Tag apache

Se están detectando cientos de miles de intentos de ataque que buscan explotar la vulnerabilidad.

En muchos casos, la actualización de los sistemas de TI y la instalación de parches de seguridad es un asunto silencioso que a los líderes empresariales poco les preocupa, ya que están más atentos a conseguir que se apruebe un presupuesto para que el equipo de TI pueda llevar adelante esta tarea. Sin embargo, ese enfoque silencioso a veces se ve alterado cuando surge una noticia de último momento sobre una empresa que sufrió un ciberataque o una brecha de datos debido a una vulnerabilidad en algún software que estaban usando. La lectura de una historia de este tipo debería generar inmediatamente algunas preguntas a los líderes de cualquier empresa. Las más importantes son: “¿Mi empresa está usando ese software? Si es así, ¿hemos aplicado el parche?”

El caso de la vulnerabilidad Log4Shell debería generar estas y otras preguntas. A modo de contexto, Log4Shell es el nombre que se le dio a esta vulnerabilidad que involucra un fragmento de código —la librería Log4j 2 de Apache— que es utilizado en todo el mundo y perfectamente podría estar presente en algún software que usa su empresa, incluso sin que el personal de TI lo sepa explícitamente. Además, para los atacantes es bastante fácil de explotar y las consecuencias para las empresas podrían ser muy peligrosa.

Los ciberdelincuentes están escaneando Internet para enviar paquetes maliciosos con el objetivo de comprometer cualquier sistema expuesto a Internet que utilice una versión vulnerable de esta librería.

En este sentido, si su sistema procesa uno de esos paquetes maliciosos es posible que ya esté comprometido, porque el atacante ha hecho que uno de sus sistemas intente abrir un sitio web malicioso y descargue malware que podría incluso tomar control total del mismo. De la misma manera, un atacante que ya esté dentro de su red podría moverse fácilmente a otros sistemas utilizando el mismo enfoque de ataque.

Hasta ahora, los sistemas de detección de ESET han arrojado intentos de ataque que buscan distribuir malware, como mineros de criptomonedas, los troyanos Tsunami y Mirai, así como Meterpreter, la herramienta para realizar pruebas de penetración. Es probable que sea cuestión de tiempo antes de que los ataques se intensifiquen y los actores de amenazas avanzadas comiencen a intentar explotar esta vulnerabilidad de forma masiva. Ya se detectaron ataques de ransomware intentando explotarla.

El momento de auditar y actualizar es ahora

La vulnerabilidad Log4Shell ha provocado que empresas en todo el mundo estén realizando una auditoría completa de todo el software que utilizan y/o desarrollan para detectar la presencia de versiones vulnerables de la librería Log4j 2. Con cientos de miles de intentos de ataque recientemente detectados y bloqueados solo por los sistemas de ESET, no hay tiempo que perder en esta búsqueda.

Por lo tanto, los líderes de las organizaciones deben acercarse lo antes posible al equipo de TI y asegurarse de que se esté realizando una búsqueda completa de todos los activos de software de la A a la Z. Muchas empresas de desarrollo de software ya han auditado sus productos y han comunicado a los clientes si han sido afectados por Log4Shell y, de ser así, qué mitigaciones deberían implementar los clientes para minimizar los riesgos. Dicho esto, es importante que el equipo de TI de su organización busque esas comunicaciones de inmediato. El comunicado para los clientes de ESET está aquí.

Es muy importante que una vez que se identifiquen las versiones vulnerables de la librería Log4j el equipo de TI actualice la librería a la última versión, que actualmente es 2.16.0. Los administradores de TI pueden seguir los consejos de mitigación que se comparten aquí.

Fuente: https://www.welivesecurity.com/

En este artículo se muestra cómo instalar y configurar mod_security. mod_security es un módulo Apache que proporciona detección y prevención de intrusiones para aplicaciones web. Su objetivo es proteger las aplicaciones web de ataques conocidos y desconocidos, como ataques de inyección de SQL, secuencias de comandos entre sitios, ataques de trayectoria de ruta, etc.

En el primer capítulo voy a mostrar cómo instalar mod_security en Debian, Ubuntu y en Fedora, y en el segundo capítulo voy a describir cómo configurar Apache para mod_security que es independiente de la distribución que estes usando

Quiero decir primero que no es la única forma de establecer un sistema de este tipo. Hay muchas maneras de lograr este objetivo, pero esta es la manera que tomo. ¡No hay ninguna garantía de que esto funcione para usted!

