Actualidad

Contacto

Jueves, 20 Abril 2017 00:00

Struts, una de las ciberamenazas con mayor impacto de los últimos años

La vulnerabilidad descubierta a principios de año en Apache Struts, utilizada ampliamente en el desarrollo de aplicaciones web, está siendo el origen de infinidad de ataques a organizaciones de todo el mundo, incluida España. En InnoTec , grupo Entelgy, hemos observado en el último mes un incremento preocupante de las acciones que aprovechan esta vulnerabilidad para acceder a los sistemas de las víctimas, escalar privilegios y propagarse dentro de cada organización. Identificar todas las aplicaciones web que contengan este componente y actualizar a las nuevas versiones de Apache Struts, son los pasos básicos para atajar el problema de forma momentánea. No obstante, para acometer una política de seguridad a largo plazo, convendría disponer de un sistema de copias de seguridad, limitar los privilegios del usuario y, sobre todo, anticiparse y aplicar medidas de prevención, como auditorías periódicas y sistemas de monitorización que detecten las amenazas y vulnerabilidades antes de ser explotadas.

Desde que el pasado 29 de enero saliera a la luz la vulnerabilidad crítica en Apache Struts (entorno muy utilizado en el desarrollo de programas y aplicaciones web basados en Java), los ciberataques a todo tipo de organizaciones se han disparado a nivel mundial. A pesar de que esta vulnerabilidad fue subsanada en las nuevas versiones que Apache lanzó pocos días después de ser descubierta, desde el Centro Avanzado de Operaciones de Seguridad (SOC) de InnoTec, del grupo Entelgy, nuestros expertos de monitorización y respuesta a incidentes han detectado un alarmante número de ataques a organizaciones, públicas y privadas, en España y otros países en los que prestamos servicios.

Compañías multinacionales de tecnología y software de la talla de CISCO y VMware, y otro tipo de organismos de relevancia, como CRA (Canada Revenue Agency), han reconocido públicamente haber detectado ataques que han conseguido explotar las vulnerabilidades dentro de sus aplicaciones o sitios web programados con Struts. Y esto es sólo la punta del iceberg ya que el número de organizaciones que pueden ser objetivos potenciales de los ciberataques es extremadamente alto.

¿Por qué la vulnerabilidad Struts es tan peligrosa?

Para explicar por qué esta vulnerabilidad ha tenido un alcance tan amplio es necesario entender el uso extendido de Apache Struts para el desarrollo de aplicaciones y sitios web. Struts es una herramienta de soporte para el desarrollo de aplicaciones Web, bajo la plataforma Java que se instala sobre un servidor como Apache. Es un entorno de trabajo libre muy empleado entre los desarrolladores de software que permite construir sitios web y aplicaciones de forma ágil y acceder fácilmente a componentes para añadir nuevas funcionalidades. Precisamente su accesibilidad y sencillez han sido factores clave para convertirlo en uno de los entornos de código abierto más populares en la creación de aplicaciones comerciales.

Como en los casos de otras vulnerabilidades que afectan a componentes muy extendidos, los ciberatacantes intentan aprovecharse de esta debilidad y acceder al sistema a través de ella; es

decir, explotarla masivamente. Y lo hacen antes de que las organizaciones que, en muchas ocasiones no cuentan con un plan de prevención ante estas incidencias, se hayan percatado de la vulnerabilidad y actualicen todas las aplicaciones que pueden estar en riesgo (eso en el caso de que el fabricante o desarrollador lo haya actualizado). De hecho, otras vulnerabilidades de alcance similar han seguido siendo explotadas durante años sin que nadie actualice el software utilizado.

A la multiplicidad de objetivos de ataque se suma, además, la facilidad para explotar Struts. Con una simple solicitud web al servidor se puede tomar el control de la aplicación. Sin necesidad de comprobar la identidad del usuario, los ciberatacantes pueden acceder al sistema con privilegios, incluso, del administrador, si así está configurada la aplicación.

Canal para ataques masivos de malware y búsqueda de puntos débiles en los sistemas

Los investigadores de nuestros servicios de monitorización y respuesta a incidentes de seguridad están observando un volumen masivo de ataques que intentan explotar esta vulnerabilidad. En la mayoría de los casos, con dos objetivos claros: difundir malware y buscar otros puntos débiles que permitan ganar acceso a más privilegios y, por tanto, un mayor control de los sistemas y dispositivos de las organizaciones.

En el primero de los casos, los ciberatacantes están distribuyendo malware a través de múltiples formas, una de las últimas, introduciendo código para corromper los sistemas de los sitios web que usan componentes con Struts vulnerables, y de este modo eludir las medidas de protección y comprometer la seguridad de las organizaciones.

El segundo objetivo de los ataques es la búsqueda de otras vulnerabilidades que permitan escalar privilegios y acceder a información almacenada en los sistemas. Los cibercriminales están consiguiendo información de los usuarios que navegan por las páginas web y aplicaciones vulnerables, incluso llegando a acceder a otros sistemas de las organizaciones y obtener información confidencial como base de datos de clientes, números de cuentas bancarias, planes de negocio, etcétera.

¿Qué hacer para protegerse?

Ante cualquier tipo de ataque que pueda explotar esta vulnerabilidad, la principal acción que las organizaciones deben llevar a cabo es la identificación de todas las aplicaciones web que contengan componentes de Apache Struts y actualizarlas a las versiones 2.3.32 o 2.5.10.1. Conviene revisar los accesos del usuario que trabaja con Struts (si se han creado ficheros, carpetas o procesos con dicho usuario) y si se han creado páginas web en el servidor fuera del uso normal. Además, con la finalidad de prevenir y paliar las consecuencias de futuros ataques, también es recomendable que las empresas dispongan de un sistema de copias de seguridad adecuado y actualizado periódicamente y limitar los privilegios del usuario que ejecuta la página web con Apache Struts.

Pese a las alertas y recomendaciones del sector de la ciberseguridad, tanto desde organismos públicos, como de empresas privadas, es muy probable que los ataques que explotan la vulnerabilidad Struts sigan con nosotros durante mucho tiempo. Y ello es debido a la gestión deficiente de la ciberseguridad que se hace en muchas organizaciones. Entender la ciberseguridad de forma reactiva, actuando solo cuando sucede un problema, es desgraciadamente una tónica demasiado repetida. Es necesario anticiparse, contar con medidas de prevención, como las auditorías periódicas, e implementar sistemas de monitorización para detectar amenazas y vulnerabilidades antes de que puedan ser explotadas. De este modo, conseguiremos, no solo mayor eficacia, sino, sobre todo, un ahorro de costes mucho mayor.

En InnoTec ayudamos a las organizaciones a prevenir y hacer frente a este tipo de vulnerabilidades, aplicando un nuevo modelo de seguridad proactivo basado en la identificación temprana de amenazas que puedan tener impacto en la actividad de las empresas. A través de auditorías periódicas, análisis específicos y pruebas de intrusión sobre la seguridad física y digital, es posible conocer los puntos débiles de una organización, adelantarse a los movimientos de los ciberatacantes y estar preparados para responder de forma más efectiva a las nuevas amenazas.

 

S5 Box