Con este post, queremos destacar la importancia de mantener nuestros sistemas actualizados.
Hace unas semanas, nos comunicaron un incidente desde el equipo de ciberseguridad de Telefónica por el que probablemente alguna de nuestras máquinas estaba participando en un ataque de Denegación de Servicio a otros sistemas.
Lo primero que hicimos fue utilizar nmap para escanear la red y saber qué máquinas se encontraban en esa red. Una vez identificadas, comenzamos a revisarlas y detectamos que el contenedor que usamos como sistema gestor de incidencias para nuestros usuarios, tenía una versión vulnerable de GLPI, concretamente la 9.5.7
La vulnerabilidad en sí no pertenecía a GLPI sino al componente de terceros htmlawed.
Tras revisar la página del INCIBE, observamos que las versiones anteriores a la 9.5.9 tenían una vulnerabilidad que podía permitir a un ciberatacante inyectar comandos SQL o realizar una ejecución remota de código.
Para solucionar el problema, procedimos a actualizar GLPI a la última versión disponible en ese momento: La 10.0.3.
Tras actualizar, como lo que se estaba produciendo era un ataque de denegación de servicio, para comprobar de forma sencilla y rápida si nuestra máquina se encontraba afectada y participando en el ataque, utilizamos nload, una herramienta para monitorizar el tráfico de entrada y salida de las interfaces de la máquina.
Usando nload comprobamos que el tráfico tanto de entrada como de salida era superior a los 90 Mbits, lo que no es muy normal.
Una vez comprobado que nuestra máquina se encontraba afectada por el Malware, utilizamos Linux Malware Detect para detectarlo. Una vez detectado, pusimos en cuarentena los archivos afectados.
Comprobamos que, una vez vulnerada la máquina, actualizar GLPI a la versión 10.0.3 no era suficiente. Así que, además de eliminar los archivos que habíamos puesto en cuarentena, eliminamos el archivo vendor/htmlawed/htmlawed/htmLawedTest.php vulnerable ante un ataque de inyección SQL.
Una vez eliminado el archivo anterior, consideramos importante proteger el acceso al directorio vendor/htmlawed mediante un fichero .htaccess
A continuación utilizamos algún software de detección de rootkits como, por ejemplo, rkhunter, más que nada para confirmar que no había ningún rootkit.
Y eso es todo. Como veréis es de suma importancia que mantengamos nuestros sistemas actualizados.