Aviso de seguridad

Nivel de peligrosidad: Alto

Descripción

Los servidores Apache Tomcat están en el centro de una nueva campaña de ciberataques. Investigadores de seguridad de Aqua han identificado más de 800 ataques en sus servidores señuelo de Tomcat durante un período de dos años. El 96 % de estos ataques están vinculados a la red de bots Mirai, conocida por su capacidad para llevar a cabo ataques de denegación de servicio distribuido (DDoS).

En los intentos de ataque, los ciberdelincuentes emplean un script de shell web llamado "neww", el cual es utilizado para intentar obtener acceso al administrador de aplicaciones web de Tomcat.

Una vez que los atacantes logran acceder al administrador de aplicaciones web, implementan un archivo WAR que contiene una peligrosa clase de shell web denominada 'cmd.jsp'. Esta clase está diseñada para escuchar solicitudes remotas y ejecutar comandos arbitrarios en el servidor Tomcat, lo que les brinda un punto de apoyo para sus acciones maliciosas.

Recursos afectados

• Servidores Apache Tomcat desatendidos y desactualizados.

Recomendaciones

Para garantizar la seguridad y minimizar los riesgos asociados a este tipo de ataques se recomienda tomar las siguientes acciones:

• Mantener actualizado Apache Tomcat.
• Configurar credenciales de acceso robustas.
• LImitar el acceso remoto.
• Monitorizar y registrar actividades sospechosas (IP atacante: 104.248.157[.]218).
• Realizar copias de seguridad regulares.
• Implementar soluciones de seguridad adicionales.

Referencias

Los piratas informáticos apuntan a los servidores Apache Tomcat para Mirai Botnet y Crypto Mining