燦坤資料外洩:IIS 6漏洞加FCKeditor惹禍
作者:張維君 -06/28/2010
http://www.informationsecurity.com.tw/a...ail.aspx?aid=5790知名3C連鎖賣場燦坤傳出資料外洩,5月以來網友紛紛在論壇留言接獲詐騙電話,對方清楚知道消費交易細節,有受害者因此受騙上當用ATM轉走數萬元,甚至上百萬元不等。警方表示,這波遭受攻擊的企業共10多家,燦坤只是其中之一。
自5月以來,網友在mobile 01論壇接連反映接到詐騙電話,疑似3C連鎖賣場燦坤資料外洩。燦坤日前在接受媒體採訪時表示已報警處理,坦言系統遭駭客入侵。除燦坤之外,受駭企業包含零售通路業者,不願具名的某受駭企業表示,經過調查,此次駭客利用微軟作業系統的漏洞、網頁文字編輯器共享軟體FCKeditor,上傳一支後門程式,隨後不斷掃描內部網路架構,並狡猾地把所有痕跡抹除,造成事後調查的困難。事發後除了移除FCKeditor外,佈署網頁應用防火牆(WAF),並全面翻修檢查SQL Injection漏洞,改寫應用程式。
負責調查的偵九隊表示,由這幾起受駭企業的共同點來看,某些受駭企業雖然有佈署網頁應用防火牆(WAF),但是佈署的位置可能有問題,才導致系統仍然淪陷,建議企業應改變網站架構,並且讓使用者瀏覽時統一導向首頁。由於企業多半會將WAF佈署在防火牆之後、網站伺服器之前,但從過去的例子來看,許多網站受駭時間是在週五人員下班之後,駭客利用大量SQL injection封包使WAF CPU超載,以便直接繞過WAF,建議企業可利用白名單方式過濾非正常網頁路徑及參數。此外,另一個值得注意的是,業者在與供應鏈廠商進行資料交換時,不能光是單方傳遞資料,雙方應分別建置交易金鑰,並將其視為內部環境來稽核安全等級。
刑事局警務正常金蘭指出,燦坤的165詐騙報案來電數在上週已大幅減少,尤其日前兩岸詐騙集團落網後,165詐騙報案數已減少150多筆,但將來這些被外洩資料是否遭利用再生,值得注意。而近日165接獲報案數較高的是U-life森森百貨,消費者得多加留意。
專家建議 敦陽科技資安顧問吳東霖指出,此次攻擊駭客利用FCKeditor的上傳功能加IIS 6副檔名解析弱點(目前為止未發布更新)大量入侵伺服器,建議先將FCKeditor的"filemanager"目錄移除(將會失去FCKEDITOR 上傳功能),並且確實隔離IIS GUEST USER權限,網站根目錄建議建立至獨立磁碟區,移除根目錄之"Users"群組,以NTFS ACL針對IUSER將靜態目錄設定為不得寫入,同時在IIS中將靜態目錄的執行權限設定為"無",靜態目錄(例):/css/ , /js/ , /image/ , /upload/等…不需要執行動態頁面之目錄。如靜態目錄需要上傳權限,可將NTFS設定為寫入, 但必須在IIS中設定該目錄之執行權限為"無"。
