(Tomado y Adaptado de WatchGuard Secplicity)
Hoy mi jefe no pudo acceder a un sitio web. Pues resulta que nuestro servicio de WebBlocker lo clasificó como un sitio web comprometido. ¡Estupendo! Nuestro WatchGuard Firebox está haciendo un buen trabajo. Sin embargo, mi jefe conocía el sitio, y la gente detrás de él, así que quería saber lo que estaba pasando.
Una revisión rápida en nuestro Portal de Seguridad confirmó la clasificación, y csi.websense.com proporcionó la razón: Injection.Black_SEO.Web.RTSS.
He visto esto antes, así que sabía qué esperar. Creé una excepción en el WebBlocker para mí, permitiéndome llegar al sitio para investigar un poco más. No pasó mucho tiempo para encontrar lo que estaba buscando.
Al ver el código fuente HTML de la página principal del sitio, rápidamente me encontré con algo de código adicional que los propietarios del sitio probablemente desconocían. El código inyectado estaba diseñado para abrir de forma invisible varios enlaces sin mostrar mucho al visitante. El objetivo de este tipo de ataques es mejorar falsamente los resultados de búsqueda de estos enlaces, puesto que cada usuario que ingrese a este sitio, también abrirá sin saberlo los enlaces que han sido inyectados. Esta técnica de ataque es algunas veces llamada blackhat search engine optimization (SEO).
Si bien este es un ejemplo relativamente inofensivo de inyección HTML (ya que no está tratando de ejecutar código en el ordenador de la víctima), la presencia del código no deseado sin duda significa que alguien tiene acceso no autorizado a este sitio. Por desgracia, hasta que los propietarios del sitio no limpien el código inyectado, el Servicio de WebBlocker continuará evitando que los usuarios accedan a él. Aunque se pudiera crear una excepción para permitir el acceso al sitio web, esto no sería lo más recomendable.
Aunque el día de hoy, los atacantes sólo se han aprovechado de este sitio para mejorar los resultados de las búsquedas a través de inyección de código en este sitio, quizás mañana podrían utilizarlo para redirigir a los visitantes a una descarga dirigida, pudiendo incluso permitir obtener furtivamente herramientas utilizadas para explotar vulnerabilidades como el Exploit Kit Angler.
Sin saber exactamente cómo los atacantes inyectaron este código, no se puede ofrecer consejos específicos para el desarrollo de páginas web seguras, (mas que visitar owasp.org y conocer las mejores prácticas para el desarrollo web en general). Sin embargo, se puede compartir un consejo universal, no considere construir y olvidar su sitio web. Es necesario que al menos, usted pueda controlar el acceso al código a su sitio, y monitorear de cerca los cambios de dicho código para que pueda identificar este tipo de inyecciones de código malicioso rápidamente.
(Créditos Rob Collins)
Todo lo relacionado con WatchGuard, eScan, Paessler y nuestros comentarios acerca de Seguridad IT 