-
Vulnerabilidad CMS PHPNuke,Mambo,Joomla
De acuerdo a las estadísticas publicadas por el website www.zone-h.org, el cracker peruano conocido como Cyberalexis, destapó la caja de Pandora al ocupar las páginas web de la Oficina Nacional de Emergencia y del Ministerio de Hacienda de Chile, reemplazando la página principal con un mensaje en el que se destacaba "propiedad de peruanos". Como respuesta, el grupo de crackers chileno Byond Hackers Team incrementó el número de ataques hacia servidores web peruanos, haciéndose con más de una veintena de websites de dominio .pe en tan solo un par de días.
Entre las víctimas de los crackers se contaban speedy.terra.com.pe, 1977.com.pe, americatel.com.pe, infopuc.pucp.edu.pe, así como diversas páginas de la Universidad Nacional de Ingeniería (UNI), Prompyme y las web de algunos gobiernos regionales.
Seguridad ante todo
La mayoría de servidores peruanos afectados corrían servidores Linux y BSD, por lo cual cabría preguntarse acerca de las medidas de seguridad que están aplicando los administradores de sistemas a sus servidores tipo UNIX. Breno Colom, gerente general de la empresa de seguridad informática Aureal Systems (aureal.com.pe), manifiesta que el problema no radica directamente en el sistema operativo utilizado, sino en el descuido del parchado de las aplicaciones que corren sobre el sistema, y cuyos agujeros pueden ser aprovechados por un cracker para ganar acceso al mismo.
Colom señala que en muchos de los casos, los crackers logran acceso a los servidores capturando los usuarios y contraseñas a través de la red, el especialista destaca que en nuestro país es muy difundido el uso de protocolos de transferencia de información no encriptada, como Telnet, SMTP o FTP (Protocolo de transferencia de archivos), el uso de dichos protocolos facilita la captura de claves por parte de crackers que pudieran vulnerar routers o interceptar tráfico de Internet.
Colom recomienda a los administradores de red utilizar protocolos encriptados para la transferencia de información hacia sus servidores. "Existen dos subsistemas de SSH que permiten establecer enlaces seguros: el SFTP (secure FTP) y el SCP (Secure Copy)". Por otro lado, el ejecutivo sugiere poner pasos intermedios entre los servidores de producción y de prueba, brindando acceso al servidor de producción solo a los administradores de red, y dando acceso a los servidores de prueba a los diseñadores y webmaster.
Conociendo al enemigo
En el caso particular de los ataques de crackers chilenos, Colom destaca que no se trata de un ataque que busque destruir o robar información, sino que lo hacen para ganar puntos tomando posesión de websites. Este tipo de ataque conocido como defacement, consiste en el cambio del índice o página principal por otra diseñada por el atacante. En esta modalidad de intrusión, el cracker busca cambiar una o varias páginas Web en un servidor para demostrar que ganó acceso. Colom manifiesta que en algunos casos el cracker restaura el website a su estado original, y que afortunadamente en estos ataques no se ha producido destrucción o robo de información.
¿Pero cómo es que opera un cracker para adueñarse de las páginas? Breno explica que un atacante ejecuta una serie de instrucciones automatizadas por un script, que se encarga de hacer un mapeo reverso de DNS (lookup reverse DNS), identificando un rango de direcciones IP asignadas a un país. Con esto el atacante identificará las direcciones IP que tienen relación con las páginas web de empresas de una región. Luego el cracker procederá a utilizar herramientas como Nessus para identificar las vulnerabilidades que afectan a un servidor. En este punto, el especialista recalca que el cracker utilizará otras máquinas en forma remota para cubrir su rastro.
Tras obtener un registro de vulnerabilidades presentes en los servidores, el cracker identificará los blancos más fáciles de vulnerar. Los ataques se ejecutan haciendo uso de los agujeros de seguridad presentes en las aplicaciones o el sistema operativo de un servidor. Colom destaca que existen herramientas de dominio público que pueden ser usadas para atacar vulnerabilidades conocidas, con lo cual el acceso a un servidor puede no requerir conocimientos especializados. Recomendamos a nuestros lectores leer la sección Fuente Abierta de nuestra edición del 15 de diciembre, en la que se detallaron numerosas herramientas para realizar análisis de seguridad en redes.
Inseguridad: El nombre del juego
Algunos de los websites afectados por los ataques hacían uso de sistemas de administración de contenidos (CMS) basados en PHP. Páginas administradas con paquetes como PHP Nuke, Mambo y Joomla fueron tomadas por los crackers, aprovechando agujeros de seguridad en sus sistemas. Colom destaca que PHP es fácil de programar y puede ser tentador utilizar este tipo de sistemas, pero su uso exige tomar precauciones frente a las vulnerabilidades que afectan a este tipo de herramientas.
Breno explica que es necesario verificar y validar los datos que ingresan a través de la web antes que se incorporen al sistema.
"Técnicas como inyección SQL aprovechan la falta de verificación y validación de las entradas para explotar directamente la base de datos". Una vez más, Colom resalta que es necesario actualizar constantemente los sistemas CMS para evitar intrusiones.
