La Agencia de Seguridad Nacional de EE. UU. Y el Departamento de Defensa Electrónica de Australia prepararon recomendaciones para que las empresas busquen shells web (shell web) en servidores internos y servidores que "buscan" en Internet. En su informe, los expertos proporcionan una lista de amenazas que se utilizan con mayor frecuencia para implementar shells web.
Los expertos escriben que los shells web son una de las formas más populares de malvari en la actualidad. El término "shell web" generalmente se refiere a un programa malicioso o script instalado en un servidor pirateado. Por ejemplo, en febrero de este año, Microsoft anunció que diariamente encuentra alrededor de 77,000 shells web activos.
La mayoría de los shells web proporcionan a un pirata informático una interfaz visual que se puede utilizar para interactuar con un servidor pirateado y su sistema de archivos, y también tienen funciones que le permiten cambiar el nombre, copiar, mover, editar o cargar nuevos archivos en el servidor. Además, el shell web se puede usar para cambiar los derechos de acceso a archivos y directorios, así como para archivar y descargar (robar) datos del servidor.
Los shells web se pueden escribir en cualquier idioma, desde Go to PHP, que permite a los atacantes ocultarlos dentro del código de cualquier sitio con nombres comunes y no sospechosos (por ejemplo, index.asp o uploader.php). Como resultado, es poco probable que el operador humano pueda detectar el shell web por sí solo, sin la ayuda de un firewall o un escáner de malware.
Los investigadores advierten que muchas compañías no entienden completamente los peligros de instalar shells web en sus sistemas. En esencia, los shells web actúan como puertas traseras, y debe tratarlos en consecuencia.
“Los shells web pueden servir como puertas traseras estables o nodos de tránsito para redirigir equipos maliciosos a otros sistemas. Los atacantes a menudo agrupan shells web en varios sistemas comprometidos para enrutar el tráfico, por ejemplo, desde sistemas de Internet a redes internas ”, dicen los expertos en el informe.
La Agencia de Seguridad Nacional de EE. UU. Y el Departamento de Radioingeniería de Australia recomiendan que los administradores del sistema utilicen las siguientes herramientas para detectar shells web (muchos de los cuales están disponibles en el repositorio especial de la NSA en GitHub ):
- guiones para comparar el sitio con su obviamente buena imagen;
- solicitudes splunk para detectar URL anormales en el tráfico;
- herramienta de análisis de registros de Internet Information Services (IIS);
- firmas de tráfico de red para shells web conocidos;
- instrucciones para identificar flujos de red sospechosos;
- instrucciones para identificar llamadas de proceso anormales entre datos de Sysmon;
- instrucciones para identificar llamadas de proceso anormales con Auditd;
- Reglas de HIPS para bloquear cambios en directorios accesibles desde la web;
- lista de vulnerabilidades comúnmente explotadas en aplicaciones web.
Pero antes de buscar hosts comprometidos, se recomienda encarecidamente a los administradores que actualicen sus sistemas y corrijan posibles vulnerabilidades. Por lo tanto, los analistas enumeran vulnerabilidades en productos populares que los ciberdelincuentes utilizan con mayor frecuencia para instalar shells web. Esta lista, que se puede ver a continuación, incluye Microsoft SharePoint, Microsoft Exchange, Citrix, Atlassian Confluence, WordPress, Zoho ManageEngine y Adobe ColdFusion.
"Esta lista no es exhaustiva, pero da una idea de algunos problemas de uso común", dicen los expertos.
| ID de vulnerabilidad | Producto vulnerable | El problema se hizo conocido |
| CVE-2019-0604 | Microsoft SharePoint | 15 de mayo de 2019 |
| CVE-2019-19781 | Citrix Gateway, Citrix Application Delivery Controller y Citrix SD-WAN WANOP | 22 de enero de 2020 |
| CVE-2019-3396 | Servidor de confluencia atlassian | 20 de mayo de 2019 |
| CVE-2019-3398 | Atlassian Confluence Server y Atlassian Confluence Data Center | 26 de noviembre de 2019 |
| CVE-2019-9978 | Plugin de WordPress de guerra social | 22 de abril de 2019 |
| CVE-2019-18935 CVE-2017-11317 CVE-2017-11357 | Progress Telerik UI | 7 de febrero de 2019 |
| CVE-2019-11580 | Atlassian Crowd y Crowd Data Center | 15 de julio de 2019 |
| CVE-2020-10189 | Zoho ManageEngine Desktop Central | 6 de marzo de 2020 |
| CVE-2019-8394 | Zoho ManageEngine ServiceDesk Plus | 18 de febrero de 2019 |
| CVE-2020-0688 | Servidor Microsoft Exchange | 10 de marzo de 2020 |
| CVE-2018-15961 | Adobe ColdFusion | 8 de noviembre de 2018 |
Fuente: https://xakep.ru/
No olvides Compartir...
0 Comentarios