NetSarang: una puerta trasera incómoda para el mundo corporativo

Josep Verdura - Analista de Seguridad de Vintegris

Josep Verdura – Analista de Seguridad de Vintegris

El ataque que aprovecha una vulnerabilidad de NetSarang, y que fue bautizado como ShadowPad, ha sido detectado en Brasil, Chile, Colombia, México y Perú.

Los expertos han descubierto una puerta trasera plantada en un software para el control de servidores que utilizan cientos de grandes empresas de todo el mundo.

Cuando se activa, esta puerta trasera permite a los atacantes descargar más módulos maliciosos o robar datos. Los expertos alertaron a NetSarang, el proveedor del software afectado, el cual ha eliminado rápidamente el código malicioso y ha emitido una actualización para sus clientes.

ShadowPad es uno de los mayores ataques conocidos de cadena de suministro. Si no hubiera sido detectado y enmendado tan rápidamente, podría haberse dirigido a cientos de organizaciones en todo el mundo.

Con los ojos puestos en los DNS

Los especialistas en seguridad de la organización estaban preocupados por unas solicitudes sospechosas de DNS (servidor de nombres de dominio) originadas en un sistema que intervenía en el proceso de transacciones financieras.

Investigaciones adicionales mostraron que la fuente de estas solicitudes era un software de control de servidores producido por una compañía legítima y utilizado por cientos de clientes en industrias como las de servicios financieros, educación, telecomunicaciones, manufactura, energía y transporte.

El hallazgo más preocupante era el hecho de que el proveedor no tenía intenciones de que el software realizara estas peticiones.

Después de la instalación de una actualización de software infectada, el módulo malicioso comenzaría a enviar peticiones de DNS a dominios específicos (su servidor de mando y control) con una frecuencia de una vez cada ocho horas.

La solicitud contendría información básica sobre el sistema de la víctima

Si los atacantes consideraban que el sistema era “interesante”, el servidor de mando respondería y activaría una plataforma de puerta trasera completa que se desplegaría silenciosamente dentro de la computadora atacada.

Después de eso, a pedido de los atacantes, la plataforma de puerta trasera sería capaz de descargar y ejecutar código malicioso adicional.

Tras el descubrimiento, los investigadores de inmediatamente contactaron con NetSarang.

La empresa reaccionó rápidamente y emitió una versión actualizada del software sin el código malicioso.

 

 

Por Josep Verdura – Analista de Seguridad de Vintegris