Amenaza de Shells PHP Controlados por Cookies en Servidores Linux

Introducción

Recientemente, el equipo de investigación de seguridad de Microsoft ha revelado una nueva técnica utilizada por actores maliciosos para ejecutar código remotamente en servidores Linux mediante shells web PHP controlados por cookies. Este enfoque no solo permite el acceso no autorizado, sino que también reduce significativamente la posibilidad de detección durante las auditorías de tráfico.

¿Qué sucedió?

Los atacantes están aprovechando los valores de las cookies como un canal de control para shells PHP en lugar de utilizar parámetros de URL o cuerpos de solicitud. Esto ofrece un nivel adicional de sigilo, ya que el código malicioso puede permanecer inactivo durante la ejecución normal de la aplicación hasta que se presente un valor específico en la cookie.

Impacto y Riesgo

La técnica de ejecución controlada por cookies puede hacer que los ataques sean más difíciles de detectar, dado que los valores de las cookies son parte del tráfico web habitual. Además, estos métodos pueden ser implementados a través de trabajos cron en entornos Linux, lo que permite a los atacantes mantener una puerta de enlace persistente en el sistema comprometido.

Recomendaciones

• Monitorear y auditar regularmente los trabajos cron en servidores Linux para detectar actividades sospechosas.
• Implementar controles de acceso y políticas de gestión de credenciales para mitigar el acceso no autorizado.
• Utilizar herramientas de detección de intrusiones que analicen el tráfico web en busca de anomalías asociadas con el uso de cookies.
• Actualizar y parchear todos los softwares conocidos para eliminar vulnerabilidades que puedan ser explotadas.

Conclusión

La técnica de uso de shells PHP controlados por cookies representa un nuevo desafío en la ciberseguridad. Las organizaciones deben ser proactivas en la implementación de medidas de seguridad para proteger sus servidores Linux y minimizar el riesgo de exposición a ataques sofisticados.