Shellshock

En el área de la seguridad de la información sin duda se recordará el año 2014 como un período infame debido a por lo menos dos vulnerabilidades que afectaron a la mayor parte de la infraestructura y de los usuarios de Internet:  Heartbleed Shellshock. Si bien la mayoría de los administradores de sistemas se las arregló para aplicar parches que mitigaran estas amenazas lo antes posible, lamentablemente, a pesar de que pasó un año desde que se conoció Heartbleed y cerca de siete meses desde la aparición de Shellshock, todavía hay una gran cantidad de sistemas que siguen siendo vulnerables.  Websense® Security Labs™  descubrió, a través de uno de nuestros honeypots,  un gusano simple pero agresivo que está circulando, el cual explota la vulnerabilidad de Shellshock para realizar un reconocimiento. Aparentemente en la actualidad los atacantes solo están mapeando a los servidores vulnerables, y esto podría ser el preludio de un ataque mayor y más destructivo. El reconocimiento es el primer paso en la cadena de ataques cibernéticos, y si se bloquean los ataques en esta etapa, se eliminan los daños potenciales.

Los clientes de Websense están protegidos de esta amenaza con ACE, nuestro Motor de Clasificación Avanzada, en la Etapa 5 (Archivosdropper).  ACE detecta los archivos asociados a este ataque.

El gusano

Un fallido intento de explotación por parte del gusano

El gusano aprovecha la vulnerabilidad de Shellshock para obtener acceso al sistema. Si la explotación tiene éxito, posteriormente descarga y ejecuta un shell script que, a su vez, descarga y desempaqueta un tarball (.tar) que contiene el gusano .  Posteriormente, se libera dicho gusano.

Si la explotación tiene éxito, se ejecuta este shell script

El gusano tiene versiones para sistemas de 32 y de 64 bits. Por otra parte, los atacantes utilizan el idioma rumano en varios lugares en el código binario, lo cual indica que el malware podría ser de origen rumano. Fue diseñado para que solicite una lista de IPs a su Servidor de Comando y Control (C&C) predefinido en el código, de modo  que éste pueda intentar explotar también la vulnerabilidad de Shellshock en los hosts.

El principal shell script del gusano, apodado “config”, es responsable de obtener una lista de IPs, iniciar el scanner y luego invocar a otro script para transmitir el resultado nuevamente al servidor de C&C.

El objetivo subyacente del gusano al parecer es identificar una gran cantidad de IPs que podrían ser vulnerables a Shellshock. Además, una vez que los atacantes tienen acceso a estos sistemas a través de Shellshock (suponiendo que los administradores de sistemas no hayan aplicado parches en sus sistemas en este lapso de tiempo), podrían decidir en cualquier momento lanzar otros ataques adicionales. Los atacantes podrían usar estos hosts para una serie de actividades maliciosas, que incluyen, entre otras posibles, ataques DDoS, insertar código malicioso en un sitio web, robar información de identificación personal y credenciales o utilizar el host como servidor de C&C para diversos ataques.

Conclusión

Este gusano es un malware simple, quizás desarrollado por amateurs. Sin embargo, vale la pena señalar que sigue teniendo éxito, aún  siete meses después del anuncio de la vulnerabilidad de Shellshock. ¿Está infectando agresivamente una gran cantidad de hosts, dado que aún siguen siendo vulnerables a Shellshock? Los atacantes tienen tiempo y, una vez más, usaron viejas vulnerabilidades para explotar los sistemas, y claramente ese es el caso en esta oportunidad.  Si no se aplican parches en los sistemas y no se los mantiene actualizados, los atacantes no necesitarán usar avanzados ataques de día cero para infectarlos.  Si usted todavía no aplicó un parche, este es el momento de hacerlo. Más vale tarde que nunca.