El miércoles pasado en Una al día alertaban de un fallo en Plesk, un panel de control muy utilizado en servidores de hosting, que permitía obtener las credenciales y acceso a los servidores en Internet. Como cualquier fallo que permite tener control de un servidor, decía la noticia que se estaba utilizando para distribuir malware y que se habían detectado 50.000 sitios con Plesk afectados según Sucuri Malware Labs.
Figura 1: El spam con el phishing al BBVA |
Ese mismo día, mi hermano me pasó un correo electrónico de phishing al BBVA, para que le echara un ojo. El correo, como podéis ver arriba es de lo más normal, y cuando hacías clic - los equipos de seguridad que se encargan de velar por la seguridad del BBVA ya se han encargado de que esto no siga estando activo - entrabas en una página al uso de phishing.
Figura 2: El sitio de Phishing al BBVA |
En otros casos, la parte de login suele exigir las restricciones mínimas de seguridad que exige el banco de turno, es decir, la longitud mínima, o la complejidad necesaria, para validar el login, pero en esta ocasión parece que iban con prisas y no querían perder más tiempo, así que con cualquier nombre de usuario y contraseña se podría entrar en la "zona privada" del usuario.
Una vez allí, la página enlazaba páginas reales del banco, lo que podría ser bueno para el banco, ya que el que se enlacen esos links podría permitir a un sistema IDS detectar phishing simplemente usando expresiones regulares sobre los campos HTTP-Referer. Esto es así porque los nombres de los dominios usados en esquemas de phishing que se utilizan suelen intentar engañar al usuario con ingeniería social.
Figura 3: El sitio de Phishing mezclando contenido del sitio original |
¿Cuál sería el exploit utilizado para este caso? Normalmente son exploits conocidos, o fallos garrafales en servidores, donde incluso es común poder encontrar listados de directorios abiertos, etc... En esta ocasión, al buscar medio segundo parecía que la respuesta era evidente.
Figura 4: El servidor de Plesk |
Sin embargo, desde el propio artículo de seguridad sobre este caso en Plesk dicen - según la actualización del mismo de ayer - que todos los servidores vulnerados a los que han tenido acceso lo habían sido por vulnerabilidades ya conocidas y solucionadas no aplicadas por los sistemas afectados.
En cualquier caso, esto me generó dos reflexiones. La primera es que parece mentira que vulnerabilidadades conocidas y parchadas no sean aplicadas por los administradores de servicios de este tipo en Internet. Esto se lo pone muy sencillo al negocio sostenible del fraude online. La segunda, reflexión es que la ocasión la pintan calva, es decir, mientras que se sabe si hay una vulnerabilidad o no en los paneles, los que saben cómo sacar provecho de estos fallos no están dejando negocio sin explotar, malware, phishing... y lo que se tercie, que estamos para ganar dinero.
Saludos Malignos!
Buenos dias a todos, desde ayer una empresa de hosting que trabaja con nosotros y utiliza Plesk para la gestion de sus servicios.
ResponderEliminarNo cogen ni el telefono... :-P
No me quiero ni imaginar los pobres artilleros en sus trincheras, llamadas de clientes, alarmas, turnos de comida en la empresa, no dar una respuesta convincente... en fin una putxxxx
¿Para que iba a necesitar el BBVA Plesk? Me ha parecido super cutre xDDD
ResponderEliminarY segundo. Si saben que hay vulnerabilidades porque leches no hacen un sistema automático de actualizaciones de seguridad? O_o Lo tiene hasta el wordpress que "es gratis" no como esta gente que cobra un pastón por hacer una mierda de panel...
Son cosas básicas ¿no?
Avisenle a Ivan que el bbva no usa plesk, es la pagina vulnerada :s vaya lectores.
ResponderEliminarAcabo de ver la web de banchangsat.com que supuestamente es la que fue atacada, y solo había un flash maqueta para creación de paginas web...., si la pagina es taaan pobre (y por ende poco mantenida) no me extraña que les hayan creado subdominio(s) para phishing...
ResponderEliminarCoño pues si que hay que ser lerdo para caer en eso ¬_¬
ResponderEliminarSiendo otro dominio es que ni me molesto, aunque bueno, tampoco me molesto en hacer ni caso a ningún tipo de "alerta de actualización de datos"
Iván te resumo en dos palabras como me has dejado: im presionado.
ResponderEliminarEl 90% de los lectores seguro que tuvieron el mismo pequeño despiste. No es importante.
Maligno, lo que cuesta cultivar eh?
Desgraciadamente mi proveedor de hosting se vió afectado por la vulnerabilidad de Plesk, lo que me alertó fué que Google ponia a la página corporativa como posible foco de infección, tirando del hilo de lo que pude sacar de Google, encontre inyectada en el archivo index.php una llamada a una función javascript que en hexadecimal tenía incluida la redirección a una página rusa.
ResponderEliminarTras resolver la situación (¿ seguro ?) y cambiar todas las contraseñas que podían haber sido comprometidas, envié varios correos a mi proveedor para informar del hecho y la forma en que en mi caso habían comprometido el sitio. Respuesta: Que eso no es cosa suya, que es mía !!! Intenté enviar mas información sobre el tema y la dirección de e-mail del soporte había sido desactivada, ja.
Al día siguiente saltó la noticia a la palestra, yo en concreto la ví en Hispasec y entonces comprendí lo que había pasado y la reacción de mi proveedor (¿ pánico ?).
En fin, la fragilidad que demuestra a veces algunos productos de software, es aterradora. De mi proveedor ya veremos que acciones tomaremos.
Un saludo cordial. Manu.