Como ya hemos indicado en anteriores ocasiones el contar con un software actualizado es primordial para evitar fallos de seguridad y estabilidad.

En este caso nos centramos en phpMyAdmin, herramienta gracias a la cual podemos gestionar nuestras bases de datos MySQL con un entorno gráfico desde el navegador.

La vulnerabilidad de la que vamos a hablar podrá afectar a aquellos que trabajen con una versión inferior a  la 3.2.4, la versión más actual es la 3.3.5

La vulnerabilidad de la que le estamos informando ya fue anunciada en un boletín de seguridad de Debian el pasado mes de Abril. Dicha vulnerabilidad permite la ejecución remota de código en el servidor.

¿Cómo han explotado esta vulnerabilidad? Bien, esta vulnerabilidad está siendo explotada por diferentes botnets que lo que hacen es subir un bot dañino al servidor llamado “dd_ssh“, el cual podrá ser ejecutado desde la raíz. Las acciones que realiza este bot son las de realizar ataques SSH de fuerza bruta desde diferentes direcciones IP aleatorias indicadas desde el bot maestro.

Cuando se lanzan estos ataques de fuerza bruta se puede observar, revisando los logs de acceso, que se realiza una gran cantidad de solicitudes HTTP hacia el servidor desde diferentes IPs de Asia y Europa Oriental, lo que realizan estas solicitudes es la consulta de la versión de phpMyAdmin. Estos ataques son similares a un ataque DDoS pero además, una vez que detectan lo que buscan, que la versión es vulnerable, inyectan el código.

Una vez que detectan que la versión es vulnerable y que el código ha sido inyectado lo que sucede es que en el directorio /tmp aparecen los ficheros /tmp/vm.c y /tmp/dd_ssh, tras esto se inicia el servicio dd_ssh. Si desde línea de comandos ejecutásemos el comando “ps” aparecería el proceso dd_ssh corriendo. Por lo tanto la primera acción que deberemos hacer será la de matar el correspondiente proceso y acto seguido eliminar el contenido malicioso de tmp, es decir, eliminar /tmp/vm.c y /tmp/dd_ssh. Una vez realizadas estas acciones tendremos que modificar las contraseñas de acceso así como actualizar a la versión más reciente de phpMyAdmin.

Decir además que se ha de tener muy en cuenta que el acceso desde el navegador a phpMyAdmin ha de estar protegido con usuario y contraseña. Hemos de pensar que la información que se almancena en una base de datos es crítica y no se puede dejar abierto el acceso a esta información y mucho menos a la gestión de la misma.

Por ello es altamente necesaria la actualización de phpMyAdmin y proteger el acceso.

Adicionalmente a esta información indicarles que además de realizar dicha actualización para mejorar la seguridad y estabilidad de su sitio puede hacer uso de sistemas adicionales de seguridad (limitar el número de conexiones, .htaccess, utilización de contraseñas seguras, Captcha, …).

Hoy en día, los cibercriminales prefieren pasar desapercibidos y están, sigilosamente, tomando el poder de las páginas Web más vulnerables, como parte de un complejo proceso en la economía sumergida.

Symantec ha publicado su informe bianual sobre las actuales amenazas de Internet y en él aparecen algunos datos más que relevantes. Una de las tendencias que ha constatado ha sido el cambio en la motivación de los hackers. “Han pasado de realizar intentos de ataques para conseguir mayor notoriedad a realizar actividades verdaderamente delictivas y a cometer fraude”, explica Grant Geyer, vicepresidente de Symantec Managed Security Services.

Pero, ¿cómo están trabajando hoy en día los cibercriminales? ¿Y qué necesitamos saber sobre cómo estar al día en lo que se refiere a estrategia de seguridad? Aquí ofrecemos algunas pinceladas sobre las últimas noticias en lo que a actividad maliciosa en la Web se refiere.

Los botnets encabezan las actividades de los hackers. Los últimos datos recogidos por Symantec confirman que la Web es actualmente una herramienta integral para aquellos criminales que buscan hacerse con dinero de manera fraudulenta. Los sistemas infectados por malware son utilizados como parte de una red de robots que se emplean en toda una batería de propósitos inapropiados.

“Los bots o robots, pueden hacer ataques de denegación de servicio, pueden ser utilizados para mandar spam, para enviar datos de phising, en definitiva, pueden utilizarse para multitud de propósitos delictivos. Estamos viendo cada vez más que, tanto corporaciones como usuarios finales, están siendo atacados por bots con propósitos maliciosos”, aclara Geyer.

Tal y como confirma Geyer, los bots están siendo utilizados como un modelo de negocio, parte de la economía sumergida que funciona y está organizada como cualquier gran corporación. “Si quieres tener acceso, si quieres que una de estas redes mande un mensaje de spam, puedes comprar tiempo en ellas, incluso tienen tarifas establecidas. Las redes bot también son utilizadas para robar datos confidenciales. De hecho, los números de las tarjetas de crédito se venden on-line. Y también hay precios de mercado establecidos para este negocio”.

Mientras que los primeros hackers querían hacer mucho ruido atacando a cuantos más equipos mejor, mostrando su ingenio e inteligencia a la hora de hacer caer una red, hoy en día, los criminales no desean ser conocidos. Sus ataques son realizados de un modo metódico y cauteloso.

“Cuanto más sigilosa y precavido seas a la hora de hacerte con los sistemas, menos posiiblidades tienes de que te atrapen. Si no te cogen, puedes utilizar los sistemas de los que te has apropiado para utilizarlos para toda una batería de propósitos”.

Geyer ha comentado que las páginas Web de los Estados Unidos están sistemáticamente en el objetivo de los ataques mundiales. China es normalmente el segundo y muchos países de Europa del Este están entre los diez primeros.

En los primeros años de la publicación del informe, el número de vulnerabilidades en los sistemas operativos y en el software se incrementaba anualmente. Las buenas noticias es que esto ha empezado a cambiar en los últimos 18 meses, según aclara Geyer. Los fabricantes se han hecho más proactivos sobre los parches de seguridad. Sin embargo, el otro lado de la moneda es que los hackers han adoptado otras técnicas con las que aprovecharse de los sistemas y se están centrando en vulnerabilidades más específicas de las páginas Web.

“Este tipo de vulnerabilidades son un problema mucho más difícil de resolver”, tal y como explica Geyer, “no puedes simplemente enviar un parche y proteger así a todo el mundo si es problema es específico del sitio Web”. Las grandes empresas eran el objetivo principal de estos ataques hace una década, pero ahora, el usuario final es el blanco de sus ataques. Las páginas Web de phishing están creciendo exponencialmente, como también lo hacen nuevas variantes de malware.

“En los últimos 18 meses, el incremento es simplemente asombroso. Se están lanzando muchos ataques y las empresas están pasando por unos tiempos difíciles. Mucho de esto es la misma pieza de malware que está siendo cambiado para convertirse en una variante de otras piezas ya antiguas. Esto simplemente muestra lo sencillo que es escribir malware y cómo existe un beneficio económico en todo esto. Está mostrándose como un buen modelo de negocio para la gente que se mueve en la economía sumergida”, concluye este responsable.

Fuente: PC World