La NSA comparte la lista de vulnerabilidades comúnmente explotadas para plantar shells net


NSA

Imagen: ZDNet

La Agencia de Seguridad Nacional de EE. UU. (NSA) y la Dirección de Señales de Australia (ASD) publicaron esta semana un aviso de seguridad que advierte a las compañías que busquen servidores web y servidores internos en busca de shells internet comunes.

Los shells net son una de las formas más populares de malware en la actualidad. El término «shell web» se refiere a un programa o script malicioso que está instalado en un servidor pirateado.

Los shells web proporcionan una interfaz visible que los hackers pueden usar para interactuar con el servidor pirateado y su sistema de archivos. La mayoría de los shells internet vienen con funciones que permiten a los hackers renombrar, copiar, mover, editar o cargar nuevos archivos en un servidor. También se pueden usar para cambiar los permisos de archivos y directorios, o archivar y descargar (robar) datos del servidor.

Los piratas informáticos instalan shells internet explotando vulnerabilidades en servidores o aplicaciones internet con conexión a Online (como CMS, complementos de CMS, temas de CMS, CRM, intranets u otras aplicaciones empresariales, and so on.).

Los shells web se pueden escribir en cualquier lenguaje de programación, desde Ir a PHP. Esto permite a los piratas informáticos ocultar shells net dentro del código de cualquier sitio web con nombres genéricos (como index.asp o uploader.php), lo que hace que la detección por parte de un operador humano sea casi imposible sin la ayuda de un firewall internet o un escáner de malware internet.

En un informe publicado en febrero de este año, Microsoft dijo que detecta alrededor de 77,000 shells world wide web activos diariamente, lo que convierte a estos shells world wide web en uno de los tipos de malware más frecuentes en la actualidad.

Los shells world-wide-web pueden actuar como puertas traseras en las redes internas

Sin embargo, muchas compañías no entienden completamente el peligro de tener un shell website instalado en sus sistemas. Los shells net, básicamente, actúan como puertas traseras y deben tratarse con la mayor importancia y urgencia.

En un aviso de seguridad publicado esta semana, la NSA y el ASD crearon conciencia sobre este vector de ataque a menudo ignorado.

«Los shells world-wide-web pueden servir como puertas traseras persistentes o como nodos de retransmisión para enrutar los comandos del atacante a otros sistemas», dijeron las dos agencias. «Los atacantes con frecuencia encadenan shells internet en múltiples sistemas comprometidos para enrutar el tráfico a través de redes, como desde sistemas con conexión a Internet a redes internas».

Las dos agencias han publicado un informe conjunto de 17 páginas (PDF) que contiene herramientas para ayudar a los administradores del sistema a detectar y tratar este tipo de amenazas. El aviso incluye:

  • Scripts para comparar un sitio web de producción con una imagen conocida
  • Splunk consultas para detectar URL anómalas en el tráfico web
  • Una herramienta de análisis de registro de Internet Information and facts Expert services (IIS)
  • Firmas de tráfico de red para shells net comunes
  • Instrucciones para identificar flujos de crimson inesperados
  • Instrucciones para identificar invocaciones de procesos anormales en los datos de Sysmon
  • Instrucciones para identificar invocaciones de procesos anormales con Auditd
  • Reglas de HIPS para bloquear cambios en directorios accesibles desde la website
  • Una lista de vulnerabilidades de aplicaciones internet comúnmente explotadas

Algunas de las herramientas mencionadas en el aviso también están disponibles. en el perfil GitHub de la NSA.

Si bien todos los consejos y las herramientas gratuitas incluidas en el aviso conjunto son excelentes, se prefiere y recomienda que los administradores del sistema apliquen parches a los sistemas antes de pasar a buscar hosts ya comprometidos. La lista de NSA y ASD de computer software de servidor comúnmente explotado es un buen lugar para comenzar a parchear, ya que estos sistemas se han enfocado fuertemente en los últimos meses.

La lista incluye vulnerabilidades en herramientas populares como Microsoft SharePoint, Microsoft Trade, Citrix, Atlassian Confluence, WordPress, Zoho ManageEngine y Adobe ColdFusion.

«Esta lista no pretende ser exhaustiva, pero proporciona información sobre algunos casos explotados con frecuencia», dijeron la NSA y el ASD.

«Se alienta a las organizaciones a aplicar parches a las aplicaciones world wide web internas y a World-wide-web rápidamente para contrarrestar los riesgos de las vulnerabilidades &#39n-day&#39».

nsa-web-shells-exploits.png "src =" https://zdnet1.cbsistatic.com/hub/i/2020/04/23/d5ed0c9e-7273-49fb-91b3-00730bd7f1e6/nsa-web-shells-exploits .png

Imagen: ZDNet



Enlace a la noticia unique