Underc0de - La Casa de los Informáticos

Los actores maliciosos están explotando activamente aplicaciones web intencionadamente vulnerables, utilizadas habitualmente para entrenamiento en ciberseguridad y pruebas internas de penetración, con el fin de comprometer entornos en la nube de grandes empresas y proveedores de seguridad. Entre las aplicaciones abusadas se encuentran Damn Vulnerable Web Application (DVWA), OWASP Juice Shop, Hackazon y bWAPP, todas ellas ampliamente utilizadas en laboratorios de seguridad.

Una investigación reciente de la empresa de pruebas de penetración automatizadas Pentera confirma que este vector de ataque ya está siendo utilizado en escenarios reales, permitiendo a los atacantes acceder a infraestructuras cloud corporativas, desplegar mineros de criptomonedas, instalar webshells persistentes y pivotar hacia sistemas críticos dentro de la red.

Aplicaciones de prueba: un riesgo crítico cuando se exponen a Internet

Las aplicaciones web de entrenamiento están diseñadas deliberadamente con vulnerabilidades conocidas para facilitar el aprendizaje práctico. Sin embargo, cuando estas aplicaciones se exponen accidentalmente a Internet y se ejecutan desde cuentas cloud con privilegios elevados, se convierten en un punto de entrada extremadamente peligroso.

Pentera identificó 1.926 aplicaciones vulnerables activas accesibles desde la web pública, desplegadas en entornos cloud de Amazon Web Services (AWS), Google Cloud Platform (GCP) y Microsoft Azure. En muchos casos, estas aplicaciones estaban asociadas a roles de Gestión de Identidad y Acceso (IAM) excesivamente privilegiados, incumpliendo de forma crítica el principio de menor privilegio.

Empresas Fortune 500 afectadas

Según el informe, las aplicaciones expuestas pertenecían a múltiples organizaciones de gran tamaño, incluidas empresas Fortune 500 y proveedores líderes de seguridad, como Cloudflare, F5 y Palo Alto Networks. Pentera aclaró que estas compañías fueron notificadas de forma responsable, y que los problemas ya han sido corregidos tras la divulgación.

En muchos de los casos analizados, las aplicaciones:

• Exponían credenciales cloud en texto claro
• Utilizaban credenciales predeterminadas
• No aplicaban políticas de menor privilegio
• Permitían acceso directo a recursos críticos de la nube

Estas malas prácticas facilitaron enormemente la toma de control de los entornos afectados.

Acceso total a servicios cloud críticos

Las credenciales descubiertas durante la investigación podrían haber permitido a los atacantes:

• Acceder completamente a buckets S3, Google Cloud Storage y Azure Blob Storage
• Leer y escribir secretos en AWS Secrets Manager y servicios equivalentes
• Interactuar con registros de contenedores
• Obtener privilegios administrativos en entornos cloud completos

Este nivel de acceso convierte una simple aplicación de laboratorio en un punto de compromiso total de la infraestructura.

Explotación activa confirmada en la naturaleza

Pentera Labs confirmó a BleepingComputer que el riesgo no es teórico. Durante la investigación, los analistas detectaron evidencias claras de explotación activa por parte de actores maliciosos.

Citar"Descubrimos pruebas claras de que los atacantes están explotando activamente estos vectores de ataque, desplegando mineros criptográficos, webshells y mecanismos de persistencia en sistemas comprometidos", señalaron los investigadores.

Al analizar instancias vulnerables, los investigadores desplegaron shells de prueba y enumeraron datos para identificar a los propietarios de los sistemas comprometidos.

Uno de los hallazgos más preocupantes fue que, de las 616 instancias de DVWA descubiertas, aproximadamente el 20 % ya contenía artefactos maliciosos instalados por atacantes reales.

Cryptojacking con XMRig y Monero

La actividad maliciosa más común detectada fue la minería de criptomonedas, utilizando la herramienta XMRig para minar Monero (XMR) de forma encubierta en segundo plano. Este tipo de ataque, conocido como cryptojacking, permite a los atacantes monetizar el acceso no autorizado mientras consumen recursos cloud de alto coste.

Los investigadores también descubrieron un mecanismo avanzado de persistencia basado en un script denominado watchdog.sh. Si el script es eliminado, se restaura automáticamente desde una copia de seguridad codificada en Base64, vuelve a descargar XMRig desde GitHub y reanuda la actividad maliciosa.

Además, el script:

• Descarga herramientas adicionales desde Dropbox
• Utiliza cifrado AES-256
• Elimina mineros competidores del sistema comprometido

Webshells y pistas sobre el origen de los atacantes

En otros casos, los atacantes desplegaron un webshell PHP denominado filemanager.php, capaz de realizar acciones avanzadas como:

• Lectura, escritura y eliminación de archivos
• Subida y descarga de ficheros
• Ejecución de comandos del sistema

El webshell incluía credenciales de autenticación codificadas y estaba configurado con una zona horaria Europa/Minsk (UTC+3), un detalle que podría ofrecer pistas sobre el origen geográfico de los operadores, aunque no constituye una atribución definitiva.

Pentera subrayó que estos artefactos fueron descubiertos tras notificar previamente a las empresas afectadas, y que los sistemas ya han sido asegurados.

Recomendaciones de seguridad para entornos cloud

Pentera recomienda a las organizaciones adoptar medidas inmediatas para reducir este riesgo:

• Mantener un inventario completo de todos los recursos cloud, incluidas aplicaciones de prueba
• Aislar entornos no productivos de los sistemas de producción
• Aplicar estrictamente roles IAM de menor privilegio
• Cambiar y rotar credenciales predeterminadas
• Configurar caducidad automática para recursos temporales
• Monitorizar activamente la exposición de servicios a Internet

El informe también ofrece un desglose técnico detallado de las técnicas utilizadas para descubrir aplicaciones vulnerables, identificar propietarios y analizar la explotación activa.

En fin...

La explotación de aplicaciones web de pruebas mal configuradas demuestra cómo errores básicos de configuración pueden derivar en compromisos graves de seguridad cloud, incluso en organizaciones de primer nivel. En un contexto donde los atacantes buscan continuamente nuevos puntos de entrada, la gestión rigurosa de activos y privilegios sigue siendo una de las defensas más efectivas.

Fuente: https://www.bleepingcomputer.com/