Lección sobre parches: el crecimiento del crypto-ransomware SAMSAM

Deja una respuesta

Autor: Trend Micro

El papel fundamental de la gestión de parches entra en juego cuando las vulnerabilidades son utilizadas por los atacantes como puntos de partida para infiltrarse en sus sistemas y redes objetivo o cuando se abusa de los fallos de seguridad para difundir cualquier amenaza. En el caso del perverso crypto-ransomware SAMSAM ocurre esto. Dicha amenaza se desvía de otras familias de crypto-ransomsare. En lugar de llegar a través de URL maliciosas o correos electrónicos no deseados, aprovecha los fallos de seguridad en los servidores no actualizados.

El pasado mes de marzo de 2016, SAMSAM golpeó al hospital de Kentucky mediante la encriptación de todos sus archivos, incluyendo los que se encontraban en la red. Del sector sanitario, SAMSAM pasa ahora al sector de la educación. En un reciente ataque, un número importante de servidores y sistemas se vieron expuestos a SAMSAM y a otro malware a través de las vulnerabilidades de servidor JBoss. JBoss es un servidor de aplicaciones de código abierto que se ejecuta en Java. Sistemas o servidores con software «Destiny» también se vieron afectados. Según un informe de CISCO, este software es utilizado habitualmente por las escuelas K-12 en todo el mundo. Follett ya ha lanzado un parche para proteger a los usuarios del software Destiny.

Desafíos de los parches
Aunque SAMSAM no es la primera amenaza que aprovecha las vulnerabilidades para penetrar en una red, su emergencia introduce otro nivel de riesgos para las empresas y organizaciones de gran tamaño. Las “joyas de la corona” o los datos confidenciales podrían ser encriptados y perderse, obligando a las empresas a pagar grandes sumas por el rescate a cambio de su información crítica. A pesar de esto, se recomienda encarecidamente no pagar a los atacantes, ya que esto no garantiza que las organizaciones puedan recuperar sus archivos.

A pesar de la sofisticación de la amenaza en términos del vector de infección y la capacidad de mapeo de la red, la aplicación de parches, así como el mantenimiento actualizado de sistemas y servidores podría romper el ciclo de ataque. Sin embargo, los administradores de TI se enfrentan a varios retos tales como la necesidad de ejecutar las operaciones diarias y mantener el tiempo de actividad de los servicios críticos, asegurando al mismo tiempo el perímetro de la red. Es un acto de equilibrio crítico para proteger el entorno corporativo, al mismo tiempo que se mantienen las operaciones de negocio.  Cuando un fabricante de software libera parches de seguridad, ya sea para afrontar ataques de día cero o vulnerabilidades, los administradores de TI tendrán que hacer una investigación y probar los cambios en primer lugar antes de implementarlos en su entorno. Se ven obligados a poner parches en un segundo plano, ya que requiere el reinicio de los sistemas y servidores de misión crítica, lo que podría afectar a la productividad en general y causar interrupciones de negocio.

Según un estudio de Trend Micro, el período medio del proceso de investigación-prueba-despliegue de parches es de 30 días, lo que proporciona ventanas de exposición a las empresas. Cualquier ataque o amenaza que utilice las vulnerabilidades que puedan surgir durante este período podrían poner en peligro la seguridad y los datos corporativos.

¿Por qué son necesarios los parches virtuales?
Las empresas pueden optar por la aplicación de parches virtuales para hacer frente a los retos o problemas de gestión de parches comentados con anterioridad. Esta tecnología permite a los administradores de TI proteger los servidores y puntos vulnerables y sin tiempos de inactividad y los consiguientes costes operativos adicionales. En ausencia de un parche del proveedor, los parches virtuales pueden proteger las vulnerabilidades de los exploits hasta que una solución de seguridad que lo resuelva se encuentre disponible. También permite a los administradores de TI gestionar de manera eficiente o programar parches de emergencia que puedan surgir de las vulnerabilidades de día cero o ataques de gran calado que explotan estas brechas de seguridad. Además, los sistemas o aplicaciones heredadas también quedan protegidos de los riesgos que puedan representar.

Los datos cruciales de las organizaciones están también a salvo de las amenazas que aprovechan las vulnerabilidades, como en el caso de SAMSAM. Incluso si las empresas no aplican inmediatamente los parches relacionados, sus servidores vulnerables están protegidos contra este crypto-ransomware. Actualmente, el crypto-ransomware es una de las amenazas más notorias y  continúa evolucionando para ampliar su alcance.

Trend Micro Deep Security incorpora una función de parches virtuales con tecnologías de detección y prevención de intrusiones. Es una solución completa que puede proteger a las organizaciones y empresas de exploits y otras cargas de malware.  Desde que las amenazas y los ataques que aprovechan vulnerabilidades son frecuentes en panorama de la informática de hoy, los parches virtuales se han convertido en algo tan necesario como las soluciones de base como antimalware y firewall.

Trend Micro Deep Security y Vulnerability Protection  protegen los sistemas de los usuarios de cualquier amenaza que pueda aprovechar esta-s vulnerabilidad-es JBoss a través de la siguiente regla DPI:

  • 1007532-JBoss Application Server Unautenticated Remote Command Execution Vulnerability
  • 1004189 – RedHat JBoss Enterprise Application Platform JMX Console Authentication Bypass

Por otro lado, las soluciones para el endpoint de Trend Micro, entre las que se encuentran Trend Micro™ Security,  Trend Micro Smart Protection Suites, y Trend Micro Worry-Free™ Business Security puede proteger los sistemas de los usuarios del cryto-ransomware SAMSAM detectando los archivos maliciosos. Los sistemas con Trend Micro™ Smart Protection Suites también están protegidos de esta amenaza a través de Trend Micro Endpoint Application Control.

TippingPoint también mitiga esta amenaza haciendo los siguientes filtros disponibles para sus usuarios:

MainlineDV

  • 9825: HTTP: JBoss jmx-console Authentication Bypass
  • 10502: HTTP: JBoss jmx-console Deployer Command Execution
  • 11822: HTTP: JBoss jmx-console Deployer Remote Code Execution Vulnerability
  • 13438: HTTP: HP Application Lifecycle Management JBoss Invoker Servlets Marshalled Object (ZDI-13-229)
  • 13515: HTTP: Attempt to invoke JMXInvokerServlet or EJBInvokerServlet (ZDI-13-229)

ThreatDV

  • 23872: HTTP: Ransom:MSIL/Samas.A Download Attempt
  • 23873: SMB: Ransom:MSIL/Samas.A File Transfer Attempt
  • 24140: TCP: Ransom:MSIL/Samas.B Download Attempt

Aconsejamos a las empresas que actualicen sus servidores JBoss a la última versión. Algunas de las vulnerabilidades utilizadas son viejos bugs (por ejemplo: CVE-2010-0738 y CVE-2007-1036) ya parcheados con anterioridad. También recomendamos a los administradores de TI limitar el acceso a sus servidores internos a través de firewalls.

 

Deja una respuesta

Tu dirección de correo electrónico no será publicada.

*

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.