Tres millones de servidores podrían estar en riesgo de infección por ransomware.

Sin título77123

Así se encabeza un artículo publicado por la firma Cisco Systems, donde explica que más de tres millones de servidores con acceso a Internet podrían correr el riesgo de ser infectados por ransomware. Este tipo de malware es el que compromete archivos y los cifra para luego pedir un rescate a cambio de su desbloqueo.

Dentro del minucioso trabajo realizado por Cisco, una entrada en su blog explica algo más sobre su punto de vista, la firma comenta que unos 2.100 de los servidores en cuestión pueden ser afectados mediante sus webshells, que le otorgan a los atacantes a tener un control persistente sobre los equipos de la red, haciendo que sean vulnerables a infecciones en cualquier momento. Los servidores afectados se encuentran conectados a aproximadamente 1.600 IP diferentes donde se incluyen colegios, entes gubernamentales, compañías de aviación y otros tipos de organizaciones que no tienen una correcta protección de seguridad en sus servidores.

Cisco logró encontrar que algunos de los servidores relacionados con colegios estaban ejecutando una versión vulnerable de un sistema de gestión, que generalmente se usa para hacer un seguimiento de los libros de bibliotecas y otros artículos pertenecientes a los colegios. Es así como la firma de seguridad dio aviso al desarrollador del software Follet Learning explicándole sobre la vulnerabilidad en su programa, por su parte, los desarrolladores respondieron rápidamente a los reclamos de Cisco, informándoles que ya habían actualizado su programa corrigiendo el fallo de seguridad. También comentaron que actualizaron su aplicación para detectar infecciones en los equipos y así eliminar toda puerta trasera que pueda estar aquejando la seguridad.

Ahora bien, el problema aquí es ¿dónde está la amenaza? El causante de los problemas de seguridad en los servidores está en una versión desactualizada de JBoss, el servidor de aplicaciones Java EE desarrollado por Red Hat. El problema es más grave de lo que parece, según los investigadores de Cisco, se pudo detectar unos 2 millones de servidores vulnerables, pero en su entrada del blog oficial destacan que existen unos 3 millones de servidores con indicios de ser infectados por ransomware a futuro. Y si esto sigue así, la cifra seguirá aumentando con el correr de los meses.

Las recomendaciones de Cisco son claras, aparte de tener sumo cuidado a partir de ahora y reforzar los sistemas de seguridad, explican que si se dispone de un servidor con webshell, se tendrá que eliminar cualquier acceso externo al servidor para evitar visitantes no deseados, recrear la imagen del servidor e instalar versiones actualizadas de las aplicaciones que se utilizan en el mismo. Si por algún motivo no se puede reinstalar el servidor por algún tipo de infección, se debería volver a un punto donde el servidor funcionaba correctamente y a partir de allí comenzar a instalar las actualizaciones pertinentes.

Deja un comentario