• Radware

Las 10 principales vulnerabilidades del servicio web en 2019

Por el Equipo de investigación de Radware


7 de abril, 2020

Por Shai Levi y Namik Binyaminov

El Equipo de investigación de vulnerabilidades (Vulnerability Research Team, VRT) de Radware ha rastreado e investigado los exploits de los servicios web, que usaron los actores maliciosos en el transcurso de 2019. Los exploits generalmente se realizan a través de programas automatizados de escaneo y ataque, que se aprovechan para amenazar o descubrir servidores y dispositivos vulnerables.



Global Deception Network de Radware

La ‘Global Deception Network’ de Radware es una red de sensores distribuidos en todo el mundo (cebos) que ejecutan servicios que atraen a los bots que intentan comprometer, abusar y hackear computadoras, crear nuevas redes de bots y lanzar ataques DDoS. Esta “red de engaño” atrae a cientos de miles de IP maliciosas, generando millones de eventos a diario. Los algoritmos de análisis automático proporcionan información y categorización de diversos tipos de actividad maliciosa, desde el reconocimiento mediante los intentos de romper contraseñas con fuerza bruta hasta inyecciones y ejecución remota de código (RCE).

Los algoritmos patentados y registrados de Radware que se ejecutan en la red de engaño se utilizan para catalogar e identificar actores de amenazas nuevos y emergentes, incluidos atacantes de aplicaciones web, de redes de bots, de bots de Internet de las cosas (IoT) y de DNS, así como para analizar comportamientos maliciosos diseñados para ocultar al atacante, como spoofing y anonimato.

A continuación, se detallan las diez principales vulnerabilidades aprovechadas en campañas de ataques o reconocimientos a gran escala dirigidas a los servicios web.

/TP/public/index.php

25% de los ataques a los servicios web.

Vulnerabilidad de ejecución remota de código en el marco de ThinkChP de NoneCMS.

Más identificadores uniformes de recursos (URI) relacionados con la misma vulnerabilidad:

• /TP/index.php

• /thinkphp/html/public/index.php

• /thinkphp/public/index.php

• /TP/html/public/index.php

• /html/public/index.php

ThinkPHP es un marco de desarrollo de aplicaciones web basado en PHP. Se centra en el desarrollo de aplicaciones web, utilizadas principalmente en proyectos empresariales. Este marco es muy popular en China. La vulnerabilidad fue descubierta en diciembre de 2018 por el usuario twosmi1e de Github y afectó a ThinkChP de NoneCMS 5.x con versiones de mantenimiento anteriores a v5.0.23 y v5.1.31.

La vulnerabilidad CVE-2018-20062 permite que un atacante remoto ejecute un código arbitrario en un servidor ThinkChp de NoneCMS afectado. Un atacante remoto no autenticado puede crear una solicitud maliciosa para ejecutar un código en la máquina de la víctima, lo que lleva a la apropiación completa del servidor ThinkChP de NoneCMS.

/wp-config.php

14% de los ataques a los servicios web.

Vulnerabilidad de exposición de datos confidenciales de los archivos de configuración de WordPress.

WordPress es el sistema de gestión de contenido (CMS) más popular del mundo. WordPress es un CMS de código abierto. Según w3techs, tiene una participación del 36% del mercado de todos los sitios web a nivel mundial y el 62,8% de todos los sitios web basados ​​en CMS, lo que lo convierte en un objetivo importante para los actores maliciosos.

‘wp-config.php’ es un archivo de configuración de WordPress importante. El archivo contiene los detalles básicos de configuración del sitio web, como la información de conexión a la base de datos y los certificados. Un atacante con acceso al archivo ‘wp-config.php’ puede recuperar información confidencial sobre el servidor y usarla para obtener el control de la instancia de WordPress y su base de datos asociada.

/ctrlt/DeviceUpgrade_1

11% de los ataques a los servicios web.

Vulnerabilidad de ejecución remota de código de routers Huawei HG532: puerto 37215.

Huawei HG532 es un router inalámbrico de alta velocidad diseñado para oficinas pequeñas u oficinas en el hogar (SOHO). En noviembre de 2017, Huawei publicó un aviso de seguridad relacionado con una vulnerabilidad de ejecución remota de código (RCE), CVE-2017-17215. Mediante el envío de solicitudes maliciosas al puerto 37215, un atacante podría ejecutar de manera remota un código arbitrario sin autenticación.

/nice%20ports%2C/Tri%6Eity.txt%2ebak

9% de los ataques a los servicios web.

URI sin escape: /nice ports,/Trinity.txt.bak

Divulgación de información sobre vulnerabilidades en servidores web.

Los identificadores uniformes de recursos (URI) anteriores indican un escaneo de red en un intento de encontrar un servidor web vulnerable. La solicitud se diseñó originalmente para el escáner Nmap, pero los ataques pueden usarla con otras herramientas o scripts.

Nmap es un escáner de red que se usa para descubrir hosts y servicios en una red informática mediante el envío de paquetes y el análisis de las respuestas. En esta solicitud, el atacante utiliza caracteres de escape ASCII en un intento de generar un mensaje de error HTTP 404 para sondear un servidor web. Un escaneo exitoso puede revelar información importante sobre el código del servidor web e incluso vulnerabilidades a través de encabezados de respuestas y mensajes de error.

/phpMyAdmin/scripts/setup.php

9% de los ataques a los servicios web.

