Il sito di sicurezza informatica WebSense riporta la notizia, ripresa da diverse risorse specializzate in Rete, di un massiccio attacco informatico perpetrato con tecniche di SQL injection che ha compromesso decine di migliaia di siti web. LizaMoon è il nome con cui viene comunemente indicata questa nuova campagna di compromissione dei siti web che prende il nome dal dominio internet cui fa riferimento lo script pubblicato nelle pagine web compromesse.

Il dominio lizamoon.com al momento non è raggiungibile così come il presunto antivirus promosso con questa campagna di attacco informatico. Molti risultano i siti web con TLD .it compromessi come parzialmente mostrano i risultati di specifiche e mirate ricerche effettuate con Google impostando criteri di ricerca relativi allo script che punta al sito lizamoon.com. Oltre al citato dominio, lizamoon.com, di seguito si riporta un elenco relativo ad altri nome di dominio (dove per opportunità http è stato sostituito con hxxp) pubblicati all'interno dei vari script quale risultato della compromissione di siti web tramite SQL injection:

• hxxp://lizamoon.com/ur.php
• hxxp://tadygus.com/ur.php
• hxxp://alexblane.com/ur.php
• hxxp://alisa-carter.com/ur.php
• hxxp://online-stats201.info/ur.php
• hxxp://stats-master111.info/ur.php
• hxxp://agasi-story.info/ur.php
• hxxp://general-st.info/ur.php
• hxxp://extra-service.info/ur.php
• hxxp://t6ryt56.info/ur.php
• hxxp://sol-stats.info/ur.php
• hxxp://google-stats49.info/ur.php
• hxxp://google-stats45.info/ur.php
• hxxp://google-stats50.info/ur.php
• hxxp://stats-master88.info/ur.php
• hxxp://eva-marine.info/ur.php
• hxxp://stats-master99.info/ur.php
• hxxp://worid-of-books.com/ur.php
• hxxp://google-server43.info/ur.php
• hxxp://tzv-stats.info/ur.php
• hxxp://milapop.com/ur.php

Vittime di questa massiccia campagna di attacco informatico sono i siti web che utilizzano, in particolare, il noto RDBMS open Source MySql in ragione anche della diffusione dello stesso che ne aumenta l'esposizione rispetto ad altri database e Microsoft SQL Server 2003 e 2005 secondo le informazioni al momento disponibili. Recentemente anche i siti web MySQL.com e Sun.com sono stati vittima di attacchi di matrice SQL injection così come iTunes di Apple o il sito web di McAfee.

La tecnica di attacco nota come SQL Injection è nota da diversi anni e questo non è la prima campagna di attacco che sfrutta questa tecnica ben documentata e che non necessariamente sfrutta delle vulnerabilità ma più frequentemente delle errate configurazioni del database stesso, delle applicazioni web che utilizzano database e delle piattaforme di CMS. L'errata validazione da parte dell'applicazione web che gestisce l'inserimento di dati forniti dall'utente o la successiva "sanitizzazione" piuttosto che la mancata gestione dell'errore costituiscono le cause più frequenti che forniscono uno dei presupposti fondamentali di questo attacco insieme all'aggiornamento dei sistemi ed alla loro configurazione. L'automazione dell'attacco che giustifica un simile numero di risorse web compromesse è forse la componente più interessante di questa nuova campagna in grado di individuare form, pagine web, applicazioni web, configurazione dei sistemi vulnerabili all'attacco di tipo SQL injection.

Ulteriori dettagli sono disponibili presso le seguenti url:

• http://community.websense.com/blogs/securitylabs/archive/2011/03/29/lizamoon-mass-injection-28000-urls-including-itunes.aspx
• http://www.thetechherald.com/article.php/201113/6994/SQL-Injection-attack-jumps-to-more-than-600-000-domains
• http://www.itwire.com/business-it-news/security/46236-rogue-av-peddler-behind-lizamoon-sql-injection-attack
• http://nakedsecurity.sophos.com/2011/03/27/mysql-com-and-sun-hacked-through-sql-injection/
• http://news.cnet.com/8301-27080_3-20048135-245.html?part=rss&subj=news&tag=2547-1_3-0-20
• http://www.conwex.info/blog/index.php/2007/10/13/sql-injection-attack-cartoon/