En septiembre de 2017, equifax reveló que una falla al parchear uno de sus servidores de Internet contra una falla de software generalizada, en un componente web conocido como Puntales Apache — condujo a una brecha que expuso datos personales de 147 millones de estadounidenses. Ahora, los expertos en seguridad advierten que los planos que muestran a los piratas informáticos malintencionados cómo explotar un error de Apache Struts recién descubierto están disponibles en línea, lo que deja a innumerables organizaciones apuradas para aplicar nuevas actualizaciones y tapar el agujero de seguridad antes de que los atacantes puedan usarlo para meterse dentro.
El 22 de agosto, el Fundación de software Apache lanzó actualizaciones de software para arreglar una vulnerabilidad crítica en Apache Struts, una plataforma de aplicaciones web utilizada por aproximadamente el 65 por ciento de las empresas Fortune 100. Desafortunadamente, el código de computadora que se puede usar para explotar el error se ha publicado en línea, lo que significa que los delincuentes ahora tienen instrucciones precisas sobre cómo ingresar a servidores vulnerables y sin parches.
Los atacantes pueden explotar un sitio web que ejecuta la instalación vulnerable de Apache Struts usando nada más que un navegador web. El malo simplemente necesita enviar la solicitud correcta al sitio y el servidor web ejecutará cualquier comando que elija el atacante. En ese momento, el intruso podría realizar cualquier cantidad de acciones, como agregar o eliminar archivos, o copiar bases de datos internas.
Un alerta sobre la actualización de seguridad de Apache fue publicado el miércoles por Semmlela compañía de software de San Francisco cuyos investigadores descubrieron el error.
“El uso generalizado de Struts por parte de empresas líderes, junto con el impacto potencial comprobado de este tipo de vulnerabilidad, ilustra la amenaza que representa esta vulnerabilidad”, advierte la alerta.
“Las vulnerabilidades críticas de ejecución remota de código como la que afectó a Equifax y la que anunciamos hoy son increíblemente peligrosas por varias razones: Struts se usa para sitios web de acceso público al cliente, los sistemas vulnerables se identifican fácilmente y la falla es fácil de explotar. ”, escribió el cofundador de Semmle Pavel Avgustinov. “Un pirata informático puede encontrar su camino en cuestión de minutos y filtrar datos o realizar más ataques desde el sistema comprometido. Es de vital importancia actualizar los sistemas afectados de inmediato; esperar es correr un riesgo irresponsable”.
La línea de tiempo en la brecha de seguridad de Equifax de 2017 destaca la rapidez con la que los atacantes pueden aprovechar las fallas de Struts. El 7 de marzo de 2017, Apache lanzó un parche para una falla de Struts igualmente peligrosa, y dentro de las 24 horas posteriores a esa actualización, los expertos en seguridad comenzaron a rastrear señales de que los atacantes estaban explotando servidores vulnerables.
Solo tres días después de que se lanzó el parche, los atacantes descubrieron que los servidores de Equifax eran vulnerables a la falla de Apache Struts y utilizaron la vulnerabilidad como un punto de entrada inicial a la red de la oficina de crédito.
Una diapositiva de «Todos somos Equifax», una charla de RSA dada en abril de 2018 por Derek Weeks.
La vulnerabilidad afecta a todas las versiones compatibles de Struts 2. Usuarios de Struts 2.3 debe actualizar a la versión 2.3.35; usuarios de Struts 2.5 debe actualizar a 2.5.17.
Más detalles técnicos sobre este error de su descubridor, hombre yue moson aquí. El aviso de Apache Software Foundation es aquí.
Relacionado:
El error ‘Shellshock’ significa un problema para la seguridad web – Krebs on Security
¿Ese dominio que olvidaste renovar? Sí, ahora es robar tarjetas de crédito: Krebs on Security
Bug expone cámaras IP, monitores para bebés – Krebs on Security