El ejecutivo afirma que dada la popularidad en el uso de sistemas PHP, debiera auditarse el código por terceros para evitar agujeros de seguridad. Además resalta que existen módulos de seguridad como el MOD Security (módulo de Apache) y el Hardened PHP, que agregan una capa de seguridad intermedia entre los clientes que acceden a la página web y el código que ha programado un especialista en PHP. Estos módulos se encargan de la validación y revisión de los datos de entrada, para asegurar que aún frente a un código que es potencialmente vulnerable, se pueda minimizar el impacto.
Fuentes: zone-h elcomercio
Entre las víctimas de los crackers se contaban speedy.terra.com.pe, 1977.com.pe, americatel.com.pe, infopuc.pucp.edu.pe, así como diversas páginas de la Universidad Nacional de Ingeniería (UNI), Prompyme y las web de algunos gobiernos regionales.
Seguridad ante todo
La mayoría de servidores peruanos afectados corrían servidores Linux y BSD, por lo cual cabría preguntarse acerca de las medidas de seguridad que están aplicando los administradores de sistemas a sus servidores tipo UNIX. Breno Colom, gerente general de la empresa de seguridad informática Aureal Systems (aureal.com.pe), manifiesta que el problema no radica directamente en el sistema operativo utilizado, sino en el descuido del parchado de las aplicaciones que corren sobre el sistema, y cuyos agujeros pueden ser aprovechados por un cracker para ganar acceso al mismo.
Colom señala que en muchos de los casos, los crackers logran acceso a los servidores capturando los usuarios y contraseñas a través de la red, el especialista destaca que en nuestro país es muy difundido el uso de protocolos de transferencia de información no encriptada, como Telnet, SMTP o FTP (Protocolo de transferencia de archivos), el uso de dichos protocolos facilita la captura de claves por parte de crackers que pudieran vulnerar routers o interceptar tráfico de Internet.
Colom recomienda a los administradores de red utilizar protocolos encriptados para la transferencia de información hacia sus servidores. "Existen dos subsistemas de SSH que permiten establecer enlaces seguros: el SFTP (secure FTP) y el SCP (Secure Copy)". Por otro lado, el ejecutivo sugiere poner pasos intermedios entre los servidores de producción y de prueba, brindando acceso al servidor de producción solo a los administradores de red, y dando acceso a los servidores de prueba a los diseñadores y webmaster.
Conociendo al enemigo
En el caso particular de los ataques de crackers chilenos, Colom destaca que no se trata de un ataque que busque destruir o robar información, sino que lo hacen para ganar puntos tomando posesión de websites. Este tipo de ataque conocido como defacement, consiste en el cambio del índice o página principal por otra diseñada por el atacante. En esta modalidad de intrusión, el cracker busca cambiar una o varias páginas Web en un servidor para demostrar que ganó acceso. Colom manifiesta que en algunos casos el cracker restaura el website a su estado original, y que afortunadamente en estos ataques no se ha producido destrucción o robo de información.
¿Pero cómo es que opera un cracker para adueñarse de las páginas? Breno explica que un atacante ejecuta una serie de instrucciones automatizadas por un script, que se encarga de hacer un mapeo reverso de DNS (lookup reverse DNS), identificando un rango de direcciones IP asignadas a un país. Con esto el atacante identificará las direcciones IP que tienen relación con las páginas web de empresas de una región. Luego el cracker procederá a utilizar herramientas como Nessus para identificar las vulnerabilidades que afectan a un servidor. En este punto, el especialista recalca que el cracker utilizará otras máquinas en forma remota para cubrir su rastro.
Tras obtener un registro de vulnerabilidades presentes en los servidores, el cracker identificará los blancos más fáciles de vulnerar. Los ataques se ejecutan haciendo uso de los agujeros de seguridad presentes en las aplicaciones o el sistema operativo de un servidor. Colom destaca que existen herramientas de dominio público que pueden ser usadas para atacar vulnerabilidades conocidas, con lo cual el acceso a un servidor puede no requerir conocimientos especializados. Recomendamos a nuestros lectores leer la sección Fuente Abierta de nuestra edición del 15 de diciembre, en la que se detallaron numerosas herramientas para realizar análisis de seguridad en redes.
Inseguridad: El nombre del juego
Algunos de los websites afectados por los ataques hacían uso de sistemas de administración de contenidos (CMS) basados en PHP. Páginas administradas con paquetes como PHP Nuke, Mambo y Joomla fueron tomadas por los crackers, aprovechando agujeros de seguridad en sus sistemas. Colom destaca que PHP es fácil de programar y puede ser tentador utilizar este tipo de sistemas, pero su uso exige tomar precauciones frente a las vulnerabilidades que afectan a este tipo de herramientas.
Breno explica que es necesario verificar y validar los datos que ingresan a través de la web antes que se incorporen al sistema.
"Técnicas como inyección SQL aprovechan la falta de verificación y validación de las entradas para explotar directamente la base de datos". Una vez más, Colom resalta que es necesario actualizar constantemente los sistemas CMS para evitar intrusiones.
El ejecutivo afirma que dada la popularidad en el uso de sistemas PHP, debiera auditarse el código por terceros para evitar agujeros de seguridad. Además resalta que existen módulos de seguridad como el MOD Security (módulo de Apache) y el Hardened PHP, que agregan una capa de seguridad intermedia entre los clientes que acceden a la página web y el código que ha programado un especialista en PHP. Estos módulos se encargan de la validación y revisión de los datos de entrada, para asegurar que aún frente a un código que es potencialmente vulnerable, se pueda minimizar el impacto.
Fuentes: zone-h elcomercio
