Los sitios web populares siguen siendo burlados por ataques SEO

La Plataforma Inteligente globalmente distribuida de Akamai nos permite recoger y analizar datos masivos sobre muchas métricas de Internet y patrones de tráfico en propiedades web y proveedores de medios digitales de primer orden. Esta capacidad nos permite identificar tendencias a lo largo del tiempo que solo se pueden conseguir con un alto nivel de visibilidad. Como resultado, hemos observado un importante y recurrente problema de seguridad web bajo forma de ataques que aprovechan las vulnerabilidades de redireccionamiento abierto en sitios web con un alto posicionamiento en motores de búsqueda.

El problema existe desde hace años, tal y como lo demuestra este extracto del blog  Google Webmaster Central de hace cinco años:

“Los webmasters se enfrentan a una serie de situaciones en las que es útil redirigir a los usuarios a otra página. Por desgracia, se puede hacer mal uso de los redireccionamientos dejados abiertos a cualquier destino arbitrario. Se trata de una forma particularmente onerosa de abuso porque aprovecha la  funcionalidad del sitio en vez de explotar un simple bug o fallo de seguridad. Los spammers esperan poder utilizar su dominio como landing page para burlar a los usuarios de correo electrónico, buscadores y motores de búsqueda en enlaces que parecen dirigir a su sitio, pero que de hecho redireccionan a su sitio de spam.”

El uso continuo de ataques de Optimización en Motores de Búsqueda (SEO) en redireccionamientos abiertos es la prueba de que cerrar estas vulnerabilidades no ha sido una prioridad para los propietarios de sitios y la comunidad de la seguridad. Por desgracia, el resultado es que las campañas SEO maliciosas siguen haciendo uso de redireccionamientos abiertos en sitios web de gran notoriedad.

La comunidad de la seguridad en Internet y los administradores de red tienen un verdadero interés en eliminar dichas vulnerabilidades y proteger a los usuarios y propietarios de sitios.

Cómo funcionan los ataques de redireccionamiento SEO

Los algoritmos de optimización de posicionamiento en motores de búsqueda aplican múltiples criterios para determinar el posicionamiento de una página web. Uno de los criterios es la reputación de un sitio de redireccionamiento. Un redireccionamiento desde un sitio con una buena reputación mejorará la reputación de cualquier sitio al que redireccione – incluyendo un sitio web malicioso. Esta es la atracción principal de las vulnerabilidades de redireccionamiento abierto para dichas campañas de ataques SEO.

Cuando los atacantes utilizan redireccionamientos abiertos para la apropiación de una página web, normalmente redireccionan al visitante de la página web a un sitio diferente  que infecta el dispositivo del usuario (PC, smartphone, etc.) con malware. Asimismo, los sitios de redireccionamiento se utilizan para usurpar los credenciales del usuario – el primer paso de los ataques de robo de identidad. También pueden utilizarse para hacer chantaje o extorsionar a los operadores del sitio web vulnerable.

Un análisis Big Data de un ataque SEO

El equipo de investigación de amenazas de Akamai ha observado recientemente una campaña de ataque SEO basada en enlace organizado y distribuido que hizo mal uso de miles de aplicaciones web mediante vulnerabilidades de redireccionamiento abierto. Los atacantes manipularon el posicionamiento de la página en motores de búsqueda de la misma manera que lo describía el blog de Google. Nuestra investigación arrojó luz sobre la distribución y magnitud de estos ataques SEO.

Métodos: Los atacantes lanzaron dos tipos diferentes de ataques que aprovecharon vulnerabilidades de redireccionamiento abierto. El primer tipo de ataque intenta mejorar la reputación de un sitio malicioso aprovechando la reputación positiva de una aplicación web vulnerable. En este ataque, una aplicación web vulnerable con un posicionamiento alto redirecciona el tráfico para elevar el posicionamiento de un sitio malicioso. El segundo tipo de ataque intenta degradar la reputación de una aplicación web vulnerable creando enlaces que redireccionan a los usuarios y motores de búsqueda a un sitio con una reputación pobre. Esta técnica se conoce como ataque SEO negativo basado en enlaces. El motivo de tal ataque podría venir de un competidor que quisiera degradar el posicionamiento de un sitio vulnerable, haciendo que los motores de búsqueda lo ignoren.

Fuentes: Un análisis de las direcciones IP fuente utilizadas por el atacante en este estudio de caso muestra que los ataques procedieron de todo el mundo y de varios tipos de fuentes de Internet incluyendo proxies anónimos, redes privadas virtuales abiertas (VPNs) e infraestructuras de servicios cloud. Un análisis detallado de las firmas de encabezados HTTP, clientes web entre otros de la plataforma de Big Data de Akamai muestra una clara indicación de que todas las direcciones IP fuente fueron controladas por un único atacante u organización atacante. En otras palabras, el ataque fue una campaña distribuida que utilizó una variedad de fuentes de Internet para que la detección y mitigación del ataque fueran más complejas.  

Hechos: Estas son algunas estadísticas relevantes del ataque:

Más de 4.000 aplicaciones web vulnerables únicas fueron aprovechadas con motivo de este ataque SEO

El atacante intentó manipular el posicionamiento de la página de más de 10.000 sitios maliciosos

Más de 3.400 direcciones IP únicas fueron utilizadas como fuente de esta campaña de ataques

El ataque duró al menos 30 días

Aproximadamente un 40 por ciento de las fuentes de ataques utilizaban proxies HTTP para enmascarar su verdadera identidad

Se necesita que la comunidad de la seguridad reaccione

El ataque mediante vulnerabilidad de redireccionamiento abierto es un importante problema para la seguridad web que no está recibiendo la atención que debiera. Aunque aparece como la última entrada en el documento de las 10 primeras prioridades 2013 del OWASP (Open Web Application Security Project), su impacto potencial y su uso por actores maliciosos se subestiman.

Nuestro estudio demuestra que las vulnerabilidades de redireccionamiento abierto frecuentemente se dejan sin parchear en importantes sitios de Internet, y dichas vulnerabilidades son explotadas ampliamente por actores y organizaciones maliciosos.  

Además, mientras que los cortafuegos de aplicaciones web (web application firewalls -WAFs) pueden bloquear ataques de redireccionamiento y proporcionar protección local, no ofrecen una amplia visibilidad e inteligencia sobre la naturaleza de dichos ataques y su magnitud.

En ausencia de un esfuerzo conjunto por la comunidad de la seguridad para entender estos ataques, estas importantes preguntas siguen sin respuesta para cada ataque:

¿Quién está atacando? ¿Se trata de una única persona o de una organización distribuida?

¿El ataque está dirigido a una única víctima? ¿O se trata de un fenómeno que abarca Internet en su totalidad?

¿Cuál es el objetivo del atacante?

¿Cómo paramos este ataque si se transforma y cambia de fuentes y métodos?

Recomendamos las siguientes acciones por parte de la comunidad para enfrentarse al problema de los ataques SEO por vulnerabilidades de redireccionamiento abierto:

Establecer un benchmark para identificar la situación actual en Internet y medir el progreso de los esfuerzos de limpieza

Instaurar reglas WAF locales y validar los redireccionamientos según los redireccionamientos autorizados (por ejemplo, una base de datos) antes de enviar el código 302 HTTP de redireccionamiento. Parar un único ataque con un WAF está bien, pero queremos ganar la ciberguerra contra los ataques de redireccionamiento abierto. Involucrar la comunidad de la seguridad en este tema es crucial para ganar la guerra.