In quest’ultima settimana prima del Natale gli sviluppatori di Apache avranno una bel problema da risolvere: recentemente è stato individuato un nuovo exploit per Apache che consente l’injection di codice malevolo nei siti in esso ospitati.
In questo sito abbiamo affrontato più volte il tema dei siti che subiscono l’injection di codice malevolo ma non siamo mai arrivati a supporre che il problema fosse lato Server Apache. Si è sempre pensato ad una vulnerabilità 0-day del proprio sito o di uno dei plugin utilizzati. Il 15 Dicembre scorso avevamo segnalato che l’Internet Storm Center rilevava un notevole aumento degli attacchi di code injection nei siti Joomla e WordPress e qualche giorno dopo, nel blog di ESET (azienda sviluppatrice dell’antivirus NOD), sono stati pubblicati 2 discussioni relative ad un exploit per Apache che esegue, per l’appunto, injection di codice.
Il malware si chiama Linux/Chapro.A ed è un modulo per Apache difficile da individuare che provvede ad alterare il comportamento del WebServer per far sì che le pagine servite vengano modificate con l’aggiunta di iframe malevoli. Il modulo, che possiede anche un componente stealth di difesa è sviluppato per monitorare diversi aspetti del server per rendere sé stesso difficile da individuare. Queste alcune delle funzionalità rilevate dalla sua analisi:
- analisi e monitoring delle sessioni SSH attive sul Server
- verifica dell’infezione del client. Se è infetto o meno agisce diversamente.
- creazione di cookie nel client per tenere traccia delle infezioni
- capacità di offuscamento del codice malware inserito nelle pagine
- analisi delle user agent per ignorare i web crawler
Linux/Chapro.A, come tutti i malware, è studiato per garantirsi una vita quanto più possibile lunga e per fare ciò esegue costanti check e verifiche sul Server che lo ospita. Inoltre ogni 10 minuti invia una request HTTP POST ad un Server esterno (l’unico rilevato è in Germania) che presumibilmente è il Master della Botnet.
Lo scopo dei controlli è quello di effettuare l’injection del codice solo su Client reali evitando di mandare codici malevoli a crawlers o su Ip che hanno accesso SSH sul Server (in quanto con molta probabilità si tratta dei System Admin) e che potrebbero accorgersi dell’anomalia e insospettirsi. I codici malevoli che vengono inseriti dal malware Apache sono mirati a far installare sul Client una variante di Zeus Win32/Zbot, ossia una delle più vaste botnet attualmente presenti in rete.
I ricercatori di sicurezza si interrogano su come sia stato possibile inserire un modulo malevolo in Apache e le ipotesi attualmente sono tante e varie: c’è chi da la colpa a distribuzioni Linux alterate, chi a falle nelle Web application, chi all’uso di password deboli per gli account root del WebServer, etc..
La vastità delle ipotesi mette a nudo che attualmente si hanno ancora troppe poche informazioni riguardo questo malware per poter stilare un’analisi precisa e affidabile. Certo è che i Server Web Apache nel mondo rappresentano quasi il 50% dei siti web e attacchi di tipo code injection se ne rilevano tanti, frequenti e massivi da 4 anni o più.
Forse finalmente si è arrivati ad avere le prime risposte su come sono possibili questi attacchi scagionando una volta per tutte i poveri utenti che si vedevano sempre incolpare di avere Cms non aggiornati, temi scaricati da chissà quale sito “strano” e così via. I Provider purtroppo non investono ancora abbastanza in sicurezza e se hanno la possibilità di dare la colpa al Cliente scelgono questa linea prima ancora di effettuare tutti i test del caso.
La scoperta del malware di Apache Linux/Chapro.A dovrebbe aprire nuovi filoni di ricerca e, speriamo, portare allo sviluppo di un removal tool! A mio avviso questo è solo l’inizio e per i prossimi tempi per i System Admin sarà necessario rimboccarsi le maniche e monitorare/loggare quante più attività di Apache possibili per individuare nuovi comportamenti “sospetti” non ancora rilevati e, di conseguenza, arrivare ad una patch risolutiva!
Quanti di voi hanno subito un’infezione del virus e il provider ha dato la colpa al vostro sito? Cosa ne pensate del nuovo scenario presentato dal malware Apache Linux/Chapro.A?
Articoli di riferimento:
ESET: Malicious Apache module used for content injection: Linux/Chapro.A
ESET: Malicious Apache Module: a clarification
Apache plugin turns legit sites into bank-attack platforms
