CIBERSEGURIDAD

Ataques relacionados con shellshock detectados

0 84 1 minuto de lectura


A las pocas horas de que se revelara la vulnerabilidad Shellshock / Bash, se detectaron ataques dirigidos a ella en la naturaleza para descargar malware adicional.

Según ThreatLabZ de Zscaler investigar team, tras la explotación exitosa de la vulnerabilidad CVE-2014-6271, un atacante puede descargar e instalar un binario ELF malicioso en el sistema Linux de destino. El malware se conecta a un servidor de comando y control predeterminado en un puerto específico y espera más instrucciones del atacante.

Otros informes de ataques fueron detectados por otros laboratorios de amenazas. Según Jaime Blasco de AlienVault, comenzó a ejecutar un nuevo módulo en sus honeypots al notificarse la falla, y observó “varios accesos” en las últimas 24 horas.

Dijo: «La mayoría de ellos son sistemas que intentan detectar si el sistema es vulnerable y simplemente envían un comando ping a la máquina del atacante». También dijo que el honeypot recibió otro ataque interesante de un archivo con un script PERL que parece ser un bot de IRC reutilizado que se conecta a un servidor de IRC y espera comandos.

Blasco dijo: “Tan pronto como la máquina infectada se conecta al servidor IRC (185.31.209.84) en el puerto 443, se une a un canal en el servidor IRC. Parece que hay 715 usuarios (probablemente víctimas) conectados al servidor en este momento. Tan pronto como nuevas víctimas se unen al servidor, los atacantes ejecutan el comando «uname -a» para determinar el sistema operativo que se está ejecutando en la víctima, así como «id» para verificar el nombre de usuario actual. Desde que nuestro honeypot se unió al servidor, más de 20 nuevas víctimas se han convertido en parte de la botnet «.

Wolfgang Kandek, CTO de Qualys, dijo: “Nuestro firewall de aplicaciones web tiene las firmas necesarias para detectar y bloquear ataques de Shellshock contra sitios web. La detección es muy confiable y está activada por defecto en las configuraciones «normal» y «agresiva» en la página de configuración WAF.

“Los escáneres Qualys no se consideran explotables a través de la vulnerabilidad BASH. Aunque los escáneres Qualys tienen instalada una versión de Bash vulnerable a CVE-2014-6271, el escáner no expone interfaces de escucha y servicios a la red, cerrando los vectores de ataque comunes discutidos en el lanzamiento de CVE-2014-6271. Además, Bash no se utiliza en ninguno de los mecanismos de comunicación que utiliza el escáner: envío de análisis, actualizaciones de software y supervisión. Actualizaremos Bash en el escáner en el próximo ciclo de actualización del sistema «.

Check Point dijo en un actualizar que había lanzado una firma IPS para proteger los entornos de los clientes. Decía: “La firma permite a las organizaciones agregar una capa de protección a su red durante el tiempo que necesitan para actualizar sus sistemas con los parches proporcionados por los proveedores. Esta protección detectará y bloqueará los intentos de aprovechar esta vulnerabilidad «.

Publicaciones relacionadas

Fujitsu lanza servicios integrales de GDPR para ayudar a las organizaciones a cumplir con las nuevas regulaciones de protección de datos de la UE

Cygilant, empresa de detección de amenazas, se enfrenta a un ataque de ransomware

El virus de la serpiente golpea a los usuarios fuera de Ucrania

El informe de defensa de Microsoft describe cómo los delincuentes se están volviendo más sofisticados

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Botón volver arriba
Cerrar