¡Shellshock bugs¡
Alerta de amenazas detectadas: Aplicaciones Web bajo amenaza activa desde hace 10 años.
Los errores presentados por “ShellshockBugs” tienen una clasificación de gravedad mas alta correspondiente a la cifra de 10 en la escala.
Shell Unix Bash
En la interfaz de línea de comandos predeterminada en todos los sistemas operativos basados en Linux, Unix y Mac presentan alteraciones. Si es aprovechado de manera exitosa podría permitirle al atacante haga que Bash ejecute una serie de comandos arbitrarios obteniendo de este modo acceso no autorizado a muchos servicios conectados a internet entre los cuales los servidores web que utiliza Bash para procesar solicitudes sean los mas expuestos por la importancia de los requerimientos o solicitudes hacia este.
Vulnerabilidad bajo un ataque activo.
Las 3 vulnerabilidades principales a las que se dirigen actualmente los ataques “Shellshock” se muestran en la siguiente gráfica, en la cual destacan como las vulnerabilidades pueden mantenerse activas durante años sin ser detectadas en la cadena de suministro de información de software.
La constante actualización o la administración de parches de seguridad no estaría funcionando, debido a que un dispositivo podría estar ejecutando la última versión de firmware y aun así ser vulnerable, esto debido a que las personas que crearon este software no actualizaron las bibliotecas en la cadena de suministro de información.
Instalación de variantes de la Bonet Mirai
Objetivo principal
CVE-2019-7481 ha sido atacado desde el 2021 intentando instalar variantes de la “Bonet Mirai” comprendiendo una gran cantidad de dispositivos conectados y utilizados principalmente para lanzar ataques DDos.
Aparición.
En agosto de 2016 “Mirai” apareció por primera vez, los especialistas han podido observar múltiples de variantes en el panorama de ciber amenazas, este se dirige principalmente a dispositivos basados en Linux. La mayoría de los ataques comienza con un script de Shell que a su vez descarga varios archivos binarios de malware específicos en la plataforma listos para ejecutarse; el dispositivo una vez que se encuentra infectado pasa a formar parte de una creciente red de bots.
Variantes de “Mirai”
Las dos primeras variantes que tuvieron un registro tenían como objetivo la interfaz web LuCl para enrutadores basados en OpenWRT. Este tipo de interfaz administrativa no debe estar expuesta en la red debido a la información delicada que puede obtenerse.
Una variante fue utilizada por los atacantes que deseaban ejecutar un script de Shell conocido como “sorry.sh”
En la actualidad este script ya no está disponible, según fuentes de URLhaus ha sido denunciado y eliminado, sin embargo, el análisis deja en claro que su fuente raíz parte de la variante “Mirai/Gafgyt”
Existen variables que aun se encuentran activas, los atacantes que utilizan esta variable eliminan todo lo que hay en el directorio raíz para proceder a descargar un script de Shell en /tmp.
El script de Shell, cuando es ejecutado descarga varios archivos binarios específicos de la plataforma y luego los ejecuta en orden. Los archivos descargados cambian de nombre mediante una serie creciente de insultos.
Se anexa la imagen censurando dichos insultos.
Una variante con base de Mirai/Gafgyt tenia como objetivo crear una vulnerabilidad para ser ejecutados una serie de comandos via remota en los enrutadores Zyxel. La entrada de URLhaus demostró que este también tenía como base “Mirai” (huhu.mips) aunque en la actualidad se encuentra fuera de línea. Sin embargo, al observarse las direcciones IP actualmente entrega malware con un nuevo nombre (skyljne.mips).
Sumado a los “Shellshock” se ha podido visualizar atacantes que utilizan las vulnerabilidades para instalar criptomineros, en el 2022 mediante un exploit la entonces nueva Atlassian Confluence salía a relucir. Mientras que en febrero del 2024 se han podido registrar intentos activos de vulnerar ThinkPHP para instalar mineros XMRig.
Uno de los primeros URL visualizados es el siguiente:
Decodificando la base64 parcial, encontramos el siguiente comando:
Otro ejemplo de esto es el siguiente:
Esta decodificación nos arroja lo siguiente:
Un análisis de este script de Shell en ANY.RU muestra que también descarga un binario redtail.
El nombre del minero esta identificable como XMRig, actualmente se encuentra fuera de línea.
Mantén tus aplicaciones seguras.
El problema de seguridad es la cadena de suministro de software por lo que se convierte en una tarea sumamente compleja de resolver, la implementación de una nueva versión parecería ser la respuesta más simple, sin embargo, el software actual podría presentar una vulnerabilidad de igual manera por lo que la solución real sería el análisis periódico para contrarrestar estas situaciones.
Hace no mas de 10 años los atacantes buscaban y utilizaban principalmente vulnerabilidades mas nuevas, como la conocida como “día cero” para intentar acceder a la red, conforme el paso de los años los atacantes trabajan de manera mas inteligente dejando la intensidad del contacto en menor medida y siendo mas fuerte los impactos provocados por estos. Se tiene en mente que han podido utilizar vulnerabilidades antiguas que por suerte para ellos no cuentan con parches.
Uno de los consejos mas antiguos que hasta la actualidad sigue siendo sumamente relevante es el tener una defensiva con estructura de una “cebolla” mediante el uso de “capas” de forma defensiva para su red y aplicaciones previniendo ataques antes de que puedan llegar a su aplicación.
La protección contra DDoS sigue siendo fundamental, los atacantes aprovechan vulnerabilidades antiguas con objetivo de aplicaciones más recientes.
Si desean conocer más al respecto de la información al respecto les compartimos el enlace de nuestro sitio web así como nuestro datos de contacto para generar alguna consulta y/o cita sin ningún costo ni compromiso:
JR