lunes, 27 de abril de 2020

NSA publicó una lista de las vulnerabilidades más utilizadas


La Agencia de Seguridad Nacional de EE. UU. Y el Departamento de Defensa Electrónica de Australia prepararon recomendaciones para que las empresas busquen shells web (shell web) en servidores internos y servidores que "buscan" en Internet. En su informe, los expertos proporcionan una lista de amenazas que se utilizan con mayor frecuencia para implementar shells web.
Los expertos escriben que los shells web son una de las formas más populares de malvari en la actualidad. El término "shell web" generalmente se refiere a un programa malicioso o script instalado en un servidor pirateado. Por ejemplo, en febrero de este año, Microsoft anunció que diariamente encuentra  alrededor de 77,000 shells web activos.
La mayoría de los shells web proporcionan a un pirata informático una interfaz visual que se puede utilizar para interactuar con un servidor pirateado y su sistema de archivos, y también tienen funciones que le permiten cambiar el nombre, copiar, mover, editar o cargar nuevos archivos en el servidor. Además, el shell web se puede usar para cambiar los derechos de acceso a archivos y directorios, así como para archivar y descargar (robar) datos del servidor.
Los shells web se pueden escribir en cualquier idioma, desde Go to PHP, que permite a los atacantes ocultarlos dentro del código de cualquier sitio con nombres comunes y no sospechosos (por ejemplo, index.asp o uploader.php). Como resultado, es poco probable que el operador humano pueda detectar el shell web por sí solo, sin la ayuda de un firewall o un escáner de malware.
Los investigadores advierten que muchas compañías no entienden completamente los peligros de instalar shells web en sus sistemas. En esencia, los shells web actúan como puertas traseras, y debe tratarlos en consecuencia.
“Los shells web pueden servir como puertas traseras estables o nodos de tránsito para redirigir equipos maliciosos a otros sistemas. Los atacantes a menudo agrupan shells web en varios sistemas comprometidos para enrutar el tráfico, por ejemplo, desde sistemas de Internet a redes internas ”, dicen los expertos en el informe.
La Agencia de Seguridad Nacional de EE. UU. Y el Departamento de Radioingeniería de Australia recomiendan que los administradores del sistema utilicen las siguientes herramientas para detectar shells web (muchos de los cuales están disponibles en el repositorio especial de la NSA en GitHub ):
  • guiones para comparar el sitio con su obviamente buena imagen;
  • solicitudes splunk para detectar URL anormales en el tráfico;
  • herramienta de análisis de registros de Internet Information Services (IIS);
  • firmas de tráfico de red para shells web conocidos;
  • instrucciones para identificar flujos de red sospechosos;
  • instrucciones para identificar llamadas de proceso anormales entre datos de Sysmon;
  • instrucciones para identificar llamadas de proceso anormales con Auditd;
  • Reglas de HIPS para bloquear cambios en directorios accesibles desde la web;
  • lista de vulnerabilidades comúnmente explotadas en aplicaciones web.
Pero antes de buscar hosts comprometidos, se recomienda encarecidamente a los administradores que actualicen sus sistemas y corrijan posibles vulnerabilidades. Por lo tanto, los analistas enumeran vulnerabilidades en productos populares que los ciberdelincuentes utilizan con mayor frecuencia para instalar shells web. Esta lista, que se puede ver a continuación, incluye Microsoft SharePoint, Microsoft Exchange, Citrix, Atlassian Confluence, WordPress, Zoho ManageEngine y Adobe ColdFusion.
"Esta lista no es exhaustiva, pero da una idea de algunos problemas de uso común", dicen los expertos.

ID de vulnerabilidadProducto vulnerableEl problema se hizo conocido
CVE-2019-0604Microsoft SharePoint15 de mayo de 2019
CVE-2019-19781Citrix Gateway, Citrix Application Delivery Controller y Citrix SD-WAN WANOP22 de enero de 2020
CVE-2019-3396Servidor de confluencia atlassian20 de mayo de 2019
CVE-2019-3398Atlassian Confluence Server y Atlassian Confluence Data Center26 de noviembre de 2019
CVE-2019-9978Plugin de WordPress de guerra social22 de abril de 2019
CVE-2019-18935
CVE-2017-11317
CVE-2017-11357
Progress Telerik UI7 de febrero de 2019
CVE-2019-11580Atlassian Crowd y Crowd Data Center15 de julio de 2019
CVE-2020-10189Zoho ManageEngine Desktop Central6 de marzo de 2020
CVE-2019-8394Zoho ManageEngine ServiceDesk Plus18 de febrero de 2019
CVE-2020-0688Servidor Microsoft Exchange10 de marzo de 2020
CVE-2018-15961Adobe ColdFusion8 de noviembre de 2018
No olvides Compartir... 

Siguenos en twitter: @disoftin - @fredyavila

No hay comentarios:

Publicar un comentario

Más leídas este mes