Remote File Inclusion -haavoittuvuuksia hyväksikäytetään runsaasti

CERT-FI on saanut tavanomaista useampia raportteja www-palvelinten Remote File Inclusion -hyväksikäytöstä. Vain murto-osa palvelimista on ollut suomalaisia.

Remote File Inclusion -hyökkäyksissä pyritään hyväksikäyttämään PHP-pohjaisten www-sovelluksien syötteen tarkastukseen liittyviä haavoittuvuuksia ja suorittamaan kohteena olevalla palvelimella hyökkääjän omia komentoskriptejä. Hyökkäysmenetelmä on vanha, mutta sitä käytetään edelleen aktiivisesti. CERT-FI sai tietoonsa suuren määrän hyökkäykselle altistuneita tai murrettuja palvelimia. Ongelmista on raportoitu palvelinten omistajille, ja korjaustoimet ovat käynnissä. Vain muutama murretuista palvelimista oli Suomessa.

Kuten muissakin www-pohjaisissa hyökkäyksissä, Remote File Inclusion-hyökkäysyrityksiä tekevät usein toiset kaapatut palvelimet, ja ne kohdistuvat satunnaisesti valittuihin www-palvelimiin. CERT-FI kehottaa www-palveluiden ylläpitäjiä tarkastamaan palveluidensa lokit ja sovellusten konfiguraatio tapausten varalta. PHP-pohjaisten palveluiden koventaminen on myös suotavaa. Www-palvelinten lokeja on suositeltavaa tutkia muutenkin ajoittain, jotta ylläpitäjällä pysyisi riittävän tarkka kuva hänen palveluunsa kohdistuvista ja liikkeellä olevista hyväksikäyttöyrityksistä.


Asiasanat: Tietoturva, Tietoturva nyt!


Google+ Print