Está usted visitando una publicación en la hemeroteca de CSIRT-CV.
Para acceder al portal y contenido actual, visite https://www.csirtcv.gva.es
08/05/2013
Descobrisca sofisticada "puerta trasera" del servidor web Apache
Detecció proactiva de l’empresa de les amenaces d’ESET, conjuntament amb els especialistes en seguretat web de Sucuri, ha detectat una nova amenaça que afecta els servidors web Apache, els més coneguts i usats en el món.
Linux/Cdorked.A és una porta de darrere altament avançada que s’usa per a dirigir el tràsit cap a llocs maliciosos allotjats en estos servidors, que contenen el paquet d’explotar Blackhole. És, fins ara, el més sofisticat amb què s’han trobat els experts.
El sistema d’alerta primerenca ESET LiveGrid va reportar centenars de llocs compromesos. “La porta de darrere Linux/Cdorked.A només deixa com a rastre en el disc dur un arxiu ‘httpd’ modificat, el mateix servici que utilitza Apache. Tota la informació relacionada amb este troià es guarda en la memòria compartida del servidor, fa difícil la detecció i obstaculitza l’anàlisi”, declarà Pierre-Marc Bureau, d'Intel·ligència i Seguretat Gerent del Programa d’ESET.
A més, esta porta de darrere seguix altres passos per a evitar ser detectada, tant en el servidor compromés com en els navegadors de les computadores que el visiten. “L’atacant envia la configuració de la porta de darrere usant peticions HTTP que són ofuscades i no són registrades per Apache, i reduïx la probabilitat de detectar-lo amb ferramentes de monitoratge convencionals. La configuració és emmagatzemada en la memòria, la qual cosa significa que la informació de comandament i control de l’amenaça no és visible”, agregà Righard Zwienenberg, Investigador Senior Fellow d’ESET.
De kit explotar Blackhole és un paquet popular que utilitza exploits coneguts i s’aprofita de noves vulnerabilitats zero dies per a prendre control del sistema quan l’usuari visita un lloc compromés per l’amenaça. L’accés a un servidor web infectat no implica simplement reencaminar a un lloc maliciós: una galeta és implantada en el navegador, de manera que la porta de darrere no torna a dirigir l’usuari al mateix lloc.
Així mateix, i per a afectar l’administrador del sistema, la porta de darrere comprova el referent de l’usuari (d’on prové) i si este és reencaminat des d’una URL que continga determinades paraules claus com ara “admin“ o ”cpanel“, el troià no redirigix la persona cap a continguts maliciosos.
Des d’ESET es recomana als administradors de sistemes que revisen els servidors i verifiquen que no estan afectats per esta amenaça.