1 Instalación

1.1 Debian

mod_security está disponible como un paquete Debian en los repositorios Debian por defecto, por lo tanto la instalación es tan simple como esto:

apt-get install libapache2-mod-security
a2enmod mod-security
/etc/init.d/apache2 force-reload

1.2 Ubuntu

La instalación es exactamente la misma que en Debian Sarge:

apt-get install libapache2-mod-security
a2enmod mod-security
/etc/init.d/apache2 force-reload

1.3 Fedora

En Fedora, puede instalar y activar mod_security de la siguiente manera:

yum install mod_security
/etc/init.d/httpd restart

Ahora debe encontrar el archivo /etc/httpd/conf.d/mod_security.conf que ya contiene una configuración básica de mod_security:

vi /etc/httpd/conf.d/mod_security.conf

# Example configuration file for the mod_security Apache module
LoadModule security_module modules/mod_security.so
<IfModule mod_security.c>
    # Turn the filtering engine On or Off
    SecFilterEngine On
    # The audit engine works independently and
    # can be turned On of Off on the per-server or
    # on the per-directory basis
    SecAuditEngine RelevantOnly

    # Make sure that URL encoding is valid
    SecFilterCheckURLEncoding On

    # Unicode encoding check
    SecFilterCheckUnicodeEncoding On

    # Only allow bytes from this range
    SecFilterForceByteRange 1 255

    # Cookie format checks.
    SecFilterCheckCookieFormat On

    # The name of the audit log file
    SecAuditLog logs/audit_log

    # Should mod_security inspect POST payloads
    SecFilterScanPOST On

    # Default action set
    SecFilterDefaultAction "deny,log,status:406"

    # Simple example filter
    # SecFilter 111

    # Prevent path traversal (..) attacks
    # SecFilter "\.\./"

    # Weaker XSS protection but allows common HTML tags
    # SecFilter "&lt;( |\n)*script"

    # Prevent XSS atacks (HTML/Javascript injection)
    # SecFilter "&lt;(.|\n)+&gt;"

    # Very crude filters to prevent SQL injection attacks
    # SecFilter "delete[[:space:]]+from"
    # SecFilter "insert[[:space:]]+into"
    # SecFilter "select.+from"

    # Require HTTP_USER_AGENT and HTTP_HOST headers
    SecFilterSelective "HTTP_USER_AGENT|HTTP_HOST" "^$"

    # Only accept request encodings we know how to handle
    # we exclude GET requests from this because some (automated)
    # clients supply "text/html" as Content-Type
    SecFilterSelective REQUEST_METHOD "!^GET$" chain
    SecFilterSelective HTTP_Content-Type "!(^$|^application/x-www-form-urlencoded$|^multipart/form-data)"

    # Require Content-Length to be provided with
    # every POST request
    SecFilterSelective REQUEST_METHOD "^POST$" chain
    SecFilterSelective HTTP_Content-Length "^$"

    # Don't accept transfer encodings we know we don't handle
    # (and you don't need it anyway)
    SecFilterSelective HTTP_Transfer-Encoding "!^$"

    # Some common application-related rules from
    # http://modsecrules.monkeydev.org/rules.php?safety=safe

    #Nuke Bookmarks XSS
    SecFilterSelective THE_REQUEST "/modules\.php\?name=Bookmarks\&amp;file=(del_cat\&amp;catname|del_mark\&amp;markname|edit_cat\&amp;catname|edit_cat\&amp;catcomment|marks\&amp;catname|uploadbookmarks\&amp;category)=(&lt;[[:space:]]*script|(http|https|ftp)\:/)"

    #Nuke Bookmarks Marks.php SQL Injection Vulnerability
    SecFilterSelective THE_REQUEST "modules\.php\?name=Bookmarks\&amp;file=marks\&amp;catname=.*\&amp;category=.*/\*\*/(union|select|delete|insert)"

    #PHPNuke general XSS attempt
    #/modules.php?name=News&amp;file=article&amp;sid=1&amp;optionbox=
    SecFilterSelective THE_REQUEST "/modules\.php\?*name=&lt;[[:space:]]*script"

    # PHPNuke SQL injection attempt
    SecFilterSelective THE_REQUEST "/modules\.php\?*name=Search*instory="

    #phpnuke sql insertion
    SecFilterSelective THE_REQUEST "/modules\.php*name=Forums.*file=viewtopic*/forum=.*\'/"

    # WEB-PHP phpbb quick-reply.php arbitrary command attempt

    SecFilterSelective THE_REQUEST "/quick-reply\.php" chain
    SecFilter "phpbb_root_path="

    #Topic Calendar Mod for phpBB Cross-Site Scripting Attack
    SecFilterSelective THE_REQUEST "/calendar_scheduler\.php\?start=(&lt;[[:space:]]*script|(http|https|ftp)\:/)"

    # phpMyAdmin: Safe

    #phpMyAdmin Export.PHP File Disclosure Vulnerability
    SecFilterSelective SCRIPT_FILENAME "export\.php$" chain
    SecFilterSelective ARG_what "\.\."

