Shells web: ¿Cómo podemos deshacernos de ellos y por qué la aplicación de la ley no es realmente la respuesta?

Microsoft ha visto recientemente muchos ataques de hackers que utilizan los llamados shells web. El número de ataques de shell web entre agosto de 2020 y enero de 2021 se duplicó en comparación con el mismo período del año anterior. Pero, ¿qué son exactamente y cómo puedes combatirlos?

Microsoft registró un total de 144.000 ataques de shell web entre agosto de 2020 y enero de 2021. Los shells web son programas muy ligeros (scripts) que los hackers instalan para atacar sitios web afectados o servicios orientados a la web o preparar un ataque futuro. Un shell web permite a los hackers ejecutar comandos estándar en servidores web que han sido comprometidos. Los shells web utilizan código como PHP, JSP o ASP para este propósito.

Cuando los shells web se instalan correctamente, los hackers pueden ejecutar los mismos comandos que los administradores del sitio web. También pueden ejecutar comandos que roban datos, instalan código malicioso y proporcionan información del sistema que permite a los piratas informáticos penetrar más profundamente en las redes.

Difícil de descubrir

Los shells web también son una forma permanente de una «puerta trasera» que continúa afectando a los servidores comprometidos. Son notoriamente difíciles de descubrir, en parte porque tienen diferentes formas de ejecutar comandos. Los hackers también ocultan estos comandos en cadenas de agentes de usuario y parámetros que se intercambian entre los atacantes y los sitios web atacados. Además, los shells web se pueden apilar en archivos multimedia u otros formatos de archivo no ejecutables.

Para saber si los shells web están presentes en un servidor, hay algunos indicadores que pueden ayudarlo: conexiones desconocidas en los registros del servidor, uso anormal alto del servidor, archivos con una marca de tiempo anormal y muchas otras indicaciones. Pero incluso con estos indicadores sigue siendo muy difícil descubrirlos.

Consejos para combatir los ataques de shell web

Para combatir los ataques que utilizan shells web, hay una serie de soluciones posibles. Estos incluyen el descubrimiento de estos programas mediante la identificación y resolución de vulnerabilidades y configuraciones erróneas en aplicaciones web y servidores web mediante el uso de la gestión de amenazas y vulnerabilidades.

Además, los ataques se pueden prevenir mediante una segmentación adecuada de la red perimetral, de modo que los servidores web atacados no causen más daños en las redes. Además, las empresas siempre deben instalar protección antivirus en los servidores, ya que esto puede evitar que el malware se instale en las máquinas. Ya hemos sido informados de casos en los que solo se implementó protección de correo electrónico en estos servidores. Por supuesto, no ofrecen protección contra el malware en el servidor real o contra ciertos tipos de ataques dirigidos.

Además, las empresas deben auditar y ver los registros de sus servidores web con mayor frecuencia. Esto les dará más conciencia de qué sistemas podrían estar expuestos a Internet.

¿Aplicación de la ley al rescate?

Durante el ataque Hafnium y otros ataques recientes de MS Exchange, entre otras cosas, se utilizaron shells web para instalar ransomware en los servidores comprometidos y para robar datos. Ahora, de repente, el FBI tomó alguna medida por sí mismo. Hace un par de semanas, el servicio de investigación estadounidense anunció que había eliminado los shells web de cientos de servidores comprometidos a través de una orden judicial. Los shells web eliminados pertenecían a un grupo que aprovechó las vulnerabilidades de Exchange en una etapa temprana para obtener acceso a las redes de organizaciones y empresas estadounidenses. Cada uno de estos shells web tenía una ruta de acceso y un nombre de archivo únicos, lo que hace que sea potencialmente más difícil para los propietarios de servidores encontrarlos y eliminarlos.

En esta iniciativa, encabezada por el FBI, se limpiaron cientos de servidores de Microsoft Exchange infectados con malware en los Estados Unidos. Sin embargo, el hecho de que las organizaciones afectadas solo se dieron cuenta de esto después del hecho, ha obtenido reacciones mixtas de expertos en seguridad y compañías de seguridad.

«El FBI está irrumpiendo en las computadoras estadounidenses para eliminar el malware, y está violando la ley para hacerlo», dijo el denunciante Edward Snowden. Los expertos dijeron a SecurityWeek que la acción establece un precedente peligroso de dar a las agencias de aplicación de la ley un amplio permiso para irrumpir en las computadoras sospechosas de estar comprometidas. Sin embargo, también hay expertos que están de acuerdo con la acción del FBI, ya que protege a empresas con posiblemente ninguna buena formación técnica.

Utilidad cuestionable

Un investigador de seguridad con el alias The Grugq afirma en una reacción que los servidores de Exchange infectados que se han limpiado probablemente se verán comprometidos nuevamente. También hay preguntas legales sobre el método que se está utilizando. «Esta orden es una herramienta muy poderosa y potencialmente peligrosa que le da permiso al gobierno para acceder a las computadoras de personas inocentes para eliminar archivos sin previo aviso», dice Kurt Opsahl, del movimiento de derechos civiles estadounidense EFF, a The Washington Post.
Si bien hay muchas dudas sobre si esta acción fue éticamente razonable en este caso, la buena noticia es que el FBI al menos está informando a todos los propietarios y administradores de los servidores de los que ha eliminado los shells web. Si los datos de contacto son públicos, el servicio de investigación de los Estados Unidos envía un correo electrónico. Si no se conocen los datos de contacto, el FBI informó al proveedor del propietario en cuestión, quien a su vez alertó al cliente infectado y limpiado. La pregunta sigue siendo si una acción como esta habría sido posible en la UE.
Por supuesto, aunque los shells web se han eliminado correctamente, las vulnerabilidades subyacentes en el servidor de Exchange no se han parcheado. También es posible que otro malware todavía esté presente en el sistema. Las empresas definitivamente deben verificar sus servidores en busca de malware. El hecho de que el FBI haya eliminado una cosa en particular del sistema comprometido no constituye una declaración de salud limpia para la máquina en cuestión.

Un dilema ético

El asunto deja una pregunta incómoda persistente, que se remonta a la declaración del Sr. Opsahl: Si se permite a las fuerzas del orden intervenir y hacer cambios en un sistema, ¿no deja esto abierto muchas opciones potencialmente indeseables? ¿Podría ser esto un precedente para dar carta blanca a todos y cada uno de los investigadores para que simplemente vayan y reúnan supuestas pruebas de una manera «sin restricciones», incluso si no se ha cometido ningún delito? O peor aún, ¿plantar subrepticiamente evidencia allí? Este es un camino peligroso para bajar. Hay mucho potencial de daño irreparable, no solo a los datos que manejan las empresas y que se les confiaron, sino también a la confianza de las personas en las autoridades, lo que en algunas áreas no es bueno para empezar.

Este avance no podría haber llegado en peor momento. Alemania, siempre un defensor incondicional de la privacidad acaba de dar luz verde a una nueva pieza de la ley nacional que obligaría a los proveedores a ayudar a las fuerzas del orden a plantar software de vigilancia en los dispositivos de un sospech oso, incluso si no se ha cometido ningún delito (todavía). Toda oposición y crítica bien fundada fue derribada, los borradores se presentaron con solo días para examinar y proporcionar comentarios. Esto sin duda tendrá un efecto de señalización

Enlace: Shells web: Deshacerse de ellos, y algunas consideraciones éticas | G DATOS (gdatasoftware.com) Eddy Willems