|
|
Hackers estarían preparando ataques a servidores seguros
basados en Apache |
La pasada semana, la compañía británica de servicios de Internet, Netcraft,
advirtió de un aumento en los escaneos al puerto 443, que podrían indicar el
comienzo de una posible ola de ataques a servidores dedicados al comercio
electrónico.
|
|
Por Angela Ruiz
[email protected]
El puerto 443 es utilizado por el protocolo SSL (Secure Sockets Layer), una
tecnología que proporciona comunicación segura de datos mediante el cifrado y
descifrado de los mismos. SSL es ampliamente utilizado por aplicaciones y
servidores que requieran un vínculo seguro, como los relacionados con el
comercio electrónico.
El aumento de escaneo a este puerto empezó el pasado 15 de julio, un día antes
de la revelación pública de un fallo crítico en "mod_ssl", un módulo utilizado
por los servidores Apache para la implementación de SSL.
En el pasado, Netcraft observó esta misma clase de actividad poco tiempo antes
de una oleada de ataques a servidores SSL, que incluía a la mayoría de los
sitios más importantes relacionados con el comercio electrónico.
En esa oportunidad los atacantes usaron una vulnerabilidad en la implementación
SSL de Microsoft para instalar en los servidores vendidos por esa compañía, un
código malicioso conocido como "Scob" o "Download.ject", el que luego permitió
descargar un troyano en las computadoras de los usuarios con equipos
vulnerables.
El trabajo de los atacantes se hizo más fácil por la amplia distribución del
código que explotaba el fallo. Al pasado 9 de julio, más de 100 servidores de
Internet, todavía distribuían este código, según un reporte de la empresa de
seguridad Websense.
"SSL encripta información sensible para las transacciones del comercio
electrónico, y su presencia puede indicar un blanco muy valioso para piratas que
procuran robar estos datos financieros", dice Rich Miller en el reporte de
Netcraft.
Esta vez, la actividad de escaneos, podría haber sido incentivada por el
descubrimiento de un fallo en el módulo "mod_ssl", utilizado en servidores
Apache que corren OpenSSL para proporcionar SSL y TLS (Transport Layer Security),
otro protocolo de seguridad afectado, de acuerdo con Netcraft.
Según el "Mod_ssl Project", quienes revelaron la vulnerabilidad el pasado 16 de
julio junto con la publicación del parche, el agujero afecta a servidores Apache
1.3.x solamente si los mismos están ejecutando "mod_ssl" junto a otro módulo
llamado "mod_proxy". Bajo ciertas configuraciones del servidor, un atacante
remoto podría ejecutar código en forma arbitraria con los mismos privilegios de
un usuario local.
El vendedor ha proporcionado un parche en el enlace que se da al final de este
artículo, y otros distribuidores de Linux, incluyendo Gentoo y Debian, han
empezado a distribuir los parches personalizados para sus respectivas versiones.
Organizaciones de seguridad, incluyendo el US CERT y Secunia, han emitido avisos
sobre este problema.
Los servidores SSL a menudo no son actualizados con los parches de seguridad más
críticos, según Netcraft. En una reciente inspección, la firma detectó que
muchos servidores aún están corriendo las versiones más viejas y vulnerables de
OpenSSL.
Aunque la información revelada a la red por muchos servidores puede ser
sospechosa, Netcraft dijo que "es demasiado probable que muchos de los sitios
que parecen estar corriendo las versiones más recientes y vulnerables de OpenSSL,
estén realmente sin actualizar".
Más información:
[ANNOUNCE] mod_ssl 2.8.19 for Apache 1.3.31
http://marc.theaimsgroup.com/?l=apache-modssl&m=109001100906749&w=2
Surge in Scans Seeking SSL Servers
http://news.netcraft.com/archives/2004/07/22/surge_in_scans_seeking_ssl_servers.html
http://www.vsantivirus.com/26-07-04.htm
|
Enlaces relacionados |
|
|
Biblioteca del Conocimiento: Documentos y Estudios sobre
Linux |
|
domingo, 25 mayo 2014 |
|
|