예전에 BBC 웹사이트의 해킹소식과 함께 여전히 SQL Injection 취약점이 존재한다는 글을 쓴 적이 있습니다.


지난 화요일에 BBC 웹사이트 해킹에 대한 추가적인 뉴스가 올라와서 간단히 정리합니다.

보안 기업인 WebSense에 따르면 BBC에서 운영하는 동영상 사이트에서 방문자들에게 은밀하게 악성코드를 유포하도록 해킹된 사실을 발견했다고 전했습니다.

BBC의 6 Music과 1Xtra 웹사이트에서는 악성코드를 유포하는 도메인(맨 끝이 .cc)로 끝나는 익스플로잇이 <iframe> 태그형태로 삽입되었습니다. 유포되는 악성코드는 Phoenix exploit으로 이미 2007년도에 최초 출현한 이후에 꾸준히 배포되고 있는 실정입니다. 또한, 감염 상태를 손쉽게 파악할 수 있는 통계 정보도 수집하는 코드도 포함되어 있습니다.

<그림 #1. WebSense의 블로그에 올라온 문제의 삽입 코드>

웹사이트가 이렇게 감염된 경우에는 충분한 성능을 가진 안티바이러스(백신)을 설치하여 사용하지 않거나 최신 보안 패치가 적용되어 있지 않은 경우에는 사용자도 모르게 악성코드에 감염되게 되며, 보통 계정과 같은 개인 정보의 누출과 DDoS 공격에 사용되는 봇(bot)으로 이용될 가능성이 높습니다.

특히 웹사이트가 유명하면서도 합법적으로 서비스가 되고 있는 상황, 게다가 엄청난 방문자수를 자랑하는 사이트에서 악성코드를 유포하기 때문에 더욱 심각하다고 볼 수 있습니다.

또한 웹사이트에서는 SQL Injection 취약점으로 인한 코드 삽입이라기 보다는 비밀번호 누출과 같은 다른 방식의 공격이 사용되었을 수도 있다고 추측되고 있습니다. 즉, SQL Injection 취약점으로 이용하여 추가적인 공격을 진행한 것으로 추측됩니다.

한 편, 국내의 상황을 보면 더욱더 심각한 편입니다. 법적인 문제 등으로 인해 정확히 밝힐 수는 없지만, 꽤 많은 웹사이트가 BBC와 마찬가지로 공격을 당하고 있습니다. 물론, 공격에 사용되는 도메인의 형태는 약간 다릅니다.

다운로드되는 악성코드에 대응하는 안티바이러스의 결과는 다음과 같습니다.

http://www.virustotal.com/file-scan/report.html?id=4a0ab371e6c6dd54deeab41ab1b77fa373d2face149523dfd183d669b31da6bc-1297784293


감사합니다.

출처: http://www.theregister.co.uk/2011/02/15/bbc_driveby_download/

 

reTweet
Posted by 문스랩닷컴
blog comments powered by Disqus
    며칠 전에 카스퍼스키가 영국의 유명한 언론인 BBC 뉴스 사이트를 차단한 적이 있습니다. 물론, 카스퍼스키 사용자들이 난리를 쳐서 급하게 오진을 처리하긴 했습니다. 이에 대한 자세한 사항은 아래 자료를 참고하십시오.



    BBC 사이트를 추가적으로 살펴 보던 중에 동일한 유형의 SQL 인젝션 취약점을 발견하게 되어 간략하게 정리합니다.


    앞서 언급했던과 동일한 것으로 파악되고 있으며, 화이트 해커의 윤리 상 더 이상의 공격을 진행하지 않았습니다.

    만약 진행한다면 데이터베이스 정보를 빼낼 가능성도 매우 높다고 볼 수 있습니다.

    혹시, 해당사 관계자 연락처 아시는 분 있으면 연락해서 문제점 해결했으면 좋겠습니다.

    감사합니다.
    reTweet
    Posted by 문스랩닷컴
    blog comments powered by Disqus

      15th, July. Kaspersky as one of an famous Antivirus venders blocked BBC News site because BBC site was used to steal database like password, credit card information and so so, according to KitGuru.

      http://www.kitguru.net/software/zardon/kaspersky-block-bbc-news-by-accident/

      After being false positive, many people posted their forum and tweeted on twitter service. Kaspersky has immediately issued a signature update that should fix this false positive problem and prevent BBC site from being blocked in future.

      But, assume that BBC site is to be vulnerable, What would you do?

      You're right. BBC site is really vulnerable to SQL Injection attack. As you know, SQL Injection is technique that exploits a top-rated security vulnerability occuring in the database level of web application.


      BBC site uses MySQL database and Perl scripts. And DB owner is ... ...

      I will not proceed any more attacks.

      Please email me(
      moonslab@gmail.com), if you are security administrator of BBC site.


      reTweet
      Posted by 문스랩닷컴
      blog comments powered by Disqus


        Web Analytics Blogs Directory