Agência de Segurança Nacional dos Estados Unidos emitiu comunicado de segurança nesta semana, alertando as empresas a procurar shells em servidores internos e voltados para a web
A Agência de Segurança Nacional dos Estados Unidos (NSA, na sigla em inglês) e a Direção de Sinais da Austrália (ASD) emitiram comunicado de segurança nesta semana, alertando as empresas a procurar shells em servidores internos e voltados para a web. Os shells da web são uma das formas mais populares de malware na atualidade. O termo “shell da web” refere-se a um programa ou script mal-intencionado instalado em um servidor invadido.
Os shells da web fornecem uma interface visual que os hackers podem usar para interagir com o servidor invadido e seu sistema de arquivos. A maioria dos shells vem com recursos para permitir que hackers renomeiem, copiem, movam, editem ou carreguem novos arquivos em um servidor. Eles também podem ser usados para alterar as permissões de acesso a um arquivo e diretório ou arquivar e fazer download (roubar) dados do servidor.
Veja isto
NSA coloca Ghidra em código aberto
NSA aprova uso de solução da Unisys para mais de 20 países
Os hackers instalam shell da web explorando vulnerabilidades em servidores ou aplicativos web, tais como CMS (sistema de gerenciamento de conteúdo), plug-ins do CMS, temas do CMS, sistemas de relacionamento com clientes (CRMs), intranets ou outros aplicativos corporativos.
Os shells da web podem ser escritos em qualquer linguagem de programação. Isso permite que hackers os ocultem dentro do código de qualquer site sob nomes genéricos — como index.asp ou uploader.php —, o que torna quase impossível a detecção por um operador humano sem a ajuda de um firewall ou um scanner de malware da web.
Em um relatório publicado em fevereiro deste ano, a Microsoft disse que detecta cerca de 77 mil shells da web ativos diariamente, tornando-os um dos tipos de malware mais predominantes atualmente.
No entanto, muitas empresas não entendem completamente o perigo de ter um shell da web instalado em seus sistemas. Eles basicamente atuam como backdoors (portas dos fundos, em tradução livre, usadas para o criminoso para driblar a autenticação ou criptografia em um sistema) e precisam ser tratados com a máxima importância e urgência.
Em um comunicado de segurança publicado nesta semana, a NSA e a ASD aumentaram a conscientização sobre esse vetor de ataque frequentemente ignorado.
“Os shells da web podem servir como backdoors persistentes ou como nós de retransmissão para direcionar comandos de invasores para outros sistemas”, disseram as duas agências. “Os atacantes frequentemente encadeiam shells da web em vários sistemas comprometidos para direcionar o tráfego através de redes, como de sistemas voltados para a internet a redes internas”.
As duas agências publicaram um relatório conjunto de 17 páginas [PDF], que contém ferramentas para ajudar os administradores de sistemas a detectar e lidar com esses tipos de ameaças. O comunicado inclui:
• Scripts para comparar um site de produção com uma imagem em bom estado;
• Splunk consultas para detectar URLs anômalas no tráfego da web;
• Uma ferramenta de análise de log dos Serviços de Informações da Internet (IIS);
• Assinaturas de tráfego de rede para shells comuns da web;
• Instruções para identificar fluxos de rede inesperados;
• Instruções para identificar invocações anormais de processo nos dados do Sysmon [drive de serviço do Windows];
• Instruções para identificar invocações anormais de processo com o Auditd [que ajuda a rastrear ações executadas em um sistema];
• Regras HIPS, lista de regras adicionadas automaticamente e definidas pelo usuário para bloquear alterações em diretórios acessáveis pela web;
• Lista de vulnerabilidades de aplicativos da web comumente exploradas.
Embora todos os conselhos e ferramentas gratuitas incluídas no comunicado conjunto sejam ótimos, é preferível e recomendado que os administradores de sistema corrijam os sistemas antes de passarem a procurar hosts já comprometidos. A lista da NSA e da ASD de software de servidor comumente explorado é um bom lugar para começar a aplicar patches, pois esses sistemas foram fortemente direcionados nos últimos meses.
A lista inclui vulnerabilidades em ferramentas populares como Microsoft SharePoint, Microsoft Exchange, Citrix, Atlassian Confluence, WordPress, Zoho ManageEngine e Adobe ColdFusion. “Esta lista não pretende ser completa, mas fornece informações sobre alguns casos frequentemente explorados”, disseram a NSA e a ASD. “As organizações são incentivadas a corrigir rapidamente os aplicativos da web voltados à internet e os servidores internos da web, a fim de combater os riscos das vulnerabilidades ‘n-day'”.
