sábado, 14 de julio de 2012

El fallo de Plesk y la rentabilidad del negocio


Figura 1: El spam con el phishing al BBVA

El miércoles pasado en Una al día alertaban de un fallo en Plesk, un panel de control muy utilizado en servidores de hosting, que permitía obtener las credenciales y acceso a los servidores en Internet. Como cualquier fallo que permite tener control de un servidor, decía la noticia que se estaba utilizando para distribuir malware y que se habían detectado 50.000 sitios con Plesk afectados según Sucuri Malware Labs.


Ese mismo día, mi hermano me pasó un correo electrónico de phishing al BBVA, para que le echara un ojo. El correo, como podéis ver arriba es de lo más normal, y cuando hacías clic - los equipos de seguridad que se encargan de velar por la seguridad del BBVA ya se han encargado de que esto no siga estando activo - entrabas en una página al uso de phishing.

Figura 2: El sitio de Phishing al BBVA

En otros casos, la parte de login suele exigir las restricciones mínimas de seguridad que exige el banco de turno, es decir, la longitud mínima, o la complejidad necesaria, para validar el login, pero en esta ocasión parece que iban con prisas y no querían perder más tiempo, así que con cualquier nombre de usuario y contraseña se podría entrar en la "zona privada" del usuario.

Una vez allí, la página enlazaba páginas reales del banco, lo que podría ser bueno para el banco, ya que el que se enlacen esos links podría permitir a un sistema IDSdetectar phishing simplemente usando expresiones regulares sobre los camposHTTP-Referer. Esto es así porque los nombres de los dominios usados en esquemas de phishing que se utilizan suelen intentar engañar al usuario con ingeniería social.

Figura 3: El sitio de Phishing mezclando contenido del sitio original

¿Cuál sería el exploit utilizado para este caso? Normalmente son exploits conocidos, o fallos garrafales en servidores, donde incluso es común poder encontrar listados de directorios abiertos, etc... En esta ocasión, al buscar medio segundo parecía que la respuesta era evidente.

Figura 4: El servidor de Plesk

Sin embargo, desde el propio artículo de seguridad sobre este caso en Plesk dicen - según la actualización del mismo de ayer -  que todos los servidores vulnerados a los que han tenido acceso lo habían sido por vulnerabilidades ya conocidas y solucionadas no aplicadas por los sistemas afectados.

En cualquier caso, esto me generó dos reflexiones. La primera es que parece mentira que vulnerabilidadades conocidas y parchadas no sean aplicadas por los administradores de servicios de este tipo en Internet. Esto se lo pone muy sencillo alnegocio sostenible del fraude online. La segunda, reflexión es que la ocasión la pintan calva, es decir, mientras que se sabe si hay una vulnerabilidad o no en los paneles, los que saben cómo sacar provecho de estos fallos no están dejando negocio sin explotar, malwarephishing... y lo que se tercie, que estamos para ganar dinero.

Saludos Malignos!

Fuente: http://www.elladodelmal.com/

No hay comentarios:

Publicar un comentario