El número de ciberataques en contra de sitios PHP que aprovechan una conocida vulnerabilidad se ha disparado durante los últimos 6 meses a pesar de que existe un parche disponible para resolverla.

Imperva, una compañía de seguridad, reportó un incremento considerable en el número de ataques que afectaba a sitios hechos en PHP, cuya vulnerabilidad había sido resuleta en mayo de 2012, en su Threat Advisory: PHP-CGI white paper.

El exploit de PHP fue revelado en octubre de 2013 y utiliza una vulnerabilidad encontrada en mayo de 2012 y catagorizada como CVE-2012-1823", según el reporte.

"Inmeditamente después de que el exploit fue dado a conocer, nuestras honeypots detectaron que los servidores web eran atacados con él de diferentes maneras. En las primeras tres semanas seguimos la publicación y fuimos capaces de grabar alrededor de 30 mil campañas de ataque que utilizaban ese exploit".

PHP es un lenguaje de codificación común utilizado por el 82 por ciento de los servidores en el mundo. Investigadores de Imperva mencionan que desde que el exploit fue detallado, los objetivos de los atacantes han ido mejorando.

"En casos previos, el ataque residía en la configuración del servidor al redirigir todos los archivos PHP a un CGI (Common Gateway Interface) haciéndose vulnerable mediante la fuga de código, ejecución de código y más. Sin embargo, el nuevo ataque trata de acceder al CGI directamente, una vez allí extrae la ubicación exacta del PHP CGI ejecutable", menciona el reporte.

Los ataques reportaron que se utilizaron 43 diferentes datos de tipo "carga útil" (payload), en donde cada uno de ellos era capaz de conectar a una botnet (software automatizado generalmente malicioso) controlada por los criminales. Imperva mencionó que debido a la complejidad de los ataques, pudieron haber sido perpetrados por grupos bien organizados.

"Nuestra experiencia sugiere que el nivel de sofisticación está de la mano con el crimen institucional, también conocido como bot herding (rastreo generalizado de vulnerabilidades)", menciona el reporte.

"Los atacantes en este caso, escanean servidores que están expuestos a una vulnerabilidad (usando los CGI de PHP para diferentes versiones), infectan a las víctimas con los clientes bots, transformandolos en zombies, mediante un servidor remoto conocido como command and control, el cual los tendría bajo su mando. Estos bots son vendidos o rentados al mejor postor".

Investigadores de Imperva destacaron cuál crucial es el tiempo entre que una vulnerabilidad es encontrada y el parche generado para ella. "Es un punto muy intrigante, mostrar que los cibercriminales entienden la brecha que existe en lo que una vulnerabilidad es encontrada hasta que ésta se reporta y mientras se genera un parche".

Lo más peligroso resulta de las publicaciones de nuevas vulnerabilidades descubiertas, esto ha sido un tema de debate en la comunidad de seguridad. Muchos investigadores han argumentado que revelarlas ayuda a los criminales a darse cuenta de las vulnerabilidades y exploits que, de alguna manera, han pasado desapercibidos para ellos.

Paul Ducklin, analista en jefe en Sophos, mencionó a V3 en febrero que Microsoft Windows XP quitará soporte en abril, dejando varios problemas de seguridad al descubierto, tanto para actualizaciones que atendía Windows como para las vulnerabilidades que ahora revelará y que no se habían descubierto en ese sistema operativo.