Fue
descubierto en actividad un gusano que aprovecha una
vulnerabilidad en el toolkit OpenSSL para servidores
Apache, y que en poco tiempo ha infectado varios miles
de servidores en internet.
OpenSSL es una
implementación de código abierto del protocolo Secure
Sockets Layer, que funciona, principalmente, con
servidores web Apache bajo la plataforma Linux.
Desarrollado por un grupo colaborativo formado de
ingleses, dinamarqueses, suecos y neocelandeses, es la
opción favorita de los administradores para implementar
transferencias HTTP seguras (HTTPS) bajo Linux.
Hace poco tiempo
había comenzado a circular por la red información de
cómo era posible explotar una vulnerabilidad en dicho
toolkit, y en muy poco tiempo, el pasado viernes 13 de
Septiembre, comenzó a circular por internet un gusano,
de nombre Slapper, capaz de aprovechar dicho agujero de
seguridad para reproducirse automáticamente de servidor
en servidor.
La falla que el
gusano aprovecha cuenta con una solución desde Agosto,
tiempo en que fue liberada la versión 0.9.6g de OpenSSL.
Al parecer, muchos de los administradores de sistemas
que utilizan estas librerías (estimados en más de un
millón en total) no actualizaron correctamente sus
equipos y son vulnerables al ataque de Slapper.
Hasta el momento,
según datos de F-Secure, se han reportado poco menos de
6000 equipos infectados en todo el mundo, principalmente
en Estados Unidos y Japón, aunque también hay entre los
afectados, servidores en muchos otros países, como
México (con 58 casos), España (con 56), Brasil (45) y
Argentina (29).
El funcionamiento
de Slapper es muy interesante dado que a medida que va
infectando servidores vulnerables, crea entre ellos una
red P2P, similares a las que utilizan aplicaciones como
Kazaa o BearShare, e implementa sobre dicha red su
propio protocolo de comunicaciones, lo que le permite al
creador del gusano utilizar sus propios comandos para
realizar acciones en los equipos afectados, además de
poder comunicarse a cualquiera de ellos cuando así lo
quiera.
Esto abre la
puerta a un sinfin de posibles incidentes de seguridad
dado que no sólo entran a aquí en juego las acciones de
las que el gusano es capaz, sino que cualquiera que
tenga acceso a una copia de Slapper podría modificarlo a
su gusto para conectarse a la red de servidores
infectados y realizar todo tipo de acciones en ellos.
El gusano, cuando
encuentra otros equipos vulnerables, se conecta a ellos
aprovechando la vulnerabilidad en OpenSSL, y les copia
un archivo llamado .bugtraq.c en el directorio /tmp, el
cual contiene el código fuente de Slapper, compilándolo
luego con la herramienta gcc, disponible en casi todas
las distribuciones de Linux, para obtener un ejecutable
binario de nombre .bugtraq en el mismo directorio. Éste
será iniciado por el equipo remoto, y de esa manera, un
nuevo servidor será infectado y agregado a la red P2P de
Slapper.
Según comentarios
dentro del propio código fuente del gusano, éste fue
ideado como una herramienta de ataques DDOS (Distributed
Denial of Service, o en español, Denegación de Servicios
Distribuida). Utiliza el protocolo UDP para comunicarse
con otros equipos, y los puertos 443 (HTTPS) y 2002
(comunicaciones entre los equipos infectados).
