MySQL.com foi invadido e distribuiu malware por várias horas

Nesta segunda o site MySQL.com foi invadido e passou a distribuir código malicioso, atacando vulnerabilidades em diversos navegadores e produtos antigos, como versões defasadas do Adobe Flash, Reader ou do Java. Em março ele já havia sido atacado. Muitos que acessaram o site na segunda-feira podem ter tido seus computadores infectados.

O problema foi detectado na manhã da segunda-feira pela empresa de segurança Armorize. Algumas horas depois o site estava reparado, o pessoal da empresa acredita que os códigos maliciosos ficaram por menos de 24h no ar.

Em geral os invasores aproveitam as brechas nos sistemas de usuários finais para roubar senhas, números de cartão de crédito e dados bancários, ou ainda tentar ganhar dinheiro com falsos anti-vírus e anúncios diversos, sem contar na transformação da máquina em um “zumbi”, permitindo obter maior banda e poder de processamento gratuitos. No caso do mysql.com não ficou bem claro o que os códigos maliciosos foram capazes de fazer.

Por esses dias um hacker identificado por sourcec0de afirmou num fórum russo ter acesso de root aos servidores do MySQL.com (imagem acima). Não bastasse isso, ele estava alugando acesso a alguns clusters do mysql.com e seus subdomínios por valores a partir de 3 mil dólares. Esse tipo de aluguel pode ser usado para qualquer fim, desde injetar algum código na página simplesmente para ganhar dinheiro (como anúncios ou links follow numa página com alto page rank) a até mesmo código para tentar explorar os usuários que visitam tal site. Algum “engraçadinho” pode ter alugado, plantado malware e acabado com a festa dos demais.

A coisa anda feia para alguns projetos de software livre. Só para constar, o kernel.org e linux.com (entre outros) continuam fora do ar! Já se passaram vários dias e ainda não foram liberados com segurança. O estrago foi dos grandes, talvez não em perda de dados (afinal provavelmente tinham backups de muita coisa) mas fica a questão da privacidade, do furto dos dados mesmo. Essa ferida dificilmente será esquecida, já que foi causada em algo que parecia tão inviolável…

Abaixo, um vídeo da Armorize comentando o caso desta semana:

Ele demonstra a vulnerabilidade no Java (da própria Oracle, hoje :P), onde pelo simples fato de acessar o mysql.com no IE o sistema foi infectado, com novos executáveis sendo baixados e hospedados no sistema – tudo por trás da tela, sem confirmação nenhuma do usuário.