Está usted visitando una publicación en la hemeroteca de CSIRT-CV.
Para acceder al portal y contenido actual, visite https://www.csirtcv.gva.es
01/10/2014
jQuery.com va ser compromés per a servir malware
La bona notícia és que no hi ha cap indici que haja sigut afectada la mateixa llibreria de jQuery.
El lloc web oficial de la popular biblioteca de JavaScript multiplataforma jQuery.com ha sigut compromés per a servir programari maliciós i redirigir els visitants d’un lloc web que utilitze els seus scripts a l’Exploit RIG, el mateix que distribuïx Cryptowall.
Hi ha dos avantatges si es permet que jQuery albergue el codi:
-
Rendiment: el codi JS és entregat més ràpid, i és probable que usuari ja el tinga en el seu caixet per haver visitat un altre lloc que utilitza el CDN de jQuery.
-
Actualitzacions automàtiques: les actualitzacions de jQuery són col·locades en els seus CDN pels desenvolupadors i un lloc web que els utilitze en rebrà l’última còpia automàticament.
D’altra banda, hi ha un inconvenient important: el codi que se servix des dels CDN pot ser modificat i s’ha de confiar “a cegues” en els llocs de terceres parts i, davant d’un possible compromís, este lloc de tercers afectarà la seguretat del lloc propi.
L’atac es va detectar primer el 18 de setembre, i atés que el script redirector maliciós va ser allotjat en un domini ( jquery-cdn.com)que es va registrar eixe mateix dia, és molt probable que l’atac començara en eixe moment.
Els investigadors de RiskIQ van notificar immediatament a la Fundació jQuery sobre el compromís. Si bé jQuery inicialment no va confirmar l’atac, el 24 de setembre el director d’investigació de RiskIQ, va informar que havien realitzat anàlisi dels llocs web i es van detectar exploits que definitivament provenien de jquery.com. A més van poder verificar (per mitjà de captura de tràfic [PDF]) que diverses companyies de Fortune 100 havien visitat el domini jquery-cdn.com des de jquery.com.
Finalment el 25 de setembre l’equip d’infraestructura de jQuery, va confirmar el compromís de jquery.com però creuen que es tracta d’incidents distints i que es podria haver utilitzat el mateix vector d’atac. Al moment d’escriure el present blog.jquery.com està fora de servici, possiblement per un atac de DDoS.
Per un altre costat jQuery ha confirmat que en cap moment es va poder confirmar que es va distribuir programari maliciós des de qualsevol dels seus llocs, des del codi de biblioteques o des dels seus CDN i fan notar que el domini oficial dels seus CDN és code.jquery.com.