Massivt SQL-angreb rammer førende danske sites

En lang række førende danske hjemmesider blev i slutningen af sidste uge og i weekenden ramt af et massivt angreb med SQL-injektion. Blandt de angrebne sider er Elsparefonden.dk.

Over 100 danske hjemmesider er i weekenden blevet udsat for SQL-angreb. Ifølge sikkerhedsfirmaet CSIS har hackerne tilsyneladende brugt Google til at opspore huller i hjemmesidernes sikkerhedsforanstaltninger for derefter at efterlade den skadelige kode på hjemmesiden.

Et af de sites, der er ramt, er Elsparefonden.dk, der er en uafhængig organisation under Klima- og Energiministeriet.

Men ifølge Halloweb, der kører Elsparefondens netapplikationer, er det dog ikke lykkedes hackerne at få den skadelige iFrame ud på hjemmesiden.

»De har fået adgang til en af Elsparefondens mange databaser, hvor de har forsøgt at indsætte et script, som har til hensigt at vise et banner i en iframe, på hjemmesiden, men det har bare fået siderne til at fejle fordi, der i koden bliver tjekket på en type af dataformater, så iframen er ikke blevet vist, men til gengæld går hjemmesiden ned, og det har vi så måtte ryde op efter,« siger Stefan Bech fra Halloweb til Version2.dk.

Elsparefonden har en række ældre applikationer kørende, og det var netop i en af de gamle applikationer, som hackerne fandt et hul.

»Stort set alle de nye applikationer bliver udviklet i .Net, hvor den slags angreb nærmest er umulige, men Elsparefonden har også nogle ældre applikationer baseret på ASP, der ikke er helt så sikre, og det var også her, at de fandt den kodestump, du kunne bruge,« siger Stefan Bech.

Halloweb har nu ændret i Elsparefondens applikationer, så sårbarheden er fjernet og også sørget for, at der er kommet en ISA 2006 server på plads.

I Elsparefonden er netansvarlig Christian Lüders ærgerlig over, at det er lykkedes hackerne at trænge gennem Elsparefondens sikkerhedsværn.

»Det kommer bag på mig, at de gamle systemer åbenbart ikke har det sikkerhedsmæssige niveau, som de skal have, så derfor er det vigtigt at få det lukket,« siger han.

Ifølge CSIS blev også hjemmesider fra ITzonen.dk, lystfisk.dk og Landleisure.dk ramt af angrebet.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Kommentarer (5)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Henrik Jensen

Stort set alle de nye applikationer bliver udviklet i .Net, hvor den slags angreb nærmest er umulige, men Elsparefonden har også nogle ældre applikationer baseret på ASP, der ikke er helt så sikre

Det kommer da helt an på hvordan man har implementeret sin applikation. Det handler om at leverandøren af applikationen skal være opmærksom på denne type trusler uanset om der benyttes den ene eller den anden platform. Man er ikke sikret bedre bare fordi at det er .NET hvis ikke leverandøren har tænkt sig om.

  • 0
  • 0
Stig Johansen

Jeg var lige ved at skrive det samme.
.Net er ikke mere sikkert end udvikleren, men så lagde jeg nærke til, at det var Elsparefondens leverandør, der udtaler sig - formentlig for at skabe tryghed for kunden.

Hvordan en ISA skulle hjælpe på sårbarheder overfor SQL injection forstår jeg nok heller ikke rigtigt.

  • 0
  • 0
Log ind eller Opret konto for at kommentere