Un estate di fuoco per chi si occupa di sicurezza! Il giorno 1 Agosto il sito www.backbox.org è stato defacciato da un gruppo di cracker iraniani conosciuti con lo pseudonimo di eMP3R0r TEAM. La loro pagina è rimasta online per circa 2 ore prima che il sito venisse ripristinato. In verità la vicenda ha dei risvolti clamorosi, come emerge dal comunicato stampa rilasciato dal Team di BackBox. Il problema era dovuto ad una errata configurazione del server condiviso del noto provider italiano Netsons che per diversi giorni ha esposto le home di migliaia di utenti agli attacchi dei cracker! Per nostra fortuna backbox.org è stato l’unico sito a subire il deface ma non è da escludere che i dati di altri siti siano stati trafugati per attacchi futuri. Dall’analisi condotta dal team di BackBox ben 5000 account erano vulnerabili!
L’attacco è partito da un sito web con una installazione insicura di Joomla residente sullo stesso server condiviso, per stessa ammissione di Netsons il server HP4. I cracker dopo aver sfruttato un bug di Joomla hanno caricato una webshell grazie alla quale hanno avuto accesso alla home di backbox.org. “Stranamente” da diversi giorni tutte le home degli account hostati sul server condiviso potevano essere navigate senza alcuna restrizione da qualsiasi utente! I cracker ottenuti i dati relativi all’installazione del forum di BackBox (SMF) e utilizzando la stessa webshell, non hanno avuto problemi a modificare il record del database MySQL relativo all’account admin ottenendo cosi accesso al pannello di amministrazione del forum. Il passo successivo è stato caricare una backdoor nella home di backbox.org che hanno poi utilizzato per modificare i files index.php del sito.
La vulnerabilità è stata individuata da Raffaele Forte esperto di sicurezza e responsabile del progetto BackBox Linux. Da una sua dichiarazione risulta che il provider italiano è intervenuto a fixare il problema solo dopo che lui stesso abbia dato dimostrazione di come i dati dei loro utenti fossero liberamente accessibili. Dalla prima segnalazione sono passati ben cinque giorni prima che Netsons prendesse in considerazione quanto denunciato dal Team di BackBox. Stando alle dichiarazioni del provider sembra che il problema sia stato causato da un aggiornamento ad una nuova versione di php. In breve i permessi della directory “public_html” dei vari account sono stati impostati con valori errati spalancando le porte ai cracker iraniani.
Alla luce dei fatti la vicenda ha avuto dei risvolti drammatici per come è stata gestita dall’ISP italiano. Essendo un hosting condiviso la responsabilità dell’accaduto non è certo del Team di BackBox il quale, nonostante il rifiuto da parte di Netsons di fornirgli i log degli accessi al loro sito, hanno avviato una indagine interna che ha poi portato a risolvere il problema. Ci chiediamo come si sarebbe evoluta la vicenda se il Team di BackBox si fosse limitato solo a ripristinare il loro sito. Avremmo forse assistito al piu grande un “mass defacement” della storia dei provider italiani? La cosa inquietante è che ad oggi nessuna comunicazione ufficiale è stata rilasciata da Netsons che a questo punto sembra voler nascondere l’intera vicenda. Invitiamo pertanto tutti gli utenti ad effettuare un backup preventivo e cambiare le password di accesso ai loro siti.
