資安公司阿碼科技指出,駭客瞄準使用開放源碼osCommerce的網站進行大規模隱碼攻擊並嵌入惡意iFrame。目前全球至少已經有40萬個網址被感染,台灣地區的網頁也有近兩萬。
osCommerce是一套相當知名的開放源碼架站軟體,主要為網路開店或電子商務網站在使用。據osCommerce官方網站顯示,目前大約有25萬家線上商店使用該專案。osCommerce論壇支援人員則建議,osCommerce 2.2的站長必須檢驗網站管理員目錄的安全性,並加強對網站安全設定,才能避免網站被入侵。
阿碼科技指出,使用者如果連結到被攻擊的網站,瀏覽器將被引導至其他的網站,在用戶毫不知情之下,下載並執行惡意軟體並感染用戶的電腦。駭客感染用戶端電腦的過程中,所利用的瀏覽器漏洞包括了與Java Trust、PDF LibTiff、Java SMB、IE MDAC,及HCP等相關的漏洞。
至於伺服器端遭感染方面,阿碼科技對媒體表示,駭客可能一直注意osCommerce軟體漏洞的相關討論,加上部分網站是委託外人設計、調整過,因此當該軟體升級時無法升級新版,給予駭客可乘之機。(編譯/沈經)
