La ejecución remota de código (RCE) es la ejecución de código arbitrario en un sistema informático donde el atacante no tiene acceso directo a la consola. Al explotar las vulnerabilidades, un pirata informático remoto puede tomar el control total del sistema. Este es el caso de las brechas de seguridad en Confluence y Azure.
Por ejemplo, cualquier usuario que tenga acceso a un punto final con una versión de software vulnerable puede ejecutar comandos arbitrarios a través de una solicitud HTTP sin necesidad de un encabezado de autorización. La respuesta esperada a esta solicitud sería una página de respuesta 401 "No autorizada". Sin embargo, el usuario puede ejecutar comandos con privilegios de "raíz". Estas amenazas ya fueron identificadas durante el ataque a Equifax en 2017.
Dos vulnerabilidades descubiertas recientemente son los últimos desarrollos en este tipo de ataques: la vulnerabilidad de inyección OGNL de Atlassian Confluence y una vulnerabilidad que afecta a Azure Open Management Infrastructure (OMI). Los investigadores de seguridad de Barracuda analizaron los ataques que intentaron explotar estas vulnerabilidades durante un período de 45 días en agosto y septiembre de 2021 e identificaron picos de ataques que se originaron en más de 500 direcciones IP de atacantes únicas. A continuación, se analizan más de cerca estas vulnerabilidades, los patrones de ataque recientes y las soluciones que las organizaciones pueden usar para protegerse contra este tipo de ataques.
Vulnerabilidades de Confluence y Azure en detalle
1. Vulnerabilidad de inyección OGNL de Atlassian Confluence
Atlassian reveló por primera vez la vulnerabilidad de inyección OGNL de Atlassian Confluence el 25 de agosto de 2021. Poco tiempo después, se agregó a la Base de datos nacional de vulnerabilidades (CVE-2021-26084). Esta vulnerabilidad permite a los actores de amenazas enviar una solicitud "POST" utilizando el motor de plantillas de Confluence sin un encabezado de autorización. Esto le da al actor de amenazas acceso "root" al sistema. Los atacantes pueden inyectar código Java a través de los parámetros "queryString" y "linkCreation".
Atlassian anunció que "todas las versiones de Confluence Server y Data Center anteriores a las versiones corregidas se ven afectadas por esta vulnerabilidad". Al analizar los datos desde finales de agosto hasta finales de septiembre, los investigadores de seguridad de Barracuda determinaron que los ataques a las vulnerabilidades de Confluence se han disparado y siguen siendo altos. niveles, ya que muchos usuarios de Confluence todavía tienen una versión vulnerable del software.
2. Vulnerabilidad en Azure Open Management Infrastructure (OMI)
Azure lanzó CVE-2021-38647 el 15 de septiembre de 2021. Esta vulnerabilidad afecta a Azure Open Management Infrastructure (OMI). Azure OMI es un agente de software que se preinstala e implementa silenciosamente en entornos de nube. Esta instalación silenciosa ahora pone en riesgo a los clientes de Azure hasta que actualicen sus sistemas a la última versión de OMI.
Los atacantes apuntan a estos sistemas enviando un mensaje HTTPS especialmente diseñado a uno de los puertos que escuchan el tráfico OMI (puertos 1270/5985/5986), lo que le da al atacante acceso inicial a la computadora. Los comandos enviados por el atacante son ejecutados por el servicio SCXcore, lo que permite al atacante aprovechar las vulnerabilidades. El atacante puede emitir un comando sin un encabezado de autorización a la computadora, en la que el servidor OMI confía y otorga al atacante acceso "root" al sistema. Microsoft explicó en su blog: "ExecuteShellCommand RunAsProvider ejecuta cualquier comando de UNIX/Linux a través del shell /bin/sh".
