Entre los hackers parece estar de moda perjudicar los servidores web, dado que colocan scripts que rápida y automáticamente añaden links a páginas HTML estáticas vía un iFrame (también llamado marco incorporado) o un código que trata de explotar las PC de los visitantes en línea mediante descargas tramposas (sin que lo advierta en interesado).
Ahora, un ataque descubierto recientemente, llamado Apmod, va un paso más adelante de esta técnica de ataque, ya que no solo infecta las páginas web estáticas. “El ataque estuvo fuera de lo normal pues el blanco de la infección fue el servidor web mismo –escribió en un blog Cathal Mullaney, ingeniero de Respuestas de Seguridad de Symantec–. Cuando un servidor web queda infectado, como en este caso, cada usuario que solicita cualquier página web a ese servidor vulnerado es una posible víctima. No es igual cuando las páginas web son las infectadas con código malicioso, pues éstas solo ponen en riesgo de infección al usuario que las visite.”
Este nuevo ataque (que se había visto de vez en cuando pero que no parecía haberse extendido) ahora ataca al popular Apache Web Server, que corre sobre Windows y Linux. De acuerdo con Netcraft, el Apache Web Server ahora se usa para hospedar unos 204 millones de sitios web.
El ataque es una innovación en el sentido de que usa las capacidades de filtro incorporadas de Apache. Un filtro, según lo define Apache, “es un proceso que se aplica a los datos que son enviados o recibidos por el servidor” y puede usarse para añadir funcionalidad sin reescribir el código base. Muchos sitios web usan esa capacidad para añadir anuncios ‘al vuelo’ en las páginas web, al tiempo que rastrean la entrega de ese anuncio (con el fin de generar ingresos vía agencias de publicidad).
“Hemos descubierto un módulo malicioso que realiza pasos idénticos para incluir links a sitios web maliciosos –dijo Mullaney–. Todas las acciones desempeñadas por éste se realizan usando código legítimo proporcionado por la API de Apache, específicamente para este tipo de generación de contenido ‘al vuelo’. No es una explotación o un hackeo del código base de Apache, sino que el módulo usa la funcionalidad inherente de Apache para infectar a los usuarios y trata de redirigirlos hacia la página web maliciosa.”
Cosa interesante, el módulo no trata de infectar cada página web que ofrece. Más aún, incluye un número de capacidades anti-detección, como vigilar si se dan señales de acceso del administrador o de procesos iniciados por éste, y evita entregar malware a los motores de búsqueda.
Además, cuando sirve una página web infectada con links a sitios web maliciosos, el módulo entonces pone en una lista negra la dirección IP del usuario para evitar entregar múltiples páginas web infectadas, lo que podría hacer que sus actividades se detectaran más fácilmente. Entonces solicita a un servidor de comandos y controles que provea un nuevo iFrame, lo que impide aún más la detección.
Por todo lo anterior, como bien advirtió Mullaney, “constituye una amenaza compleja y potencialmente difícil de detectar”. El experto de Symantec explicó: “Como el módulo inicuo contiene cierto número de técnicas de evasión es posible que un administrador del sistema tarde en percatarse de la infección. Una ulterior dificultad para detectar la amenaza es el carácter ‘al vuelo’ de la infección. Como en el disco no hay páginas infectadas, no es posible detectar nada en las páginas HTML almacenadas.”
No obstante, hay una buena noticia, y es que para instalar dicho módulo el atacante requeriría un acceso a nivel administrador. “Sólo si un atacante ha recabado el nivel de control requerido para instalar este módulo en un servidor web, es muy probable que los problemas se vuelvan mucho más preocupantes”, dijo.
Cabe advertir que pudieran presentarse, en el corto plazo, técnicas de ataque generalizadas. Si bien ya existían, es probable que comiencen a usarse con mayor frecuencia contra sitios web (como inyecciones a nivel SQL, que según sospechan los expertos es como los atacantes recientemente infectaron más de 100 millones de cuentas de usuarios en Sony).
InformationWeek
De amigos!
-
-
What shouldn’t you do when blogging?Hace 3 años
-
¿Te supone el Año Nuevo un reto?Hace 4 años
-
-
el control…Hace 14 años
-
-
-
Sígueme...
