{"id":602,"date":"2015-06-09T11:34:45","date_gmt":"2015-06-09T16:34:45","guid":{"rendered":"https:\/\/nodored.com\/blog\/?p=530"},"modified":"2022-06-23T09:36:33","modified_gmt":"2022-06-23T14:36:33","slug":"que-es-la-contaminacion-cruzada","status":"publish","type":"post","link":"https:\/\/gigacore.io\/docs\/que-es-la-contaminacion-cruzada\/","title":{"rendered":"\u00bfQu\u00e9 es la contaminaci\u00f3n cruzada?"},"content":{"rendered":"

Uno de nuestros clientes tiene un sitio en el que ha trabajado mucho llamado sitiowebdejemplo.com. \u00c9l usa WordPress, siempre mantiene actualizados tanto su tema como sus plugins, utiliza contrase\u00f1as seguras, accede al panel de administraci\u00f3n a trav\u00e9s de SSL y toma todas las recomendaciones de seguridad muy en serio.<\/span><\/p>\n

\u00c9l utiliza un servidor compartido de Nodored y por ende, tiene la capacidad de hospedar varios en dominios en su plan. A trav\u00e9s de los a\u00f1os ha sabido aprovechar esta oferta, a\u00f1adiendo algunos sitios aqu\u00ed y all\u00e1. Uno de esos sitios es unsitiodepruebas.com, que lo utilizaba para instalar nuevos temas y plugins que encontraba en internet.<\/span><\/p>\n

Ahora bien, han pasado varios meses desde que modific\u00f3 alguno de los otros sitios que tiene, por ejemplo en el caso de unsitiodepruebas.com no ha sido actualizado y alberga un plugin que desde hace unos meses fue eliminado del repositorio de WordPress. Poco sabe nuestro cliente que se elimin\u00f3 desde el repositorio por tener una vulnerabilidad de seguridad muy grave.<\/span><\/p>\n

Parte 1: Los malos llegaron<\/h2>\n

Como en cualquier historia, los chicos malos no perdieron tiempo en la b\u00fasqueda y explotaci\u00f3n de esta vulnerabilidad. Ten\u00edan una lista con millones de sitios que eran escaneados diariamente (Basado en Alexa). Finalmente encontraron el sitiowebdejemplo.com (Por tener un muy buen ranking) y trataron de explotarlo pero no tuvieron \u00e9xito. Buscaban cualquier vector de ataque potencial; cosas como la versi\u00f3n de WP, plugins vulnerables, contrase\u00f1as d\u00e9biles (Haciendo uso de la fuerza bruta y ataques de diccionario), utilizaron una serie de herramientas, pero nada funcion\u00f3. Nuestro cliente gan\u00f3 esa batalla gracias al mantenimiento brindado a este sitio web.<\/span><\/p>\n

Unos d\u00edas despu\u00e9s, utilizando una serie de t\u00e9cnicas encontraron que en el mismo servidor se ten\u00eda otro sitio: unsitiodepruebas.com. A diferencia del sitiowebdejemplo.com, utilizando las mismas t\u00e9cnicas que antes encontraron r\u00e1pidamente el plugin vulnerable y se aprovecharon de su vulnerabilidad para obtener acceso.<\/span><\/p>\n

Nuestro cliente dijo<\/b>: \u201cBueno, est\u00e1 bien, es s\u00f3lo su sitio sin importancia (unsitiodepruebas.com), a qui\u00e9n le importa\u201d.<\/i><\/b><\/p>\n

Parte 2: \u00bfC\u00f3mo hackearon mi sitio web?<\/h2>\n

Al d\u00eda siguiente, nuestro cliente comenz\u00f3 a recibir correos electr\u00f3nicos de sus usuarios quienes se quejaban de que el sitiowebdejemplo.com estaba causando que sus antivirus locales dispararan alertas de virus y por ende el sitio se bloqueaba. Lo primero que hizo el cliente fue ir a su sitio para ver lo que est\u00e1 pasando y fue recibido con una la siguiente advertencia:<\/span><\/p>\n

\u201cESTE SITIO PUEDE DA\u00d1AR TU EQUIPO\u201d<\/i><\/b><\/p>\n

Ahora la gran pregunta: \u00bfC\u00f3mo hackearon mi sitio web? <\/b>\u201cSi yo hice todo bien, he seguido todas las recomendaciones de seguridad\u201d.<\/i><\/b><\/p>\n

Parte 3: Contaminaci\u00f3n cruzada<\/h2>\n

En la parte 1 terminamos con una pregunta: <\/span>\u201cBueno, est\u00e1 bien, es s\u00f3lo su sitio sin importancia (unsitiodepruebas.com), a qui\u00e9n le importa\u201d.<\/i><\/b><\/p>\n

