Esta semana, hablaremos de una vulnerabilidad en un plugin de WordPress, un novedoso malware para Linux y una herramienta de código abierto llamada Osquery. ¡Vamos a entrar en materia!
Vulnerabilidad de inyección SQL en Hide My WP (CVE-2021-36916)
Según la página web del plugin, Hide My WP es un plugin para WordPress que oculta tu sitio web de atacantes, spammers y detectores de temas. En el momento de escribir este artículo, tiene más de 26.000 usuarios activos. Según el informe de patchstack, las versiones de este plugin anteriores a la 6.2.3 son vulnerables a un ataque de inyección SQL no autenticado. Patchstack aconseja actualizar este plugin a la versión 6.2.4 para mitigar esta vulnerabilidad.
Malware CronRAT para Linux
Descubierto por Sansec, CronRAT es un malware para Linux que tiene como objetivo los servidores de comercio electrónico. Al igual que muchos RAT (troyanos de acceso remoto), proporciona al atacante acceso remoto al sistema afectado mediante un servidor C2 (de mando y control) y permite al operador del RAT ejecutar cualquier código.
Según el artículo, su principal hazaña es esconderse en el subsistema de calendario de Linux (también conocido como 'cron') en un día inexistente. También utiliza un protocolo binario personalizado para comunicarse con el servidor del operador para evitar ser detectado por los mecanismos de detección habituales, como los cortafuegos y los sistemas de detección de intrusos. Puede consultar el artículo escrito por Sansec para obtener información sobre los IoC de este malware.
Osquery & FleetDM
Osquery, desarrollado originalmente por Facebook, es un proyecto de código abierto, y expone un sistema operativo como una base de datos relacional de alto rendimiento. Esto permite a sus usuarios consultar una amplia gama de información sobre el dispositivo en el que está instalado mediante consultas SQLite. Esta información puede ser procesos en ejecución, módulos del kernel cargados, conexiones de red abiertas, plugins del navegador, eventos de hardware, hashes de archivos y mucho más. Utilizamos activamente Osquery junto con otras herramientas de código abierto para monitorizar nuestra infraestructura.
Otra herramienta gratuita y de código abierto, FleetDM, le permite desplegar agentes de Osquery en múltiples dispositivos y gestionarlos fácilmente. Puedes programar consultas, escribir paquetes de consultas y realizar la búsqueda de amenazas utilizando la interfaz web proporcionada por FleetDM. Echa un vistazo a este repositorio que proporciona paquetes de consulta pre-escritos, para que puedas empezar a trabajar si despliegas tu propia Flota.
Osquery en acción
Para demostrar la utilidad de Osquery, vamos a echar un vistazo a uno de los IoC de CronRAT. Según el artículo, un indicador es que este RAT se esconde como un cronjob en un día inexistente, concretamente el 31 de febrero. Podemos utilizar la siguiente consulta para buscar los cronjobs que están escritos para ejecutarse en esta fecha específica:
SELECT * FROM crontab WHERE month = 2 AND day_of_month = 31 ;
Esta consulta recogerá información del dispositivo de destino utilizando la tabla crontab que gestiona Osquery. Puedes consultar el esquema para ver en detalle las tablas que se pueden consultar en los diferentes sistemas operativos.
Contribuir a las herramientas de código abierto y compartir los conocimientos de la comunidad nos ayuda a todos a proteger nuestros sistemas. En los próximos boletines de seguridad compartiremos más información sobre las herramientas que utilizamos para proteger nuestra infraestructura. Mientras tanto, nos encantaría conocer sus herramientas de seguridad de código abierto favoritas. Siéntase libre de comentar abajo y manténgase en sintonía para más actualizaciones de nosotros.
Comentarios