Los atacantes apuntan precisamente a la vulnerabilidad
Al analizar los datos de los sistemas de Barracuda desde mediados de septiembre, los investigadores de seguridad de Barracuda notaron un fuerte aumento en la cantidad de atacantes que intentaban aprovechar esta vulnerabilidad. Después del pico inicial del 18 de septiembre, la cantidad de intentos de ataques disminuyó, pero este pico continuó y luego se estabilizó con el tiempo.
El análisis de Barracuda de los ataques durante el período de 45 días en agosto y septiembre descubrió 550 direcciones IP de atacantes únicas que intentaban aprovechar la vulnerabilidad de Atlassian Confluence y 542 direcciones IP de atacantes únicas que intentaban aprovechar la vulnerabilidad de explotación de Azure OMI. Hubo múltiples atacantes detrás de cada IP, lo que significa que la cantidad de ataques fue significativamente mayor que la cantidad de IP. Los investigadores descubrieron esta información utilizando las huellas dactilares de los clientes y otras técnicas.
El análisis muestra la mayoría de las direcciones IP de los atacantes
Como se puede ver en el mapa de calor anterior, la mayoría de las direcciones IP de los atacantes se encuentran en los EE. UU., incluido Alaska. Esto podría deberse al hecho de que la mayoría de las granjas de servidores se encuentran en estas regiones. También se han enviado ataques desde países como Rusia, Reino Unido, Polonia e India. Los atacantes de todo el mundo intentan explotar estas vulnerabilidades y las organizaciones deben mantenerse a la vanguardia para proteger sus aplicaciones web.
Las empresas deben proteger las aplicaciones web
Debido al creciente número de vulnerabilidades en las aplicaciones web, cada vez es más complejo defenderse de los ataques. Sin embargo, ahora existen soluciones completas que protegen las aplicaciones web de la explotación de estas vulnerabilidades. Las soluciones WAF/WAF-as-a-Service, también conocidas como servicios WAAP (Protección de aplicaciones web y API), pueden ayudar a proteger las aplicaciones web al proporcionar las últimas soluciones de seguridad en un único producto fácil de usar.
Con muchos empleados trabajando de forma remota y muchas aplicaciones en línea, la necesidad de una solución WAF-as-a-Service o WAAP nunca ha sido tan grande. Por lo tanto, las empresas deben asegurarse de tener una solución que incluya mitigación de bots, protección DDoS y seguridad API.
Acerca de Barracuda Networks
Barracuda se esfuerza por hacer del mundo un lugar más seguro y cree que todas las empresas deben tener acceso a soluciones de seguridad para toda la empresa habilitadas para la nube que sean fáciles de comprar, implementar y usar. Barracuda protege el correo electrónico, las redes, los datos y las aplicaciones con soluciones innovadoras que crecen y se adaptan a lo largo del viaje del cliente. Más de 150.000 XNUMX empresas en todo el mundo confían en Barracuda para poder concentrarse en hacer crecer su negocio. Para obtener más información, visite www.barracuda.com.
Sólo en una cuarta parte de las empresas alemanas la dirección asume la responsabilidad de la seguridad informática. Especialmente en empresas más pequeñas ➡ Leer más
Cada año, el Día Mundial de la Copia de Seguridad, el 31 de marzo, sirve como recordatorio de la importancia de tener copias de seguridad actualizadas y de fácil acceso. ➡ Leer más
Cada vez más personas utilizan dispositivos móviles tanto en la vida cotidiana como en las empresas. Esto también reduce el riesgo de "descarga móvil". ➡ Leer más
Ya no hay actualizaciones para los sistemas operativos Windows 7 y 8. Esto significa abrir brechas de seguridad y, por lo tanto, valer la pena y ➡ Leer más
La seguridad colaborativa ha aumentado significativamente en el último año. En el sector público se reportaron un 151 por ciento más de vulnerabilidades que el año anterior. ➡ Leer más
Una encuesta sobre confianza digital mostró que los bancos, la atención médica y el gobierno son los sectores en los que más confían los consumidores. Los medios de comunicación- ➡ Leer más