\u00a1ERROR!<\/b><\/p>\n

Si, nuestro cliente lo hizo todo para proteger el sitiowebdejemplo.com, lo que no hizo fue aplicar aplicar los mismos principios de seguridad a todos los sitios que alojaba en la misma cuenta; se olvid\u00f3 de que debido a que los otros sitios est\u00e1n en la misma cuenta compartida (Y pueden ser manejados por el mismo usuario), cualquier vulnerabilidad en ellos se puede utilizar para comprometer toda la cuenta.<\/span><\/p>\n

Una vez en el servidor el atacante fue capaz de introducir todo tipo de c\u00f3digo malicioso, y al igual que cualquier virus se replic\u00f3 insert\u00e1ndose en todos los archivos PHP que pudo encontrar, logrando extenderse por cada directorio de su sitio.<\/span><\/p>\n

Parte 4: Solucionar el Problema<\/h2>\n

Como era de esperar, nuestro cliente nos contact\u00f3 inmediatamente para que le di\u00e9ramos una soluci\u00f3n al problema de su web sitiowebdejemplo.com. Nuestro equipo de soporte escaneo el sitio y elimino todo malware que se encontr\u00f3 en esa instalaci\u00f3n de WordPress. Unas horas despu\u00e9s todo estaba bien de nuevo, las advertencias hab\u00edan desaparecido.<\/span><\/p>\n

Incluso nuestro cliente dio unos pasos m\u00e1s en esta ocasi\u00f3n, bloque\u00f3 el acceso a wp-admin por IP e instal\u00f3 todos los plugins de seguridad que pudo encontrar.\u00a0<\/span><\/p>\n

\u00bfVICTORIA?<\/b><\/p>\n

Parte 5: Contaminaci\u00f3n cruzada y re infecciones<\/h2>\n

No, ni siquiera cerca, dentro de una hora todos los errores hab\u00edan reaparecido.<\/span><\/p>\n

\u00bfPor qu\u00e9 ocurri\u00f3 esto cuando se hab\u00edan seguido todas las recomendaciones de seguridad?<\/b><\/h3>\n

La respuesta es simple, un concepto conocido como <\/span>contaminaci\u00f3n cruzada<\/b>, en realidad algo sencillo de entender. Todos sabemos c\u00f3mo funcionan los virus y su nivel de propagaci\u00f3n. Lo mismo se aplica al malware web, se duplica e inyecta a s\u00ed mismo en peque\u00f1os directorios muy ocultos donde nunca revisar\u00edas, lugares que ni siquiera puedes imaginar. Es posible que tengas un directorio para todos los archivos JavaScript y all\u00ed encuentres un archivo de PHP que est\u00e9 infectado o puede ser que tengas un directorio para las im\u00e1genes y en una imagen PNG se est\u00e9 ocultando un ejecutable.<\/span><\/p>\n

\u00bfY si trabajamos juntos?<\/h2>\n

Esta breve historia es muy real, le ha ocurrido a algunos de nuestros clientes y la idea es darte un ejemplo acerca del concepto de contaminaci\u00f3n cruzada y su nivel de gravedad.<\/span><\/p>\n

La cuesti\u00f3n es muy simple, si tienes muchos sitios en la misma cuenta (Bajo el mismo usuario), cualquiera de ellos puede ser utilizado para poner en peligro a los dem\u00e1s. A los atacantes no les interesa que tan importante es un sitio para ti, lo \u00fanico que quieren es un punto de acceso.<\/span><\/p>\n

Es desafortunado, pero vemos esto todo el tiempo. Es por eso que una de las primeras cosas que debes hacer es analizar las versiones del software que utilizas (WordPress, Joomla, etc.) y sus vulnerabilidades m\u00e1s conocidas. Es triste informar que con demasiada frecuencia nos encontramos con cosas como estas:\u00a0\u00a0<\/span><\/p>\n

\/sitiowebdejemplo.com (WordPress 3.3.1)\u00a0<\/span><\/p>\n

\/sitiowebdejemplo.com_backup_1 (WordPress 3.1) \u2013 Desactualizado<\/span><\/p>\n

\/sitiowebdejemplo.com_backup_2 (WordPress 3.2.1) \u2013 Desactualizado<\/span><\/p>\n

\/sitiowebdejemplo.com_backup_3 (WordPress 3.2.1) \u2013 Desactualizado<\/span><\/p>\n

\/otrositiowebdeejemplo.com (WordPress 1.5) \u2013 Desactualizado<\/span><\/p>\n

\/unsitiowebmuyimportante.com (Joomla 1.5) \u2013 Desactualizado<\/span><\/p>\n

Lo que nuestros clientes suelen hacer es \u201calmacenar\u201d respaldos, sitios antiguos o sitios de clientes en la misma cuenta de hosting, atendiendo s\u00f3lo a los clientes actuales y usando el servidor como almacenamiento para respaldos sin percatarse del problema potencial.<\/span><\/p>\n

Lecciones aprendidas y puntos de acci\u00f3n para ti:<\/h2>\n