La NSA y el ASD emiten asesoramiento conjunto sobre la detección y el manejo de los shells web.
Image:DRgossip.com |
La Agencia de Seguridad Nacional de EE. UU. (NSA) y la Dirección de Señales de Australia (ASD) publicaron esta semana un aviso de seguridad que advierte a las compañías que busquen servidores web y servidores internos en busca de shells web comunes.
Los shells web son una de las formas más populares de malware en la actualidad. El término "shell web" se refiere a un programa o script malicioso que está instalado en un servidor pirateado.
Los shells web proporcionan una interfaz visual que los hackers pueden usar para interactuar con el servidor pirateado y su sistema de archivos.
La mayoría de los shells web vienen con funciones que permiten a los hackers renombrar, copiar, mover, editar o cargar nuevos archivos en un servidor. También se pueden usar para cambiar los permisos de archivos y directorios, o archivar y descargar (robar) datos del servidor.
Los piratas informáticos instalan shells web explotando vulnerabilidades en servidores o aplicaciones web con conexión a Internet (como CMS, complementos de CMS, temas de CMS, CRM, intranets u otras aplicaciones empresariales, etc.).
Los shells web se pueden escribir en cualquier lenguaje de programación, desde Ir a PHP. Esto permite a los piratas informáticos ocultar shells web dentro del código de cualquier sitio web bajo nombres genéricos (como index.asp o uploader.php), lo que hace que la detección por parte de un operador humano sea casi imposible sin la ayuda de un firewall web o un escáner de malware web.
En un informe publicado en febrero de este año, Microsoft dijo que detecta alrededor de 77,000 shells web activos diariamente, lo que hace que estos shells web sean uno de los tipos de malware más frecuentes en la actualidad.
Los SHELLS WEB PUEDEN ACTUAR COMO BACKDOORS EN REDES INTERNAS
Sin embargo, muchas compañías no entienden completamente el peligro de tener un shell web instalado en sus sistemas. Los shells web, básicamente, actúan como puertas traseras y deben tratarse con la mayor importancia y urgencia.
En un aviso de seguridad publicado esta semana, la NSA y ASD crearon conciencia sobre este vector de ataque a menudo ignorado.
"Los shells web pueden servir como puertas traseras persistentes o como nodos de retransmisión para enrutar los comandos del atacante a otros sistemas", dijeron las dos agencias. "Los atacantes con frecuencia encadenan shells web en múltiples sistemas comprometidos para enrutar el tráfico a través de redes, como desde sistemas con conexión a Internet a redes internas".
Las dos agencias han publicado un informe conjunto de 17 páginas [PDF] que contiene herramientas para ayudar a los administradores del sistema a detectar y lidiar con este tipo de amenazas. El aviso incluye:
- Scripts para comparar un sitio web de producción con una imagen conocida
- Splunk consultas para detectar URL anómalas en el tráfico web
- Una herramienta de análisis de registro de Internet Information Services (IIS)
- Firmas de tráfico de red para shells web comunes
- Instrucciones para identificar flujos de red inesperados
- Instrucciones para identificar invocaciones de procesos anormales en los datos de Sysmon
- Instrucciones para identificar invocaciones de procesos anormales con Auditd
- Reglas de HIPS para bloquear cambios en directorios accesibles desde la web
- Una lista de vulnerabilidades de aplicaciones web comúnmente explotadas
Algunas de las herramientas mencionadas en el aviso también están disponibles en el perfil GitHub de la NSA.
Si bien todos los consejos y las herramientas gratuitas incluidas en el aviso conjunto son excelentes, se prefiere y recomienda que los administradores del sistema apliquen parches a los sistemas antes de pasar a buscar hosts ya comprometidos.
La lista de NSA y ASD de software de servidor comúnmente explotado es un buen lugar para comenzar a parchear, ya que estos sistemas se han enfocado fuertemente en los últimos meses.
La lista incluye vulnerabilidades en herramientas populares como Microsoft SharePoint, Microsoft Exchange, Citrix, Atlassian Confluence, WordPress, Zoho ManageEngine y Adobe ColdFusion.
"Esta lista no pretende ser exhaustiva, pero proporciona información sobre algunos casos explotados con frecuencia", dijeron la NSA y el ASD.
"Se alienta a las organizaciones a aplicar parches a las aplicaciones web internas y a Internet rápidamente para contrarrestar los riesgos de las vulnerabilidades 'n-day'".