Hackers atacan servidores

Hackers chinos están utilizando una herramienta automatizada para explotar las vulnerabilidades que se conocen en Apache Struts, para instalar puertas traseras en los servidores que alojan aplicaciones desarrolladas con el framework.

Apache Struts  es un popular framework -mantenido por la Apache Software Foundation- de código abierto para desarrollar aplicaciones web basadas en Java.

 

Este año se publicaron varias actualizaciones de seguridad para Struts, incluyendo una el mes pasado que hacía frente a un grupo de vulnerabilidades muy críticas que podrían permitir que hackers remotos ejecutaran comandos arbitrarios en los servidores web que corran aplicaciones construidas con este framework.

 

Desde entonces los hackers han tomado nota y ahora se encuentran explotando de manera activa estas fallas, de acuerdo a investigadores de la firma de seguridad Trend Micro, quienes encontraron una herramienta en foros chinos clandestinos que automatiza los ataques contra las versiones vulnerables de Struts.

 

La herramienta explota las siguientes vulnerabilidades de Struts para comprometer los servidores: S2-016 (CVE-2013-2251), que fue parchada en Struts 2.3.15.1 el 16 de julio; S2-013 (CVE-2013-1966), parchada en Struts 2.3.14.1 el 22 de mayo; S2-009 (CVE-2011-3923), parchada en Struts 2.3.1.2 el 22 de enero del 2012; y S2-005 (CVE-2010-1870), parchada en Struts 2.2.1 el 16 de agosto del 2010.

 

La existencia de la herramienta de ataque fue confirmada el 19 de julio, tres días después de que se revelara la más reciente vulnerabilidad al público, sostuvo Noriaki Hayashi, investigador senior de amenazas de Trend Micro, el miércoles en un post.

 

“Hemos observado ataques contra blancos asiáticos usando esta herramienta de hacking, lo cual indica que estas fallas en Struts están siendo activamente explotadas por los potenciales actores de las amenazas”, indicó.

 

Una vez que los hackers ingresan a un servidor Linux o Windows usando la herramienta de ataque para Struts, pueden ejecutar comandos preconfigurados para extraer información sobre el sistema operativo, estructura del directorio, usuarios activos y configuración de la red del servidor.

 

La herramienta permite a los atacantes plantar lo que se denomina web shell que actúa como una puerta trasera, dándoles un acceso continuo a los servidores para ejecutar otros comandos y usarlos como convenga, sostuvo Hayashi.

 

La web shell instalada por la herramienta se llama JspWebShell y su código ha sido escrito usando JavaServer Pages (JSP).

 

Las web shells se encuentran disponibles en los foros de hackers y permiten a los atacantes buscar y robar información de servidores comprometidos, señaló el experto.