    #phpMyAdmin path vln
    SecFilterSelective REQUEST_URI "/css/phpmyadmin\.css\.php\?GLOBALS\[cfg\]\[ThemePath\]=/etc"

</IfModule>

Puede mantener esta configuración, pero para obtener una mejor comprensión de lo que puede hacer mod_security ,
debe comentar la parte <IfModule mod_security.c>…</IfModule>,
reiniciar Apache y seguir el capítulo 2.
Posteriormente puede crear su propio mod_security ruleset, o simplemente cambie de nuevo éste.

Fuente: www.linux-party.com

Alfresco es un sistema de administración de contenidos de código fuente libre, desarrollado en Java, basado en estándares abiertos y de escala empresarial para sistemas operativos tipo Windows, Unix Solaris y algunas versiones de Linux.

Se distribuye en dos variantes diferentes:

Alfresco Community Edition: Es software libre, con licencia LGPL de código abierto y estándares abiertos. Alfresco Enterprise Edition: Se distribuye bajo licencia de código abierto y estándares abiertos, con la posibilidad de soporte comercial y propietario a escala empresarial.

Alfresco Cloud Edition (Alfresco in the cloud) que es la versión SaaS o Software como Servicio de Alfresco. Está diseñado para usuarios que requieren un alto grado de modularidad y rendimiento escalable. Alfresco incluye un repositorio de contenidos, un framework de portal web para administrar y usar contenido estándar en portales, una interfaz CIFS (el antiguo SMB) que provee compatibilidad de sistemas de archivos en Windows y sistemas operativos tipo Unix, un sistema de administración de contenido web, capacidad de virtualizar aplicaciones web y sitios estáticos vía Apache Tomcat, búsquedas vía el motor Apache Solr-Lucene y flujo de trabajo en jBPM.

Características

• Gestión de documentos
• Gestión de contenido web (incluyendo aplicaciones web y virtualización de sesiones)
• Versionado a nivel de repositorio (similar a Subversion)
• Superposición transparente (similar a UnionFS)
• Gestión de registros
• Gestión de imágenes
• XForms autogenerados con soporte AJAX
• Publicación integrada
• Acceso al repositorio vía CIFS/SMB, FTP y WebDAV
• Flujo de trabajo basado en BPM Activit
• i Búsquedas implementadas con el motor Lucene
• Servidores descentralizados
• Soporte de varios idiomas
• Empaquetamiento de aplicación portable
• Soporte multiplataforma (oficialmente Windows, GNU/Linux y Solaris)
• Interfaz gráfica basada en navegadores de Internet (oficialmente Internet Explorer y Mozilla Firefox)
• Integración de escritorio con Microsoft Office y OpenOffice.Org
• Soporte de clustering (despliegue en varios servidores)

Fuente: Alfresco

El proyecto Apache Hadoop desarrolla software libre para conseguir una computación distribuida, segura y escalable. Se trata de una infraestructura de código abierto que permite procesar grandes volúmenes de datos a través de grupos de ordenadores que utilizan simples modelos de programación.

Está diseñado para pasar de servidores individuales a miles de máquinas, cada una con una oferta propia de computación y almacenamiento. En lugar de confiar en un hardware para ofrecer disponibilidad, la propia biblioteca Apache está diseñada para detectar y controlar los errores de programación. Empresas tan importantes como Amazon, Google o Facebook utilizan su infraestructuras para llevar a término su tecnología.

Con el fenómeno del Big Data, Hadoop ha ido adquiriendo cada vez más importancia debido a su facilidad para gestionar sistemas en red. Pero esta importancia es exponencial y según un estudio realizado por TechNavio, todavía puede generar mucho dinero. Según su informe, Global Hadoop-as-a-Service Market 2012-201, en 2012 el mercado que abarca Hadoop estaba valorado en 131 millones de dólares y se calcula que para el 2016 alcance los 1.900 millones de dólares. Lo que significa una tasa anual de crecimiento del 95,16%. Para ser justos, se trata de un mercado relativamente nuevo, por lo que el crecimiento explosivo es lógico si se tiene en cuenta que lo que está creciendo es su popularidad.

Según este informe las principales barreras a superar de HaaS (Hadoop-as-a-service) son los problemas con los análisis de datos en tiempo real y la falta de madurez de la misma plataforma.

¿Que es lo que la convierte en una plataforma tan atractiva? Su principal ventaja es que se trata de una plataforma preparada para la gestión rentable de grandes volúmenes de datos, que permite reducir el tiempo dedicado a estas acciones y, al ser un software libre, evita el “despilfarro”. Además, TechNavio también identifica, que el mercado clave del HaaS se encuentra tanto en grandes empresas, pymes y organizaciones gubernamentales.

Fuente: MuyCloud