TOP 10: Los exploits más utilizados por los hackers para controlar servidores fácilmente

Cada semana se reportan múltiples vulnerabilidades de seguridad presentes en diversos desarrollos tecnológicos. Acorde a especialistas en seguridad en la nube, es un trabajo fundamental detectar y corregir estas fallas antes de que los actores de amenazas logren desarrollar un exploit para completar un ataque, aunque no es posible prevenir el 100% de los ataques.

Por lo general, un exploit se realiza mediante un software automatizado de escaneo y detección de dispositivos y otras implementaciones vulnerables en la red. Para investigar esta conducta maliciosa, múltiples firmas de ciberseguridad recurren a la implementación de sensores y honeypots que ejecutan diversos servicios para atraer la atención de bots y hackers, generando millones de eventos diariamente.

Basándose en un minucioso análisis, los especialistas en seguridad en la nube de la firma Radware han elaborado una lista de los diez exploits más utilizados por los actores de amenazas. Estos ataques son empleados principalmente para explotar vulnerabilidades conocidas en populares servidores.

/TP/public/index.php

Este exploit se emplea para abusar de CVE-2018-20062, una vulnerabilidad de ejecución remota de código en NoneCMS ThinkPHP. ThinkPHP es un marco de desarrollo de aplicaciones web basado en PHP ampliamente utilizado en entornos empresariales. Esta vulnerabilidad fue descubierta en diciembre de 2018 y afecta a NoneCMS ThinkPHP 5.x con versiones de mantenimiento anteriores a v5.0.23 y v5.1.31.

Otros identificadores uniformes de recursos (URI) relacionados con la misma vulnerabilidad:

  • /TP/index.php
  • /thinkphp/html/public/index.php
  • /thinkphp/public/index.php
  • /TP/html/public/index.php
  • /html/public/index.php

Este exploit fue utilizado en el 25% de los ataques a servidores reportados durante el último año.

/wp-config.php

Este es un archivo de configuración de muy importante para WordPress. Un actor de amenazas con acceso a ‘wp-config.php’ podría desencadenar una vulnerabilidad de exposición de archivos sensibles en el sistema de gestión de contenidos (CMS).Esta vulnerabilidad fue explotada en el  14% de los ataques a servidores, aseguran los especialistas en seguridad en la nube.

/ctrlt/DeviceUpgrade_1

El enrutador Huawei HG532 es ampliamente utilizado en hogares y pequeños negocios. Hace un par de años, la compañía publicó una alerta de seguridad sobre una vulnerabilidad de ejecución remota de código (RCE) identificada como CVE-2017-17215. Al enviar solicitudes maliciosas al puerto 37215, un actor de amenazas podría ejecutar código arbitrario sin autenticarse en la interfaz de usuario.

Este ataque representa el 11% de ataques totales a servidores reportados el año pasado.

/nice%20ports%2C/Tri%6Eity.txt%2ebak

Nmap es un escáner de red ampliamente utilizado. En una solicitud específica, el atacante utiliza caracteres de escape ASCII para generar un mensaje de error HTTP 404 y analizar un servidor web. Un escaneo exitoso podría haber revelado información importante sobre el código del servidor web; 9% de los ataques a servidores están asociados a este exploit.

/phpMyAdmin/scripts/setup.php

phpMyAdmin es una herramienta de administración gratuita y de código abierto para MySQL y MariaDB. La vulnerabilidad de ejecución remota de código identificada como CVE-2009-1151 permitiría a un hacker remoto inyectar código PHP arbitrario en un archivo de configuración mediante la acción de guardar, comprometiendo el sistema objetivo. Este exploit fue empleado en el 9% de los ataques a servidores.

/wls-wsat/CoordinatorPortType11

La vulnerabilidad CVE-2017-10271 podía ser explotada por hackers remotos no autenticados mediante una solicitud HTML maliciosa para tomar control de una implementación de servidor Oracle WebLogic. El 7% de los ataques a servidores están asociados con este exploit.

/editBlackAndWhiteList

En abril de 2018, Shenzhen TVT publicó un aviso crítico y una actualización de firmware para corregir una vulnerabilidad de ejecución remota de código en NVMS-9000 Digital Video Recorder. Un atacante remoto no autenticado podría haber usado las credenciales de administrador codificadas para ejecutar su código en la máquina de la víctima. El exploit fue identificado en el 5% de los ataques a servidores, mencionan expertos en seguridad en la nube.

/HNAP1

HNAP es un protocolo de administración de dispositivos de red patentado por Pure Networks y adquirido por Cisco que permite la configuración programática avanzada y la gestión por parte de entidades remotas. La vulnerabilidad CVE-2014-8244 permite abusar de múltiples dispositivos con HNAP, como los enrutadores D-Link y Linksys.

/_async/AsyncResponseService

Este exploit permitió a los hackers abusar de CVE-2019-2725, una vulnerabilidad de ejecución remota de código que afecta a los componentes de Oracle WebLogic que no deserializan adecuadamente los datos de entrada; 1% de los ataques contra servidores están relacionados con esta falla.

/GponForm/diag_Form?images/

Las vulnerabilidades CVE-2018-10561 y CVE-2018-1056 permitieron a múltiples actores de amenazas  ejecutar comandos arbitrarios en las versiones afectada de los enrutadores Gpon. Este ataque está asociado con el 1% de los incidentes reportados durante el último año.

El Instituto Internacional de Seguridad Cibernética (IICS) recomienda visitar las plataformas oficiales de las compañías tecnológicas para mayores detalles sobre estos ataques y las vulnerabilidades explotadas por los hackers.