Falha de segurança – Vivo contamina usuários com vírus

Na noite do dia 08/09/09 a maior empresa de celular do país (Operadora Vivo) foi surpreendida com ataques no sistema online.

Os usuários infectados tinham os seus arquivos hosts (C:/WINDOWS/system32/drivers/etc/hosts) modificados.

As alterações criavam bandeiras de redirecionamento da seguinte forma:

...
69.162.114.180 santander.com.br
69.162.114.180 www.santander.com.br
69.162.114.181 itau.com.br
69.162.114.181 www.itau.com.br
...

Assim quando os usuários infectados acessavam sites de bancos como (santander.com.br) eles eram redirecionados localmente para outro IP, que era uma cópia perfeita da interface do sistema bancário original, dessa forma obtendo dados pessoais como senhas de contas bancárias.

O ataque foi possível por uma vulnerabilidade recente do Java que por sua vez serviu para mostrar outras vulnerabilidades do sistema da vivo como Local File Inclusion (LFI). Com um LFI é possível executar comandos dentro do servidor, além de ler arquivos no mesmo como senhas de acesso ao servidor.

Uma análise detalhada pode ser encontrada no Linux New Media