Ataque esteganográfico podría comprometer webs teóricamente seguras

Un inusual tipo de ciberataque que emplea esteganografía permitiría a un atacante implantar una webshell maliciosa en sitios web que, de antemano, podríamos considerar totalmente seguros y parcheados. Este tipo de ataque ha sido visto en sudamérica recientemente.

Como explican los expertos de Threatpost, basándose en pruebas que a a su vez les ha suministrado Truswave, tras un análisis forense de la amenaza se encontró que el atacante estaba implantando código PHP dentro de los encabezados (headers) EXIF de archivos JPEG, para así poder abrir una webshell.

Hackear sitios web con solo subir una imagen

Esconder malware dentro de imágenes es algo ya conocido por todos para evadir la detección, aunque no todos los sistemas de seguridad lo analizan con el mismo nivel de detalle. Esta técnica en concreto es única porque permite atacar igualmente a un servidor aunque este sea 100% seguro y tenga sus parches al día.

PHP proporciona una buena funcionalidad que permite leed y parsear datos EXIF, así que si atacas una web que permite subir imágenes y además usa scripts con PHP, esencialmente puedes subir el malware que te de la gana.

Los archivos EXIF

EXIF o Exchangeable Image Format, es un estándar que especifica las características de las imágenes, sonido y tags (etiquetas) usados por cámaras digitales, scanners y otros dispositivos de medios (cosas como nombre de archivo, tamaño, resolución, etcétera). PHP posee una función embebida para poder extraer y leer los metadatos de las imágenes. Esto es útil, por ejemplo, para la gente con algún impedimento en la vista.

Normalmente los WAF (Web Application Firewall) y escáneres de malware meten en lista blanca las imágenes. Esto es inteligente, ya que no se suele ver esta técnica. Por otra parte, la función de lectura de EXIF para PHP es muy común en muchas herramientas de diseño web y plugins pre-ensamblados. Por tanto, no es muy difícil atacar este estándar si sabemos como funciona.

Diría que necesitas una experiencia moderada […] No necesitas experiencia programando o utilizar herramientas especiales, solamente entender el funcionamiento de PHP y utilizar una herramienta web para manipular metadatos EXIF.

Además añade, que este tipo de técnica no es nueva. Además, la esteganografía ya no es algo tan extraño de ver como hace unos años (la última muestra de este tipo de ciberataque se vio en 2013). Este ataque se ha vuelto más refinado, además. En aquel caso previo el webshell se incluía al completo en el «header» de la imagen.

Ahora, por otro lado, se ha tomado una estrategia por fases: el código incluido dentro del JPEG es simplemente un dropper que, una vez ejecutado, descarga una webshell desde un host externo.

Webshell

Las Webshells son scripts (código que contiene un conjunto de comandos a ejecutar) que se envían a los sitios web cuando estos presentan una vulnerabilidad que lo permita, su complejidad varía para realizar distintas acciones sobre el servidor que la albergará.

Básicamente, la webshell nos concederá una «shell» o terminal desde la cual podremos enviar comandos al servidor remoto mediante la carga de archivos.

Mitigación del peligro

Este tipo de ataque se está viendo contra webs de comercio electrónico de Latinoamérica, usando campañas perfectamente dirigidas. Para protegerse, los dueños de los sitios pueden primeramente y sobre todo escanear las tag PHP en los archivos de imagen. Si existen imágenes, estas deberían revisarse.

Además, es conveniente desactivar la carga de imágenes si no es estrictamente necesaria, de esta forma conteniendo mejor el peligro. Y por supuesto, como dicen los expertos:

Si de repente ves archivos PHP no autorizados en tu web, es una señal de alarma.