc."Parece que ninguém prestou atenção."

Shaul diz que muitas vezes o grande problema é que as organizações desativam uma ferramenta chamada 'validação de entrada' em seus servidores, permitindo a injeção de código malicioso.

"Desativar essa checagem é loucura", afirma. "É um recurso ativado por padrão. Os administradores estão desligando, e não consigo imaginar porque."

Huang afirma que o grande número de infecções causadas por este ataque, e de acordo com as pistas, o leva a acreditar que a maioria das páginas são de pequenas e médias empresas, com muito pouca compreensão das práticas de segurança.

Ele recomenda que essas PMEs façam a atualização de todas as suas bibliotecas de terceiros para começar a combater a injeção. Além disso, ele acha que elas poderiam usar ferramentas gratuitas para procurar código vulnerável, bem como site de varreduras de vulnerabilidades.

No lado corporativo, Huang afirma que companhias grandes "não têm desculpa" de ser vítima de ataques em massa como estes.