MIT-server maandenlang misbruikt voor webexploits
Gepubliceerd: Maandag 7 november 2011
Auteur: Jasper Bakker
Een gehackte server van het gerenommeerde MIT heeft maandenlang websites gescand op kwetsbaarheden en daar malware geïnjecteerd. Doelwit was phpMyAdmin.
De gekaapte server van ict-universiteit Massachusetts Institute of Technology (MIT) draaide een script dat wereldwijd scans uitvoerde om malware te kunnen verspreiden. Kwetsbare sites zijn vervolgens besmet met kwaadaardige code. Ook werd eigen content, met willekeurige plaatjes en tekst, toegevoegd.
Deze aanval is in juni dit jaar al begonnen en heeft meer dan 100.000 websites weten te besmetten. Niet-kwetsbare websites hebben ook last gehad: zij zijn door de MIT-server bestookt met verzoeken. Sommige sites kunnen niet op tegen de grote bandbreedte van die .edu-server, meldt SecurityWeek.
Antieke installaties
Het script op MIT's .edu-server (CSH-2.MIT.EDU) zocht naar database-beheertool phpMyAdmin, specifiek versies 2.5.6 tot en met 2.8.2. In die veelgebruikte beheersoftware voor MySQL zit een kwetsbaarheid waar het malafide script gebruik van maakt. phpMyAdmin 2.8.2 stamt uit juli 2006. Sindsdien zijn er vele nieuwe versies verschenen, waarvan 3.4.7 de meest actuele is.
De malware-activiteit van de MIT-server is ontdekt door securityleverancier BitDefender. Het bedrijf heeft geprobeerd MIT in te lichten, maar kreeg geen response, meldt de IDG News Service. Volgens BitDefender is de bewuste server nog wel online, maar voert geen aanvallen meer uit. Het is niet duidelijk hoe de kwaadwillenden zijn binnengekomen bij de bekende Amerikaanse ict-universiteit.