Vulnerabilidad de ejecución remota de código de phpMyAdmin.

phpMyAdmin es una herramienta de administración gratuita y código abierto escrita en PHP para MySQL y MariaDB. phpMyAdmin se usa con frecuencia como herramienta de administración de bases de datos y permisos y, por lo tanto, es un objetivo importante para los atacantes. En marzo de 2009, el proyecto phpMyAdmin lanzó el aviso de seguridad PMASA-2009-3 para las versiones phpMyAdmin 2 anteriores a 2.11.9.5 y las versiones phpMyAdmin 3 anteriores a 3.1.3.1.

CVE-2009-1151 es una vulnerabilidad de ejecución remota de código PHP. Uno de los componentes de phpMyAdmin, setup.php, permite a los atacantes remotos inyectar un código PHP arbitrario en un archivo de configuración mediante la acción de guardar. Un atacante remoto sin autenticación puede crear una solicitud POST maliciosa para inyectar un código en la máquina de la víctima, lo que puede resultar en la ejecución de un código PHP malicioso arbitrario en el contexto del proceso del servidor web.

/wls-wsat/CoordinatorPortType11

7% de los ataques a los servicios web.

Vulnerabilidad de ejecución remota del código del servidor Oracle WebLogic.

Oracle WebLogic es un servidor de aplicaciones para crear e implementar aplicaciones Java Enterprise Edition. En octubre de 2017, Oracle publicó el aviso de Actualizaciones de parches críticas que cubría a CVE-2017-10271. Las versiones afectadas son 10.3.6.0.0, 12.1.3.0.0, 12.2.1.1.0 y 12.2.1.2.0.

CVE-2017-10271 es una vulnerabilidad de ejecución remota de código. El componente de seguridad WLS de WebLogic no puede deserializar correctamente el formato XML no seguro. Un atacante remoto no autenticado puede crear una solicitud XML maliciosa para ejecutar su código en la máquina de la víctima, lo que puede resultar en la apropiación completa del servidor Oracle WebLogic.

/editBlackAndWhiteList

5% de los ataques a los servicios web.

Grabadora de video digital NVMS-9000 con vulnerabilidades de credenciales de administrador codificadas y de ejecución remota de código.

La grabadora de video digital NVMS-9000 es un dispositivo DVR popular de Shenzhen TVT Digital Technology Co. Ltd (TVT). En abril de 2018, TVT publicó un aviso crucial y una actualización de firmware que cubre las 3 vulnerabilidades.

Se había observado una vulnerabilidad de ejecución remota de código de la grabadora de video digital NVMS-9000. NVMS-9000 tenía credenciales de autenticación de administrador codificadas. Un atacante remoto no autenticado puede usar las credenciales de administrador codificadas para ejecutar su código en la máquina de la víctima.

/HNAP1

2% de los ataques a los servicios web.

Vulnerabilidad de evasión de la autenticación del protocolo HNAP.

Intento de escaneo para encontrar routers con interfaz HNAP abierta.

El protocolo de administración de red doméstica (HNAP) es un protocolo de administración de dispositivos de red patentado, desarrollado por Pure Networks y luego adquirido por Cisco. Permite la configuración programática avanzada y la gestión por parte de entidades remotas. A partir de 2010, se descubrieron muchas vulnerabilidades en los dispositivos que implementaron HNAP, como por ejemplo la vulnerabilidad CVE-2014-8244 de los routers D-Link y Linksys.

/_async/AsyncResponseService

1% de los ataques a los servicios web.

Vulnerabilidad de ejecución remota de código de deserialización del servidor Oracle WebLogic.

Oracle WebLogic es un servidor de aplicaciones para desarrollar e implementar aplicaciones Java EE. La vulnerabilidad se encontró en las versiones 10.3.6.0.0 y 12.1.3.0.0 de WebLogic. Fue descubierta y publicada en la base de datos nacional de vulnerabilidad de China el 17 de abril de 2019.

CVE-2019-2725 es una vulnerabilidad de ejecución remota de código. Uno de los componentes de Oracle WebLogic no puede deserializar correctamente los datos de entrada. Un atacante remoto no autenticado puede crear una solicitud XML maliciosa para ejecutar su código en la máquina de la víctima, lo que puede resultar en la apropiación completa del servidor Oracle WebLogic.

/GponForm/diag_Form?images/

1% de los ataques a los servicios web.

Los routers GPON domésticos son vulnerables a la evasión de autenticación y a la ejecución remota de comandos.

El router GPON es inalámbrico y de alta velocidad, y fue diseñado para clientes con oficinas pequeñas u oficinas en el hogar. GPON es un tipo de red óptica pasiva que utiliza fibra óptica. La mayoría de los routers GPON son proporcionados por ISP, lo que hizo que se vuelva muy popular como router doméstico. Se estima que hay millones de routers GPON en uso en el mundo.

Las vulnerabilidades CVE-2018-10561 y CVE-2018-10562 son la evasión de autenticación y la ejecución remota de comandos, respectivamente. Las vulnerabilidades permiten al atacante remoto ejecutar comandos arbitrarios en la versión afectada de los routers GPON.

Los atacantes nunca detienen sus esfuerzos de expansión para escanear y explotar vulnerabilidades conocidas en todo el ciberespacio. Los gráficos cronológicos muestran que cuando se descubre una nueva vulnerabilidad, en pocos días los atacantes la agregan a su lista de objetivos e intentan explotarla.

No se enfocan necesariamente en nuevos ataques y vectores de ataque como uno podría esperar, sino más bien en tecnologías y dispositivos populares con vulnerabilidades conocidas y fáciles de explotar. Volviendo a las vulnerabilidades reportadas inicialmente en 2009, es necesario resaltar que algunas organizaciones se quedan atrás con las actualizaciones o parches y que deberían actualizar sus activos lo antes posible.

0 vistas
  • Facebook
  • YouTube
  • Twitter
  • Gris LinkedIn Icon