Como ya hemos indicado en anteriores ocasiones el contar con un software actualizado es primordial para evitar fallos de seguridad y estabilidad.

En este caso nos centramos en phpMyAdmin, herramienta gracias a la cual podemos gestionar nuestras bases de datos MySQL con un entorno gráfico desde el navegador.

La vulnerabilidad de la que vamos a hablar podrá afectar a aquellos que trabajen con una versión inferior a  la 3.2.4, la versión más actual es la 3.3.5

La vulnerabilidad de la que le estamos informando ya fue anunciada en un boletín de seguridad de Debian el pasado mes de Abril. Dicha vulnerabilidad permite la ejecución remota de código en el servidor.

¿Cómo han explotado esta vulnerabilidad? Bien, esta vulnerabilidad está siendo explotada por diferentes botnets que lo que hacen es subir un bot dañino al servidor llamado “dd_ssh“, el cual podrá ser ejecutado desde la raíz. Las acciones que realiza este bot son las de realizar ataques SSH de fuerza bruta desde diferentes direcciones IP aleatorias indicadas desde el bot maestro.

Cuando se lanzan estos ataques de fuerza bruta se puede observar, revisando los logs de acceso, que se realiza una gran cantidad de solicitudes HTTP hacia el servidor desde diferentes IPs de Asia y Europa Oriental, lo que realizan estas solicitudes es la consulta de la versión de phpMyAdmin. Estos ataques son similares a un ataque DDoS pero además, una vez que detectan lo que buscan, que la versión es vulnerable, inyectan el código.

Una vez que detectan que la versión es vulnerable y que el código ha sido inyectado lo que sucede es que en el directorio /tmp aparecen los ficheros /tmp/vm.c y /tmp/dd_ssh, tras esto se inicia el servicio dd_ssh. Si desde línea de comandos ejecutásemos el comando “ps” aparecería el proceso dd_ssh corriendo. Por lo tanto la primera acción que deberemos hacer será la de matar el correspondiente proceso y acto seguido eliminar el contenido malicioso de tmp, es decir, eliminar /tmp/vm.c y /tmp/dd_ssh. Una vez realizadas estas acciones tendremos que modificar las contraseñas de acceso así como actualizar a la versión más reciente de phpMyAdmin.

Decir además que se ha de tener muy en cuenta que el acceso desde el navegador a phpMyAdmin ha de estar protegido con usuario y contraseña. Hemos de pensar que la información que se almancena en una base de datos es crítica y no se puede dejar abierto el acceso a esta información y mucho menos a la gestión de la misma.

Por ello es altamente necesaria la actualización de phpMyAdmin y proteger el acceso.

Adicionalmente a esta información indicarles que además de realizar dicha actualización para mejorar la seguridad y estabilidad de su sitio puede hacer uso de sistemas adicionales de seguridad (limitar el número de conexiones, .htaccess, utilización de contraseñas seguras, Captcha, …).

Según informes de WPSecurityLock, durante los últimos días, sitios web creados mediante WordPress han sido hackeados. Parece ser que el ataque ha afectado a proveedores americanos de hosting como DreamHost, GoDaddy, Bluehost y Media Temple.

Las páginas afectadas han sido infectadas con scripts que instalan malware en los sistemas de los visitantes y evitan que navegadores como Firefox y Google Chrome señalen una alerta cuando los usuarios intentan acceder a la web infectada. Cuando el robot de búsqueda de Google encuentra el código, la página responde mostrando un código no malicioso.

Actualmente, expertos están investigando que agujero de seguridad han utilizado para realizar el ataque. Hay diferentes opiniones que no aseguran si el agujero afecta a todas las versiones de WordPress o sólo a versiones antiguas del popular CMS. Como siempre, desde nerion recomendamos tener actualizadas las versiones de sus aplicaciones a la última.

En esta web se puede consultar un método efectivo para desinfectarse del ataque.

Los ataques sufridos por Google supuestamente desde China a finales del pasado año robaron el software de contraseñas que gestiona el acceso de los usuarios a varios servicios web de la compañía. De momento, las cuentas de Gmail no han sido afectadas.

Según New York Times, una de las consecuencias de estos ataques contra Google se ha localizado en el sistema de contraseñas denominado Gaia, que permite a un usuario acceder a múltiples servicios de Google con un solo login. Pese a todo, este software, conocido como Single-Sign On, todavía es utilizado por la compañía y únicamente se había mencionado al público durante una conferencia hace unos años.

Con respecto a las cuentas de correo electrónico, las contraseñas de los usuarios de Gmail no parecen haber sido afectadas, pero sí existe una pequeña posibilidad de que los hackers puedan encontrar alguna vulnerabilidad en la información que robaron.

Cuando Google sufrió los ataques en diciembre del año pasado, desvela The New York Times, los hackers tuvieron acceso al ordenador de un empleado de Google en China, mediante el cual accedieron, eventualmente, a una base de software utilizada por los desarrolladores de Google en California. Además, los hackers también entraron en un directorio interno llamado Moma, que contiene información sobre las tareas de trabajo de cada empleado de la compañía.

nerion informa de ataques masivos con sitios web basados en programación con lenguaje ASP

En los últimos días se han detectado ataques masivos contra sitios web con el objetivo de manipular su funcionalidad y contenido. Una vez comprometidas, las paginas Web manipuladas redirigirán a sus visitantes a sitios web maliciosos expresamente diseñados para descargar e instalar todo tipo de códigos maliciosos en el ordenador que podrán permitir al atacante su control.

Se trata de ataques de tipo inyección SQL, aprovechando una vulnerabilidad en el Internet Information Server (IIS), provocada por una errónea programación del código ASP (Active Server Pages).

Estos ataques masivos están apoyados en herramientas automáticas con las que logran infectar gran número de sitios web en poco tiempo. El número total de páginas comprometidas a día de hoy ronda los 1’5 millones, aunque muchas de ellas ya han sido o están siendo corregidas.

Recomendamos a todos los webmasters que tengan sus páginas ASP alojadas en servidores IIS comprobar, lo antes posible, si sus páginas web han podido verse afectadas. Un síntoma claro de la infección puede ser la existencia de código javascript externo desconocido y que apunte a alguno de los dominios indicados en el siguiente listado:

-Listado de dominios maliciosos:

http://alerta-antivirus.inteco.es/documentos/ListadoDominios.pdf

De cara a los usuarios finales, para evitar infecciones, aconsejamos seguir las recomendaciones básicas que siempre se deben adoptar ante incidentes de seguridad:

- Utilizar software de seguridad como antivirus, cortafuegos, antiespias, etc.

- Tener actualizadas todas las aplicaciones de nuestro sistema, sobre todo sistema operativo y navegador, con los últimos parches de seguridad.

- Utilizar por defecto cuentas limitadas de usuario -no de administrador- con lo que limitaremos en gran medida los efectos de una posible infección.

Usuarios con conocimientos técnicos más avanzados pueden optar por deshabilitar el javascript en el navegador de manera temporal o instalar alguna extensión, como NoScript que permita tener un control más exhaustivo sobre la ejecución de secuencias de comandos.

En INTECO-CERT se trabaja en la identificación de algunos de los dominios .es que puedan estar afectados por este tipo de ataques. Una vez localizados, contacta con las entidades afectadas para tratar de solucionar este incidente.