A lo largo de los años hemos visto todo tipo de ataques a páginas web, cada uno de ellos explotando alguna debilidad del servidor en cuestión. De vez en cuando aparecen ataques que son tan extraños, y al mismo tiempo creativos que no tenemos mas remedio que elogiar a sus creadores, sean quienes sean. Pongamos el caso de este ataque que os vamos a describir, que utiliza los bots de Google para realizar ataques a la base de datos de servidores ajenos.

Para poder catalogizar toda la red, Google cuenta con una gran cantidad de bots, programas que se dedican a buscar nuevas páginas web una detrás de otra. Para ello, siguen todos los enlaces o direcciones URL que encuentren por su camino, a menos que el administrador especifique lo contrario. Así, si cuelgas una dirección en tu web es bastante probable que el bot acabe visitándola. Unos hackers han aprovechado esta circunstancia para realizar ataques “a distancia”, es decir que no son ellos mismos los que intentan entrar en nuestro sistema, sino que “mandan” a los bots a hacerlo.

Para ello se aprovechan del hecho de que la mayoría de páginas web no están bien creadas, en particular los accesos a las bases de datos SQL. Los ataques que se aprovechan de ello se llaman “inyección SQL”, y consisten abrir una dirección web con comandos SQL incorporados como parámetros. Cuando el servidor víctima trata esos parámetros, ejecuta sin querer los comandos incorporados. Es un tipo de ataque que ya es muy conocido, pero no por ello se sufre menos.

Con esta nueva técnica, los hackers crean un servidor y colocan direcciones URL con comandos SQL incorporados, y esperan a que los bots de Google las sigan y les hagan “el trabajo sucio”. El resultado es que Google acaba atacando nuestras bases de datos sin saberlo. Por supuesto, a los administradores les interesa el tráfico proveniente de Google, de ahí que la mayoría no lo bloquee por defecto.

Eso sí, al menos los atacantes no son capaces de ver el resultado de estos comandos SQL, aunque en todo caso sigue siendo una vulnerabilidad importante.

Fuente | Ars Technica