El número de ataques que utilizan shells web continúa aumentando de manera constante, con un promedio de 140.000 de este tipo de amenazas que se detectan en servidores comprometidos cada mes, advierte Microsoft . Según el gigante tecnológico, la cantidad de ataques de shell web casi se duplicó desde el año anterior.
Un shell web es una pequeña herramienta que los hackers colocan en los servidores web de destino para obtener acceso remoto a las funciones del servidor. También permite a los atacantes ejecutar comandos en servidores para robar datos o usar el servidor comprometido como plataforma de lanzamiento para otras actividades, como robo de credenciales, movimiento lateral dentro de la red, implementación de cargas útiles maliciosas adicionales o actividad práctica con el teclado.
Por lo general, los atacantes buscan servidores vulnerables en Internet e instalan shells web aprovechando los agujeros de seguridad como fallas en las aplicaciones web o en los servidores conectados a Internet.
“Los shells web se pueden construir usando cualquiera de los varios lenguajes que son populares entre las aplicaciones web. Dentro de cada idioma, hay varios medios para ejecutar comandos arbitrarios y hay varios medios para la entrada arbitraria del atacante. Los atacantes también pueden ocultar instrucciones en la cadena del agente de usuario o cualquiera de los parámetros que se pasan durante un intercambio de servidor web / cliente ”, dijo Microsoft.
El fabricante de Windows también compartió algunas recomendaciones sobre cómo fortalecer los servidores contra ataques de shell web. Aquí están:
- Identifique y corrija vulnerabilidades o configuraciones incorrectas en aplicaciones web y servidores web. Utilice Threat and Vulnerability Management para descubrir y corregir estas debilidades. Implemente las últimas actualizaciones de seguridad tan pronto como estén disponibles.
- Implemente la segmentación adecuada de su red perimetral, de modo que un servidor web comprometido no ponga en peligro la red empresarial.
- Habilite la protección antivirus en los servidores web. Active la protección proporcionada en la nube para obtener las últimas defensas contra amenazas nuevas y emergentes. Los usuarios solo deben poder cargar archivos en directorios que puedan ser escaneados por antivirus y configurados para no permitir la ejecución o secuencias de comandos del lado del servidor.
- Audite y revise los registros de los servidores web con frecuencia. Sea consciente de todos los sistemas que expone directamente a Internet.
- Utilice el Firewall de Windows Defender, los dispositivos de prevención de intrusiones y el firewall de su red para evitar la comunicación del servidor de comando y control entre los puntos finales siempre que sea posible, limitando el movimiento lateral, así como otras actividades de ataque.
- Verifique su firewall y proxy perimetral para restringir el acceso innecesario a los servicios, incluido el acceso a los servicios a través de puertos no estándar.
- Practique una buena higiene de credenciales. Limite el uso de cuentas con privilegios de nivel de administrador local o de dominio.
