Una nueva investigación de Incapsula arrojó algunos datos interesantes acerca de los ataques RFI. Los datos para el informe fueron recolectados mediante el monitoreo de miles de millones de sesiones web durante un periodo de 6 meses. La información del tiempo de vida útil de los enlaces RFI está basado en una muestra de datos de mil enlaces RFI, los cuales acarrean 226 diferentes tipos de intérpretes de comandos (shell) en puertas traseras y variantes.

Todos los datos fueron agregados a una base de datos dedicada de colaboración abierta distribuida (crowdsourced), la cual fue desarrollada para la investigación de ataques RFI e intérpretes de comandos que se comportan como puertas traseras.

La Inclusión Remota de Archivos (RFI, por sus siglas en inglés) ataca vulnerabilidades debidas al abuso de entradas de usuarios y validación de archivos, para cargar códigos maliciosos a una ubicación remota. Con este tipo de Shell, el objetivo de un atacante consiste en eludir las medidas de seguridad para obtener privilegios de acceso a un sitio web, una aplicación web o en servidores que alojan este tipo de páginas.

Por lo general, los ataques RFI son procesos relativamente simples. Inicialmente, el atacante utiliza un motor de búsqueda o escáner para identificar objetivos vulnerables. Una vez detectados, los objetivos serán comprometidos, ya sea por el propio escáner o a través de un script automatizado, lo cual es utilizado como un ataque a gran escala, ya que se explotan un grupo de objetivos que poseen vulnerabilidades similares. Con el escáner (o script) un atacante explotará una vulnerabilidad RFI para cargar un Shell de puerta trasera o Drooper (Shell de menor tamaño y con una sola función), utilizado para cargar código malicioso.

Con la puerta trasera en su lugar, el atacante puede utilizarla para llevar a cabo actividades maliciosas. Ataques RFI de alto perfil pueden dar lugar a modificaciones en sitios web (defacement) o eliminación de su contenido. Sin embargo, los atacantes son más propensos a enfoques menos sospechosos, en estos casos, los sitios web son comprometidos como un recurso de largo plazo, para distribuir malware, robar datos de visitantes y hacerlos partícipes involuntarios para ataques DDoS.

RFI no es ninguna broma. Aunque con frecuencia se pasa por alto para enfocarse en ataques más conocidos como DDoS, Cross Site Scripting (XSS) e inyecciones SQL, los ataques RFI son más extendidos de lo que la mayoría supone. Para colocarlo en números, el estudio muestra que, hoy en día, los ataques RFI son la amenaza de seguridad más común, ya que representan más del 25% de todas las sesiones maliciosas, superando los ataques XSS (12%) e inyección de SQL (23%).

La razón detrás de estos números es obvia. Con su relativa facilidad para ser ejecutado y el daño potencial extremadamente alto, RFI ofrece a los atacantes el mejor “retorno de inversión”, proporcionando un control directo casi sin esfuerzo sobre la página web e incluso sobre el servidor web que la aloja.

Afortunadamente, a pesar de su daño potencial, los ataques RFI son, en su mayoría, amenazas de día-cero, muy peligrosas en su etapa inicial, pero fácilmente controlables tan pronto como sean descubiertas y parchadas.

Sin embargo, no todos los RFI son eliminados con rapidez. Las cifras muestran que todavía el 58% de todos los escáneres continúan obteniendo resultados debido al exploit TimThumb. Desde un punto de vista de seguridad, se trata de intentos ingenuos para hacer uso de una vulnerabilidad de hace dos años, probablemente en busca de sitios sin los parches necesarios que pueden verse comprometidos para formar parte de los ejércitos de equipos utilizados en los ataques DDoS.

Por supuesto, este tipo de ataques obsoletos representan una amenaza pequeña para los encargados de los sitios web. Sin embargo, hoy en día, estos esfuerzos incansables pueden resultar exitosos con el tiempo y la perseverancia necesaria. Esto no debería ser una sorpresa, ya que se han presentado resultados desastrosos debido a negligencias de seguridad.

Vectores de ataques RFI descubiertos plantean algunos retos para la mayoría de los expertos de seguridad, ya que pueden ser frustrados a través de técnicas simples basadas en firmas, pero ¿qué sucede con los próximos exploits RFI todavía no descubiertos-

Ésta es la pregunta que se está respondiendo con las técnicas basadas en la reputación. Para proteger a los clientes de ataques de día-cero fue necesario encontrar una constante en la ecuación impredecible de RFI.

Al inicio se tuvo un buen presentimiento sobre el enlace RFI, que suministra cargas maliciosas, el cual puede proporcionar la fiabilidad constante necesaria. Los resultados resultaron ser correctos. La investigación mostró que (siempre y cuando se trate con diferentes vectores de ataques), los mismos enlaces RFI eran reutilizados para múltiples ataques a objetivos diferentes. Por otra parte, se encontró que la vida útil de la mayoría de estos enlaces era en promedio 60 días, lo que los hace perfectos con signos reveladores de un ataque RFI y excelentes candidatos para la recolección de información a largo plazo.

Con las nuevas reglas basadas --en reputación, ahora se utiliza la información como una columna vertebral de un sistema eficaz de alerta temprana, lo que permite tratar con escenarios más extremos de amenazas absolutamente de día-cero. Día-cero es de todos los días y se debe estar preparado para ello.