灿坤资料外泄:IIS 6漏洞加FCKeditor惹祸
作者:张维君 -06/28/2010
http://www.informationsecurity.com.tw/a...ail.aspx?aid=5790知名3C连锁卖场灿坤传出资料外泄,5月以来网友纷纷在论坛留言接获诈骗电话,对方清楚知道消费交易细节,有受害者因此受骗上当用ATM转走数万元,甚至上百万元不等。警方表示,这波遭受攻击的企业共10多家,灿坤只是其中之一。
自5月以来,网友在mobile 01论坛接连反映接到诈骗电话,疑似3C连锁卖场灿坤资料外泄。灿坤日前在接受媒体采访时表示已报警处理,坦言系统遭骇客入侵。除灿坤之外,受骇企业包含零售通路业者,不愿具名的某受骇企业表示,经过调查,此次骇客利用微软作业系统的漏洞、网页文字编辑器共享软体FCKeditor,上传一支后门程式,随后不断扫描内部网路架构,并狡猾地把所有痕迹抹除,造成事后调查的困难。事发后除了移除FCKeditor外,布署网页应用防火墙(WAF),并全面翻修检查SQL Injection漏洞,改写应用程式。
负责调查的侦九队表示,由这几起受骇企业的共同点来看,某些受骇企业虽然有布署网页应用防火墙(WAF),但是布署的位置可能有问题,才导致系统仍然沦陷,建议企业应改变网站架构,并且让使用者浏览时统一导向首页。由于企业多半会将WAF布署在防火墙之后、网站伺服器之前,但从过去的例子来看,许多网站受骇时间是在周五人员下班之后,骇客利用大量SQL injection封包使WAF CPU超载,以便直接绕过WAF,建议企业可利用白名单方式过滤非正常网页路径及参数。此外,另一个值得注意的是,业者在与供应链厂商进行资料交换时,不能光是单方传递资料,双方应分别建置交易金钥,并将其视为内部环境来稽核安全等级。
刑事局警务正常金兰指出,灿坤的165诈骗报案来电数在上周已大幅减少,尤其日前两岸诈骗集团落网后,165诈骗报案数已减少150多笔,但将来这些被外泄资料是否遭利用再生,值得注意。而近日165接获报案数较高的是U-life森森百货,消费者得多加留意。
专家建议 敦阳科技资安顾问吴东霖指出,此次攻击骇客利用FCKeditor的上传功能加IIS 6副档名解析弱点(目前为止未发布更新)大量入侵伺服器,建议先将FCKeditor的"filemanager"目录移除(将会失去FCKEDITOR 上传功能),并且确实隔离IIS GUEST USER权限,网站根目录建议建立至独立磁碟区,移除根目录之"Users"群组,以NTFS ACL针对IUSER将静态目录设定为不得写入,同时在IIS中将静态目录的执行权限设定为"无",静态目录(例):/css/ , /js/ , /image/ , /upload/等…不需要执行动态页面之目录。如静态目录需要上传权限,可将NTFS设定为写入, 但必须在IIS中设定该目录之执行权限为"无"。
