Últimas noticias
- Usuarios de Skype afectados por ransomware en anuncios maliciosos 01-Abr-2017
- Java y Flash encabezan la lista programas más obsoletos 31-Mar-2017
- Apple soluciona error en Safari usado en ataques de ransomware 28-Mar-2017
- Utilizan botnet GiftGhostBot para robar saldos de tarjetas de regalo 28-Mar-2017
- Expertos señalan que hay archivos sensibles expuestos en Docs.com 28-Mar-2017
- Spammers modifican archivos RTF para ocultar malware 27-Mar-2017
- Estafas de bitcoins infestan las redes sociales 25-Mar-2017
Secuestro de servidores sin parches de seguridad en vBulletin
Se recomienda a los administradores que tengan instalado vBulletin aplicar las últimas actualizaciones de vBulletin Connect tan pronto como sea posible, ya que los cibercriminales están buscando activamente servidores que ejecuten versiones vulnerables de este popular software de foros.
Es posible que su intención sea obtener los datos almacenados en el servidor o, más probable, obtener el control para utilizarlos en ataques DDoS o de propagación de malware (al acceder al sitio web infectado). También podrían vender el acceso a otros criminales.
Parece que los atacantes se están aprovechando de un exploit de día cero recientemente descubierto y parchado que afecta a las versiones vBulletin Connect 5.1.4 hasta la 5.1.9, lo que permite a los atacantes ejecutar código de forma remota en el servidor vulnerable.
"El exploit RCE es relativamente fácil de implementar; una sola petición HTTP es todo lo que se necesita. Nuestra telemetría sugiere que los atacantes están escaneando los servidores que ejecutan el software vulnerable vBulletin utilizando la función phpinfo() o imprimiendo el MD5 de un valor arbitrario," señalaron investigadores de Symantec.
"Una vez que se encuentra un servidor web vulnerable, el atacante puede tomar medidas para infiltrarse en el sistema y comenzar a buscar o extraer datos del mismo, como credenciales de usuarios administrativos; o incluso intentar obtener privilegios de administrador. Todo esto lo hacen descargando y ejecutando un Shell script malicioso multipropósito (filesender1.sh) en el servidor comprometido".
Una vez que es ejecutado, el script intenta descubrir y robar la mayor cantidad de información posible a través de una lista de 130 archivos y carpetas predefinidas. La información se envía entonces a un servidor controlado por los atacantes.
Como se ha señalado antes, los administradores de sistemas deben arreglar la instalación del software de inmediato, también pueden buscar indicadores para saber si su servidor ha sido comprometido (URL específicas en los registros de acceso web) proporcionados por Symantec para ver si su servidor ya ha sido escaneado y/o vulnerado.
