Seguridad

Nuevo ataque masivo infecta a servidores de bancos, gobiernos y multinacionales

exploit-masivo-infecta-servidores-bancos-gobiernos-empresas
Escrito por Lara Olmo

Miles de servidores están en peligro por una vulnerabilidad en Apache Struts, herramienta para el desarrollo de aplicaciones web que emplean bancos, agencias gubernamentales y corporaciones de internet.

En las últimas 48 horas un grupo de piratas informáticos viene explotando activamente una vulnerabilidad que les permite tomar el control casi por completo de los servidores que emplean bancos, agencias gubernamentales y grandes empresas de internet.

Los nombres de las corporaciones y entidades afectadas son se han hecho públicas pero, según informa Arstechnica, en todos los casos el ataque sería el mismo: un bug insertado en el código con el que se ejecuta la herramienta de soporte para desarrollar aplicaciones web Apache Struts 2.

Los comandos inyectados detienen el firewall que protege al servidor, y después descargan y ejecutan el malware, permitiéndole a los hackers la ejecución remota de comandos.

La vulnerabilidad reside en un fallo en la función de upload del parser de Jakarta, software de código abierto de Apache que sólo necesita una biblioteca de soporte para empezar a funcionar.

Aunque la vulnerabilidad ya se ha corregido, esto no está impidiendo que los hackers sigan insertando comandos a su elección en aquello servidores Struts que aún no se han actualizado con el parche. Y la situación es más delicada si cabe porque hay al menos dos programas maliciosos a disposición pública, para que los emplee quien quiera para seguir extendiendo el ataque.

Las versiones de Apache Struts afectadas por la vulnerabilidad incluyen Struts 2.3.5 a 2.3.31 y 2.5 a 2.5.10, de modo que los servidores que ejecutan cualquiera de estas versiones deben actualizar a 2.3.32 o 2.5.10.1 inmediatamente.

Sobre el autor de este artículo

Lara Olmo

Periodista 2.0 con inquietudes marketeras. Innovación, redes sociales, tecnología y marcas desde una perspectiva millenial. Vinculada al mundo startup. Te lo cuento por escrito, en vídeo, con gráficos o como haga falta.