Las técnicas que habitualmente se propagan utilizando Internet como plataforma de ataque, como el Drive-by-Download, son una de las principales amenazas actuales en el escenario del malware. Estos ataques, se ejecutan a través de scripts maliciosos insertados en el código HTML de los sitios. Es frecuente que dichos scripts, sean inyectados en sitios benignos por los atacantes.
En este contexto, los usuarios nos consultan frecuentemente, a través de los comentarios en el Blog o a del soporte técnico, por problemas de códigos maliciosos en sus propios sitios. Es decir, usuarios que poseen sus páginas web y que, navegando por las mismas, se encuentran con el alerta de ESET NOD32 Antivirus al detectar una amenaza. La pregunta que estos usuarios nos hacen es: ¿cómo inyectaron código en mi sitio web?
Si por algún motivo, un administrador de un sitio web observa que el mismo posee contenido malicioso, debe realizar dos acciones. La primera de ellas es ubicar el script malicioso y eliminarlo del código fuente. Esta actividad solo puede ser realizada por alguien que conozca el código del sitio web. Se debe tener en cuenta, además, que probablemente se trate de un script ofuscado, con el objetivo de que no se puedan identificar sus acciones.
En segundo termino, una vez eliminado el script, se debe segurizar el sitio para que esto no vuelva ocurrir. Y aquí se contesta la pregunta de cómo alguien inyectó código en una página que no le corresponde. Los motivos pueden ser varios, pero las dos causas principales para esto son las siguientes:
- Vulnerabilidades de software: ante la existencia de una de estas, un atacante podrá ejecutar código remotamente y agregar scripts en la página web, sin necesidad de contar con credenciales de acceso. Las vulnerabilidades pueden encontrarse tanto en el sistema operativo como, en el mayoría de los casos, en el software del servidor web (los dos más utilizados son Apache e Internet Information Services). En cualquiera de los casos, es de suma importancia en un servidor mantener actualizado con todos los parches cualquier software que se utilice.
- Contraseñas débiles: lamentablemente muchos usuarios aún siguen cometiendo el error de contar con credenciales débiles de acceso a los servidores. Es decir, nombres de usuario y contraseñas sencillas de adivinar, sea por un ataque de fuerza bruta o de diccionario. En cualquiera de los casos, el atacante puede a través de un ataque, obtener acceso al servidor FTP, y así poder modificar los archivos del sitio web. Para evitar este problema, es recomendable cambiar usuario y contraseña luego de un ataque de este tipo, y siempre utilizar credenciales fuertes para una mejor protección. Recomiendo la lectura del artículo Seguridad en Contraseñas, para seleccionar una contraseña fuerte.
Estos son los principales motivos por los que, en la mayoría de los casos, un atacante logra insertar contenido malicioso, en sitios web que fueron creados con fines totalmente benignos.
Es importante que los administradores mantengan sus servidores correctamente configurados. Incidentes de este tipo pueden ser perjudiciales para el sitio web. En el caso de sitios corporativos el riesgo es aún mayor: un usuario que accede al sitio web de la compañía y se le indica que el mismo es malicioso. Este tipo de casos, pueden afectar gravemente la imagen de la empresa, dando lugar a disminución de accesos en el sitio web y, además, problemas de reputación de la marca.
Sebastián