Casos de ataques encontrados en los logs de acceso

 (nishtahir.com)
1 puntos por GN⁺ 2024-01-29 | 1 comentarios | Compartir por WhatsApp

Análisis de los logs de acceso de los atacantes

  • Si expones una IP a internet pública, el tráfico malicioso llega de inmediato.
  • Uno de los tipos de ataque más frecuentes es el ataque de traversal de directorios para buscar el archivo .env.
  • Los atacantes también buscan otros archivos comunes, como credenciales y archivos de configuración de AWS, repositorios de Git, etc.
  • También hay ataques que buscan directorios comunes que un administrador podría exponer por error.
  • Los atacantes también intentan encontrar herramientas comunes de acceso remoto y configuración.

Shellshock

  • Se detectaron ataques que explotan la vulnerabilidad Shellshock.
  • Esta vulnerabilidad apunta a servidores web que ejecutan scripts CGI usando versiones vulnerables de bash.
  • El atacante puede ejecutar comandos arbitrarios insertando una función en la variable de entorno HTTP_USER_AGENT.

Inyección en LuCI

  • Se detectaron ataques dirigidos a la interfaz web LuCI de routers OpenWRT.
  • El ataque inyecta comandos que intentan descargar y ejecutar un script de shell alojado en un servidor remoto.

Inyección en Zyxel

  • Se detectaron ataques que parecen aprovechar vulnerabilidades disponibles en dispositivos Zyxel.
  • El ataque usa zhttpd para insertar comandos de shell en la URL.

Opinión de GN⁺:

  1. Este artículo enfatiza la importancia de la seguridad al mostrar la variedad de ciberataques contra IP públicas y los riesgos que implican.
  2. También muestra que vulnerabilidades antiguas como Shellshock siguen siendo explotadas, y recuerda la importancia de actualizar los sistemas de forma continua y aplicar parches de seguridad.
  3. El hecho de que los atacantes apunten a herramientas y directorios comunes subraya la importancia de exponer solo los servicios mínimos necesarios y, cuando haga falta, agregar autenticación y restricciones por IP.

Lecturas relacionadas

1 comentarios

 
GN⁺ 2024-01-29
Opiniones de Hacker News
  • Es interesante que los atacantes vigilen los certificados recién emitidos para encontrar objetivos. A las pocas horas de obtener un certificado de Let's Encrypt, el servidor recibió cientos de intentos de conexión. La lección es que hay que reforzar la seguridad de los servidores nuevos lo antes posible antes de exponerlos a internet.
  • En el pasado, al administrar sitios autoalojados, revisaba los logs de acceso y usaba un IDS para marcar intentos de ataque. Pero dejé de revisar logs y de pagar los costos de un IDS. En cambio, conviene encontrar contenido útil que resuma vulnerabilidades y ataques comunes para aplicarlo a la administración del servidor, y priorizar ciclos rápidos de parcheo. Los logs son muy útiles para diagnosticar problemas después de que ocurren.
  • El autor aclara que no es un experto en seguridad, y señala que el primer ejemplo del artículo no es path traversal sino descubrimiento de credenciales y configuración. El path traversal se refiere a una técnica en la que el atacante sale de la raíz web o hace que el servidor entregue archivos fuera de los directorios normales.
  • Es importante ejecutar fail2ban en el servidor y agregar cárceles personalizadas para detectar ataques específicos de la funcionalidad que ofrece el sitio. Ya es hora de comprobar si la configuración predeterminada de fail2ban sigue siendo efectiva.
  • El problema es que muchos ataques provienen de estados hostiles. Aunque es polémico, bloquear los rangos de IP de países con los que no se puede hacer negocios puede ser útil. Con este método fue posible bloquear toda exploración de un servicio nuevo.
  • Durante alrededor de un año, al operar un servidor HTTP/S de diseño propio, recibí mucho tráfico de atacantes en los puertos abiertos (22, 80, 443), pero no tuve tiempo de analizar qué intentaban hacer realmente. Este artículo aporta mucha información.
  • Si estás recibiendo este tipo de logs en AWS, recomiendan ayudarte colocando AWS WAF delante de tu VPC. No cuesta demasiado y puede prevenir muchos problemas.
  • Con base en años de experiencia administrando WAF de varias empresas, aconsejan mover el DNS a Cloudflare y aplicar algunas reglas de WAF al sitio para ayudar a resolver el problema. Un WAF no es una cura para todo, así que la aplicación también debe estar endurecida para resistir ataques.
  • En el webhost que administra, los intentos de ataque más comunes están relacionados con WordPress, pero el autor no lo mencionó. Quizá el autor aloja contenido de WordPress y por eso no pudo distinguir entre tráfico legítimo y ataques.
  • En lugar del término "path traversal", la expresión correcta es "enumeración de directorios". Traversal normalmente significa salir de la raíz web usando rutas como '.. / .. /'.