El sitio web oficial de la popular biblioteca de JavaScript multiplataforma jQuery.com ha sido comprometido para servir software malicioso y redirigir a los visitantes de un sitio web que utilice sus scripts al Exploit RIG, el mismo que distribuye Cryptowall.
La buena noticia es que no hay ningún indicio de que haya sido afectada la propia librería de jQuery.
Hay dos ventajas en permitir jQuery albergue el código:
- Rendimiento: el código JS es entregado más rápido, y es probable que usuario ya lo tenga en su caché por haber visitado otro sitio que utiliza el CDN de jQuery.
- Actualizaciones automáticas: las actualizaciones de jQuery son colocadas en sus CDN por los desarrolladores y, un sitio web que los utilice, recibirá la última copia automáticamente.
Por otro lado, hay un inconveniente importante: el código que se sirve
desde los CDN puede ser modificado y se debe confiar a "ciegas" en los
sitios de terceras partes y, ante un posible compromiso, este sitio de
terceros afectará la seguridad del sitio propio.
El ataque se detectó primero el 18 de septiembre, y dado que el script redirector malicioso fue alojado en un dominio (jquery-cdn.com) que se registró ese mismo día, es muy probable que el ataque empezara en ese momento.
Los investigadores de RiskIQ notificaron
inmediatamente a la Fundación jQuery sobre el compromiso. Si bien
jQuery inicialmente no confirmó el ataque, el 24 de septiembre el
Director de investigación de RiskIQ, informó que habían realizado
análisis de los sitios web y se detectaron exploits que definitivamente
provenían de jquery.com. Además pudieron verificar (mediante captura de tráfico [PDF]) que varias compañías de Fortune 100 habían visitado el dominio jquery-cdn.com desde jQuery.com.
Finalmente el 25 de septiembre el equipo de infraestructura de jQuery, confirmó el compromiso de jQuery.com
pero creen que se trata de incidentes distintos y que se podría haber
utilizado el mismo vector de ataque. Al momento de escribir el presente blog.jquery.com está fuera de servicio, posiblemente por un ataque de DDoS.
Por otro lado jQuery ha confirmado que en ningún momento se pudo
confirmar que se distribuyó malware desde cualquiera de sus sitios,
desde el código de bibliotecas o desde sus CDN y hacen notar que que el
dominio oficial de sus CDN es code.jquery.com.
Fuente: Net-Security
0 comentarios:
Publicar un comentario