Akamai Technologies ha rilasciato oggi una nota relativa a una nuova minaccia per la sicurezza web. La sua Threat Research Division ha identificato una sofisticata campagna SEO (Search Engine Optimization) che ricorre a tecniche di SQL injection per attaccare i siti target. I siti colpiti distribuiscono link HTML nascosti che confondono i bot dei motori di ricerca, con effetti negativi sul page ranking. Un report con la descrizione completa dell’attacco è disponibile a questo link: http://www.stateoftheinternet.com/seo-attacks
Panoramica
Nell’arco di due settimane nel terzo trimestre 2015 la Threat Research Division ha analizzato i dati raccolti dalla Akamai Intelligent Platform™ osservando attacchi a oltre 3.800 siti con 348 indirizzi IP unici che prendevano parte alle campagne. Sono emersi i seguenti risultati:
- Rilevate prove di mass defacement – cercando su Internet i link HTML usati nella campagna, Threat Research ha identificato centinaia di applicazioni web contenenti questi link dannosi
- Gli attacchi manipolavano i risultati del motore di ricerca – effettuando la ricerca con una combinazione di termini comuni, come “cheat” e “story”, sulla prima pagina dei risultati del più diffuso motore di ricerca appariva l’applicazione “cheating stories”.
- Le analytics hanno dimostrato l’impatto dell’attacco – Threat Research ha osservato le analytics di Alexa verificando che il ranking dell’applicazione “cheating stories” era aumentato notevolmente nei tre mesi esaminati.
I motori di ricerca usano particolari algoritmi per determinare il page ranking e l’indicizzazione dei siti e il numero e la reputazione dei link che reindirizzano alla pagina influenzano tale ranking. Gli autori della campagna hanno creato una catena di link esterni che portavano le storie di “cheating” e infedeltà sul web a imitare normali contenuti web agendo sugli algoritmi del motore di ricerca.
“La capacità di manipolare il page ranking è un’opportunità allettante per gli autori di un attacco”, dice Stuart Scholly, responsabile della Security Business Unit di Akamai. “Gli attacchi di questo tipo, se hanno successo, possono avere un impatto significativo sul fatturato e, soprattutto, sulla reputazione delle aziende”.
Contromisure
Gli attacchi hanno dimostrato una notevole conoscenza dei meccanismi di funzionamento del motore di ricerca, per i quali Threat Research raccomanda le seguenti tecniche di difesa:
Per gli sviluppatori di applicazioni web
- assicurarsi di avere implementato adeguati controlli di validazione degli input per tutti i dati immessi dagli utenti che saranno utilizzati all’interno di una query al database di back-end (https://www.owasp.org/index.php/Input_Validation_Cheat_Sheet)
- usare solo statement predefiniti con query parametrizzate quando si costruiscono query SQL basate su dati messi dagli utenti (https://www.owasp.org/index.php/SQL_Injection_Prevention_Cheat_Sheet)
Per chi è preposto alla difesa delle applicazioni web
- implementare un web application firewall (WAF) configurato per bloccare gli attacchi SWL injection
- Considerare la possibilità di profilare e monitorare il formato della risposta HTML per riconoscere se vi siano cambiamenti significativi quali un aumento del numero di link
Akamai continua a monitorare le campagna di attacco SEO che sfruttano tecniche di SQL injection. Per approfondimenti è possibile scaricare una copia gratuita del documento al seguente link: http://www.stateoftheinternet.com/seo-attacks.
