首頁 > 焦點新聞

燦坤資料外洩: IIS6漏洞加FCKeditor惹禍

作者:張維君 -2010 / 06 / 28 列印 加入我的最愛 分享 將這篇文章分享到 Plurk 噗浪

知名3C連鎖賣場燦坤傳出資料外洩,5月以來網友紛紛在論壇留言接獲詐騙電話,對方清楚知道消費交易細節,有受害者因此受騙上當用ATM轉走數萬元,甚至上百萬元不等。警方表示,這波遭受攻擊的企業共10多家,燦坤只是其中之一。

 

5月以來,網友在mobile 01論壇接連反映接到詐騙電話,疑似3C連鎖賣場燦坤資料外洩。燦坤日前在接受媒體採訪時表示已報警處理,坦言系統遭駭客入侵。除燦坤之外,受駭企業包含零售通路業者,不願具名的某受駭企業表示,經過調查,此次駭客利用微軟作業系統的漏洞、網頁文字編輯器共享軟體FCKeditor,上傳一支後門程式,隨後不斷掃描內部網路架構,並狡猾地把所有痕跡抹除,造成事後調查的困難。事發後除了移除FCKeditor外,佈署網頁應用防火牆(WAF),並全面翻修檢查SQL Injection漏洞,改寫應用程式。

 

負責調查的偵九隊表示,由這幾起受駭企業的共同點來看,某些受駭企業雖然有佈署網頁應用防火牆(WAF),但是佈署的位置可能有問題,才導致系統仍然淪陷,建議企業應改變網站架構,並且讓使用者瀏覽時統一導向首頁。由於企業多半會將WAF佈署在防火牆之後、網站伺服器之前,但從過去的例子來看,許多網站受駭時間是在週五人員下班之後,駭客利用大量SQL injection封包使WAF CPU超載,以便直接繞過WAF,建議企業可利用白名單方式過濾非正常網頁路徑及參數。此外,另一個值得注意的是,業者在與供應鏈廠商進行資料交換時,不能光是單方傳遞資料,雙方應分別建置交易金鑰,並將其視為內部環境來稽核安全等級。

 

刑事局警務正常金蘭指出,燦坤的165詐騙報案來電數在上週已大幅減少,尤其日前兩岸詐騙集團落網後,165詐騙報案數已減少150多筆,但將來這些被外洩資料是否遭利用再生,值得注意。而近日165接獲報案數較高的是U-life森森百貨,消費者得多加留意。


專家建議
敦陽科技資安顧問吳東霖指出,此次攻擊駭客利用FCKeditor的上傳功能加IIS 6副檔名解析弱點(目前為止未發布更新)大量入侵伺服器,建議先將FCKeditor的"filemanager"目錄移除(將會失去FCKEDITOR上傳功能),並且確實隔離IIS GUEST USER權限,網站根目錄建議建立至獨立磁碟區,移除根目錄之"Users"群組,以NTFS ACL針對IUSER將靜態目錄設定為不得寫入,同時在IIS中將靜態目錄的執行權限設定為"無",靜態目錄(例):/css/ , /js/ , /image/ , /upload/等…不需要執行動態頁面之目錄。如靜態目錄需要上傳權限,可將NTFS設定為寫入, 但必須在IIS中設定該目錄之執行權限為"無"。

如欲閱讀完整內容,請成為《進階會員》
推薦此文章
17
人推薦此新聞
文章回應話題
BirdFriend 發表於: 2010 / 07 / 06
吳東霖是我的偶像~~~~
蒙面俠 發表於: 2010 / 07 / 05
好好奇喔! 可以再多談一些嗎?
Jung 發表於: 2010 / 07 / 02
我不大想公開談論技術細節,
失言會讓我根本就不認識的人丟飯碗,
嚴重說不定會讓那些企業被開罰..
(點到就好我不想指出疏失在那?)
Birdlex 發表於: 2010 / 07 / 02
Jung
只有特定廠牌的WAF才有CPU超載導致bypass...不是所有的WAF都會因為CPU超載而導致bypass...
Jung 發表於: 2010 / 07 / 01
很牛的駭客 dos attack by pass WAF 在找出注入弱點...
架構改也沒辦法防,要看WAF的負載支援策略做的如何....XD
柯立中 發表於: 2010 / 06 / 30
請問此事件是利用微軟哪個漏洞進行植入? KFCEditor的木馬程式如何植入?
木馬程式防毒軟體可否偵測?
包青天 發表於: 2010 / 06 / 29
重罰後,企業才會有有具體的作法,有做法後大家才有方向可以執行。
康斯坦丁 發表於: 2010 / 06 / 29
不開鍘喔? 10幾家企業... 金額應該很可觀吧!
張維君 發表於: 2010 / 06 / 29
偵九隊調查員警也指出,這次事發後,燦坤針對可能出問題的網段、主機隔離,控制損害範圍並配合追查,處理得宜。(6/29 -d)
我要回應此文章
您的姓名:
回應內容:
  輸入圖片數字

你或許會對這些文章有興趣…