SQL-Injection Attacke gegen Basler Zeitung

Wer sich vor kurzem auf der Jobseite der Basler Zeitung Medien (BZM) umgesehen hat, könnte sich möglichweise einen Virus oder Trojaner eingefangen haben. Wie ich heute vormittag feststellte, ist das Basler Medienhaus Opfer eines SQL-Injection-Angriffes geworden, bei welchem schädlicher Code eingeschleust wurde. Konkret wurden Javascript-Verweise auf einen in China stehenden Server platziert, der auf dem Computer des Besuchers offenbar einen Virus bzw. Trojaner zu installieren versuchte.

Quelltext der infizierten BZM-Jobseite

Immerhin zeigen die DNS-Angaben für die Domain 1.verynx.cn momentan ins Leere (127.0.0.1), so dass das Javascript nicht ausgeführt wird und somit auch kein Schaden angerichtet werden kann. Unklar ist allerdings, wer Zugriff auf die DNS-Einstellungen der genannten Domain hat. So ist es zwar möglich, dass hier mehr Unheil verhindert werden soll, es bleibt aber auch die Möglichkeit, dass das Script bald auf einem neuen Server zum Einsatz kommt. Immerhin hat auch Google bereits reagiert und Firefox zeigt so beim Aufruf der Domain eine Sicherheitswarnung an:

Firefox Sicherheitswarnung für verynx.cn

Auch wenn die BZM nicht das einzige Opfer der Attacke aus einem Botnet ist, es erstaunt trotzdem, dass auch grössere Firmen die Sicherheit ihrer Webapplikationen so vernachlässigen und bspw. auf die Prüfung von Daten die via URL übergeben werden, verzichten und es damit den Angreifern ermöglichen, einen ellenlangen Code an den SQL-Server zu übergeben.

Immerhin hat man in Basel, noch während ich auf einen Rückruf wartete, reagiert und den Code aus den Seiten entfernt. Da bisher allerdings niemand von der Pressestelle der BZM Stellung nehmen wollte, bleibt weiter unklar, wie lange der Code bereits die Seiten verseuchte, ob das Einfallstor beseitigt ist und wie die allenfalls betroffenen Besucher der Webseite informiert werden.

Mehr Informationen:
– rtraction: SQL Injection Hack using CAST from 1.verynx.cn
– Coldfusion Muse: SQL Injection Part II (Make Sure You Are Sitting Down)
– knoxmic.net: SQL-Injection, der Spass beginnt!
– Nettuts: Can you hack your own site?

[Update] 16:53 Uhr
Kaum veröffentlicht, schon ist auch die Stellungnahme der Basler Zeitung Medien da. Gemäss Andreas Eppinger erfolgte der erste Angriffsversuch am Montag um 17:52 Uhr und man war offenbar bereits gestern daran, die Angriffe abzuwehren:

Wir konnten bis gestern abend die betroffenen Seiten (bzw. die Angriffspunkte) schützen und bereits infizierte Seiten wurden durch spezielle Apache Output-Filter säubernt, so dass Benutzer nicht betroffen waren, bis wir Backups einspielen bzw Clean-Scripts über die Datenbanken laufen lassen konnten

Im Moment würde zudem ein Codereview der einzelnen Sites der BZM durchgeführt um zukünftige Attacken zu verhindern (bzw. zumindest zu erschweren). Ausserdem soll in den nächsten Tagen die Apache-Erweiterung mod_security produktiv geschalten werden.

2 Comments

  1. Manuel 24.07.2008
  2. Tate83 24.07.2008