Los ciberatacantes aprovechan cada vez más el malware de shell web para obtener acceso persistente a redes comprometidas, advierten la Agencia de Seguridad Nacional de EEUU.
Los shells web son scripts maliciosos que se cargan en los sistemas de destino (generalmente servidores web) para permitir a los atacantes controlarlos de forma remota. En efecto, crean una puerta trasera en el sistema de destino.
Sin embargo, la amenaza no se limita a los servidores web con conexión a Internet, y puede implementarse en sistemas de administración de contenido interno o interfaces de administración de dispositivos de red que no tengan conexión a Internet.
Prevención de la instalación de shell web
Los atacantes generalmente logran implementar shells web explotando las vulnerabilidades de las aplicaciones web, la configuración de seguridad del servidor débil o cargando en sistemas que de otra manera estarían comprometidos.
Entre las vulnerabilidades de las aplicaciones web que comúnmente se explotan para instalar malware de shell web se encuentran:
- CVE-2019-0604 (que afecta a Microsoft SharePoint)
- CVE-2019-19781 (que afecta a los dispositivos Citrix)
- CVE-2019-3396 y CVE-2019-3398 (que afectan al servidor de confluencia Atlassian y al conector de widget del centro de datos)
- CVE-2019-9978 (que afecta el complemento de guerra social para WordPress)
- CVE-2019-18935 , CVE-2017-11317 y CVE-2017-11357 (que afectan a la interfaz de usuario de Progress Telerik)
- CVE-2019-11580 (afectando a la multitud de Atlassian)
- CVE-2020-10189 (que afecta a Zoho ManageEngine Desktop Central)
- CVE-2019-8394 (que afecta a Zoho ManageEngine ServiceDesk Plus)
- CVE-2020-0688 (que afecta a Microsoft Exchange Server)
- CVE-2018-15961 (que afecta a Adobe ColdFusion).
"Esta lista no pretende ser exhaustiva, pero proporciona información sobre algunos casos explotados con frecuencia", anotaron las agencias y aconsejaron a las organizaciones que revisen / actualicen regularmente las aplicaciones web y limiten sus permisos.
“En particular, las aplicaciones web no deberían tener permiso para escribir directamente en un directorio accesible desde la web o modificar el código accesible desde la web. Los atacantes no pueden cargar un shell web en una aplicación vulnerable si el servidor web bloquea el acceso al directorio accesible web ", señalaron .
Si el último paso no es posible, aconsejaron a las organizaciones que implementen la supervisión de la integridad de los archivos para bloquear los cambios a los directorios accesibles en la web o alertar cuando ocurran cambios.
Finalmente, deberían agregar capas de defensa tales como Sistemas de prevención de intrusiones (IPS) y Firewalls de aplicaciones web (WAF), y mejorar la segregación de la red y fortalecer los servidores web.
Detectar shells web instalados
"Los shells web son difíciles de detectar ya que los atacantes los modifican fácilmente y a menudo emplean cifrado, codificación y ofuscación", explicaron las agencias. Eso es lo que los hace tan útiles para los atacantes y tan peligrosos para los defensores.
Existen varios métodos que pueden usarse para detectar su presencia, como:
- Comparar una versión verificada benigna de la aplicación web con la versión de producción (y analizar las discrepancias)
- Monitoreo del tráfico web en busca de anomalías
- Detección basada en firmas (puede funcionar para detectar shells web populares que se han modificado mínimamente)
- Monitoreo de flujos de red inesperados
- Uso de detección y respuesta de punto final (EDR) y herramientas de registro como Microsoft Sysmon o Auditd (en sistemas Linux) para detectar anormalidades de linaje de procesos o llamadas al sistema
La NSA ha establecido un repositorio de GitHub con herramientas y firmas que pueden ayudar a los defensores a implementar estas técnicas.
Finalmente, advierten las agencias, las organizaciones que encuentran un shell web en uno o más de sus sistemas deberían investigar qué tan lejos penetró el atacante dentro de la red.
Fecha actualización el 2021-04-27. Fecha publicación el 2020-04-27. Categoría: malware Autor: Oscar olg Mapa del sitio Fuente: helpnetsecurity Version movil