Se me pidió que examinara la seguridad de un sitio cliente que aparentemente está lanzando mensajes antivirales cuando se los visita.
Específicos:
- Se está detectando como un kit de exploits Blackhole dentro de una fuente Cufon.
- El exploit agrega un poco de JavaScript con la intención de cargar más Javascript desde una URL externa (actualmente está inactivo, por lo que no hay manera de seguir analizándolo)
- La página parece ser HTML plano, sin ningún código del lado del servidor. Esto descarta una gran cantidad de vectores de ataque.
- El único otro Javascript en la página es cufon.js, prototype.js y Google Analytics.
A ese fin:
-
¿Es posible usar Cufon.js o Prototype.js para escribir en el sistema de archivos del servidor, y finalmente usar esos scripts como un vector de ataque para Blackhole?
-
Si no, ¿existen otras posibilidades además de las vulnerabilidades a nivel del servidor (contraseñas SSH / FTP, configuración insegura del servidor, etc.), tal vez con la excepción del diseñador que utiliza una fuente pirateada comprometida?
¡Muchas gracias!