10 dic 2020

TOP 15 de Amenazas de ENISA - Ataques basados en web

Por el 10 dic 2020 con 0 comentarios

Continuamos con la saga que analiza los informes asociados al TOP 15 de cyber amenazas de ENISA, y en este caso vamos a analizar la amenaza en el segundo puesto: los ataques basados en web.

ENISA clasifica los ataques basados en web como cualquier método que utilicen los actores maliciosos apoyándose en sistemas y servicios web. Como veremos a continuación, en este caso la superficie de ataque es muy amplia. Dentro de las tendencias se mencionan, entre otros, las siguientes técnicas:

  • Formjacking o secuestro de formularios, donde el atacante inyecta código malicioso en sitios web comprometiodos. Esta es una técnica muy habitual tanto para inyectar código malicioso asociado a criptomineros, como para la manipulación de formularios con el objetivo de extraer datos de usuario y bancarios de las víctimas. 
  • Estos últimos ataques, de tipo "magecart", han pasado a afectar directamente a la cadena de suministro. Poniendo foco en este punto, los actores maliciosos evitan la necesidad de comprometer sitios de uno en uno, sino que en su lugar atacan, por ejemplo, a un proveedor de anuncios web. De este modo, a través de un único compromiso son capaces de inyectar código malicioso en todas las web que utilicen la plataforma de publicidad atacada inicialmente.
  • Los atacantes están utilizando plataformas de colaboración y mensajería, como Slack o Github, para enviar comandos o recibir la información extraída de las víctimas. Google Sites también ha sido utilizado para hostear ficheros maliciosos o exfiltrar los datos robados de las víctimas.
  • Las extensiones maliciosas siguen siendo utilizadas para comprometer a gran cantidad de víctimas. Se han detectado campañas de malvertising afectando a 1.7 millones de usuarios que usaban extensiones de Chrome maliciosas, y que mantenían el equipo infectado conectado a la red C2 del atacante.

Por otro lado, obviamente los Sistemas de Gestión de Contenidos (CMS) como Wordpress o Drupal siguen siendo uno de los activos web más atacados, a través de vulnerabilidades como Drupalgeddon2, o haciendo foco en plugins de terceros no actualizados. 

Desde el punto de vista de los navegadores, siguen detectándose campañas de tipo watering hole o drive-by que acaban lanzando exploits a los navegadores afectados. Por ejemplo, durante una campaña que afectó a un portal web de noticias que están redactadas en koreano, se detectó el uso de exploits para CVE-2019-13720 (Chrome) o CVE-2019-0752 (Internet Explorer).

Como siempre, las propuestas de mitigación son conocidas y muy claras:

  • Mantener nuestros sistemas debidamente actualizados, tanto desde el punto de vista de los navegadores, como de los servidores web, gestores de contenido y sus extensiones.
  • En el caso de ser dueño de un servidor web, hacer hardening y reducir la superficie de ataque.
  • En el caso de los navegadores, hacer uso de extensiones de bloqueo de publicidad, o para el bloqueo de javascript no autorizado.
  • Hacer uso de application whitelisting o utilizar sandboxes para el navegador, para aislar cualquier posible amenaza y que esta no pueda afectar al equipo final. 
  • Y por supuesto, instalar una buena solución antimalware, o sistemas que impidan el acceso a URLs maliciosas.

Nos vemos en el siguiente post!

      editar

0 comentarios:

Publicar un comentario

< >