Магазины osCommerce и блоги WordPress под угрозой
Интернет-магазины, построенные на платформе osCommerce, в последнее время подвергаются массовому поражению, причем достаточно интенсивно. Если 24 июня было выявлено примерно 90 страниц, содержащие вредоносные вставки, то на конец месяца их число составило 3,8 млн., а 3-го августа – 6,3 млн.
Атака проводится одновременно по нескольким уязвимым osCommerce, как старой версии, так и обновленной. Это позволяет злоумышленникам внедрять на страницы ресурса вредоносный JavaScript-код.
Судя по результатам произведенного анализа логов одного из взломанных виртуальных магазинов, вредоносный код был загружен с нескольких украинских и российских IP-адресов. При этом на некоторых ресурсах был обнаружен бэкдор, при помощи которого производилась организация свободного доступа к файловой системе и выполнение команд.
Вредоносные коды не миновали и блоги, созданные на основе WordPress. В них также были обнаружены серьезные уязвимости, позволяющие злоумышленникам запускать на сервере свой PHP-код.
Вся проблема сводится к тому, что в процессе проверки домена, с которого и осуществляется загрузка фото, используется проверка наличия маски в URL. Иными словами, злоумышленник с легкостью может указать в качестве изображений адрес "http://blogger.com.somebadhackersite.com/badscript.php". Далее Timthumb.php осуществит его загрузку в кэш, являющийся поддиректорией корневого каталога WordPress, имеющего полномочия на запуск PHP-скриптов.
В SVN-репозитории проекта уязвимость была устранена, но в спешке и грубо, методом ввода обязательного выражения для проверки URL. Опасность загрузки вредоносных файлов в кэш так и осталась под вопросом.
На сегодняшний день в Интернете достаточно часто фиксируется эксплуатация уязвимостей и загрузки web-консоли "Alucar Shell" на сервер. По приблизительным оценкам уязвимости сейчас подвержены более 39 млн. ресурсов, которые используют timthumb.php. При этом скрипт может быть и не задействован в системе, для взлома необходимо всего лишь наличие возможности совершения прямого обращения к нему через web.