Video: Olmecas: Antiguos habitantes del pantano y el popal (Noviembre 2024)
No se obsesione con las vulnerabilidades de día cero y los ataques altamente sofisticados y dirigidos. Es más probable que los atacantes exploten fallas antiguas y conocidas en las aplicaciones web, por lo tanto, enfóquese en parches básicos e higiene de seguridad.
Una vulnerabilidad parcheada en 2010 y otra en 2009 se encontraban entre las diez vulnerabilidades web más frecuentemente atacadas en abril, dijo a SecurityWatch Barry Shteiman, director de estrategia de seguridad de Imperva. A pesar de su edad, los atacantes privados e industrializados continúan atacando estas vulnerabilidades, porque estas campañas de ataque son "lucrativas". El ataque no requiere comprar o desarrollar costosas hazañas de día cero "como las antiguas que están ampliamente disponibles funcionan igual de bien", dijo Shteiman.
Los atacantes entienden que las vulnerabilidades antiguas son el fruto de la seguridad de las aplicaciones web. Los atacantes pueden ser sofisticados si lo necesitan, y hay herramientas a su disposición para diseñar campañas complejas. Pero, ¿por qué molestarse cuando las personas se quedan con versiones obsoletas de las aplicaciones web o los administradores no mantienen un cronograma de parches regular para las aplicaciones? El problema es aún más frecuente entre aplicaciones ampliamente utilizadas, como software de foros, sistemas de gestión de contenido e incluso herramientas de comercio electrónico, dijo Shteiman.
Sistemas en riesgo
Todas las vulnerabilidades apuntadas en abril fueron ataques de inyección, como la inyección de archivos y SQL, y todas han sido parcheadas. La falla de 2010 explotó un problema de administración de privilegios en ZeusCMS 0.2 y el error de 2009 fue una inyección SQL en Zen Cart 1.3.8 y anteriores. "Las vulnerabilidades nunca parecen morir", dijo Shteiman.
Si los atacantes sabían de un problema en un CMS y ese CMS se había instalado 10 millones de veces, buscar sitios que ejecuten esa versión del software "tiene sentido", dijo Shteiman. Requiere un poco de juicioso Google-fu y nada más.
Imperva proporcionó una tabla de las diez principales vulnerabilidades apuntadas, y tres cosas aparecen. La vulnerabilidad "más reciente" en la lista es de 2013. Como se puede ver en el puntaje CVSS, las vulnerabilidades en sí mismas no son defectos sofisticados y altamente críticos. Y las hazañas en sí mismas no son tan complejas.
Ha habido muchos ataques masivos contra el popular software CMS, incluidos WordPress y Joomla. Con suficientes sistemas vulnerables, es mucho más barato y fácil para los atacantes buscar esos sistemas en lugar de crear ataques de día cero.
Aumento en el mundo de inyección
Los atacantes simplemente usan vectores de ataque existentes y recientemente descubiertos una y otra vez, dijo Shteiman. Es por eso que la inyección SQL y las secuencias de comandos entre sitios siguen siendo vectores de ataque populares. El problema SQLi se resolvió hace diez años, pero las tasas de ataque siguen siendo altas. Las secuencias de comandos entre sitios representaron el 40 por ciento de los ataques en los últimos tres meses y la inyección de SQL como el 25 por ciento, dijo.
"Si tenemos una cura para el cáncer, se espera ver una disminución en las tasas de mortalidad. Pero ese no es el caso de la inyección de SQL", dijo Shteiman.
Una rápida mirada a Exploit-db.com confirma las observaciones de Shteiman. De los siete exploits enumerados en las aplicaciones web, cinco trataban de alguna manera con software estándar, como WordPress, AuraCMS o la plataforma de negocios sociales Sharetronix. Los ataques de inyección XSS y SQL también se enumeraron con frecuencia.
Los administradores, ya sea que estén administrando sitios que tienen millones de usuarios cada día o un sitio con una presencia en línea más pequeña, deben asegurarse de parchear regularmente su software. Muchos desarrolladores de CMS han simplificado el proceso de actualización dentro de su software, y existen herramientas para ayudar a identificar todas las aplicaciones que se han instalado. Las funciones que no se utilizan deben estar deshabilitadas.
Claro, los ataques de día cero y los ataques dirigidos dan miedo. Pero si los atacantes buscan sus datos y su sitio (y las probabilidades son altas de que alguien lo haga), no lo haga fácil al tener agujeros en su software. Parche, ejecute herramientas de evaluación y busque comportamientos sospechosos. La vigilancia es la clave.
