Φαίνεται ότι κακόβουλοι παράγοντες εκμεταλλεύονται όλο και πιο συχνά ευπαθή δίκτυα για να εγκαταστήσουν web shells, σύμφωνα με μία έκθεση από τις U.S. National Security Agency (NSA) και Australian Signals Directorate (ASD).
Τα web shells είναι κακόβουλα εργαλεία τα οποία μπορούν να χρησιμοποιηθούν από τους hackers για να αποκτήσουν παράνομη πρόσβαση σε ένα εκτεθειμένο δίκτυο ή έναν παραβιασμένο server. Επιπλέον τους επιτρέπει να εκτελούν απομακρυσμένο κώδικα, να κατεβάζουν κακόβουλα payloads και να εκμεταλλεύονται και άλλες συσκευές στο ίδιο δίκτυο.
Τα εν λόγω εργαλεία, μπορούν να εγκατασταθούν σε έναν ευάλωτο sever ή δίκτυο με διάφορες μορφές, όπως προγράμματα που έχουν σχεδιαστεί ειδικά για να παρέχουν λειτουργίες web shell, Perl, Ruby, Python και Unix scripts, πρόσθετα εφαρμογών και αποσπάσματα κώδικα PHP και ASP.
Ανίχνευση, πρόληψη και μετριασμός των web shells
Η έκθεση των δύο κυβερνητικών υπηρεσιών, περιέχει ένα ευρύ φάσμα πληροφοριών για όσες ομάδες ασφαλείας επιθυμούν να εντοπίσουν κρυμμένα web sheΙΙs, να διαχειρίζονται τις διαδικασίες απόκρισης και ανάκτησης μετά τον εντοπισμό web shells και να εμποδίσουν τους κακόβουλους παράγοντες να εγκαθιστούν τέτοιου είδους εργαλεία σε ευάλωτους server.
Ευπάθειες που χρησιμοποιούνται για την εγκατάσταση web shells
Οι οργανισμοί καλούνται να επιδιορθώσουν τις διαδικτυακές τους εφαρμογές, ώστε να μετριάσουν αμέσως τους κινδύνους από τις γνωστές ευπάθειες που οι εισβολείς θα μπορούσαν να εκμεταλλευτούν, όταν στοχεύουν ευάλωτους srever.
Η NSA και η ASD απαριθμούν πολλές ευπάθειες ασφαλείας που συνήθως εκμεταλλεύονται οι hacker για να εγκαταστήσουν κακόβουλο λογισμικό web shells, συμπεριλαμβανομένων των Microsoft SharePoint, συσκευών Citrix, λογισμικού Atlassian, Adobe ColdFusion, Zoho ManageEngine, της προσθήκης WordPress Social Warfare και του εργαλείου δημιουργίας εφαρμογών Progress Telerik UI.
Περίπου 77.000 web shells ανακαλύπτονται καθημερινά. Η αύξηση των επιθέσεων που βασίζονται σε web shells αυτές τις μέρες, απεικονίζεται σε μια έκθεση της Microsoft που δημοσιεύτηκε τον Φεβρουάριο, η οποία αναφέρει ότι η ομάδα Microsoft Defender Advanced Threat Protection (ATP) “ανιχνεύει κατά μέσο όρο 77.000 web shells και σχετικά εργαλεία σε 46.000 διακριτές μηχανές.”
