Crónica
Código Rojo (Code Red) era un gusano informático (worm en inglés) dirigido a los sistemas Windows con Microsoft IIS (Internet Information Services for Windows Server) instalado. La historia tiene, al menos, un comienzo feliz ya que la propagación del malware se detectó justo al inicio del “brote”. Un grupo de investigadores de eEye Security descubrieron el Código Rojo, y justo en ese momento (13 de julio de 2001) estaban, precisamente, desarrollando un sistema para encontrar vulnerabilidades de Microsoft IIS. De repente, el servidor de prueba que tenían dejó de responder. A esto le siguió, naturalmente, una noche sin poder dormir: había que encontrar cualquier rastro o indicio de la infección. El nombre del malware viene del primer objeto que llamo su atención: una lata de refresco Mountain Dew Code Red .
Sin embargo, a pesar de esta detección temprana, la epidemia no se detuvo. El malware utilizó sistemas ya infectados para nuevos ataques y, en pocos días, ya se había extendido a nivel mundial. Después, el Centro de Análisis de Datos de Internet Aplicados (CAIDA) dio a conocer las estadísticas correspondientes al 19 de julio, las cuales demostraban la velocidad de distribución y propagación del Código Rojo. Según varias fuentes, más de 300.000 servidores fueron a tacados en total.
Propagación del gusano Código Rojo a partir del 19 de julio de 2001. Fuente
Cómo funciona Código Rojo
El gusano de internet explotaba una vulnerabilidad de poca importancia en uno de los módulos del servidor web, más concretamente en una extensión para la indexación de datos. Había un error de desbordamiento de búfer en la biblioteca idq.dII. La vulnerabilidad recibió el identificador MS01-33. El error es fácil de explotar: solo hay que enviar al servidor una petición bastante larga, como esta:
GET /default.ida?NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN%u9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3%u7801%u9090%u9090%u8190%u00c3%u0003%u8b00%u531b%u53ff%u0078%u0000%u00=a HTTP/1.0
Los resultados después de los numerosos caracteres “N” se interpretan como instrucciones y se ejecutan. Toda la carga útil maliciosa está contenida directamente en la solicitud; o sea, con una instalación vulnerable de Microsoft IIS, se garantiza que el sistema será infectado de forma instantánea. La consecuencia más visible de dicha infección fue, literalmente, la desfiguración de los sitios servidos por el servidor web. En lugar de su contenido habitual, se muestra lo siguiente:
Cómo se veía un sitio web en un servidor infectado con Código Rojo. Fuente
Según Kaspersky, la desfiguración no era permanente: 10 horas después de un ataque fructífero, el gusano restablecía el contenido normal del sitio web. El resto de acciones dependían de la fecha. Del 1 al 19 de cada mes, el gusano se propagaba mediante solicitudes maliciosas enviadas a direcciones IP aleatorias. Del 20 al 27, varias direcciones IP fijas fueron atacadas mediante DDoS, incluida la del sitio web de la administración presidencial de Estados Unidos. Desde el 28 y hasta fin de mes, Código Rojo se tomaba un descanso merecido (o no).
La vista desde el 2022
Hoy en día siguen produciéndose casos similares, pero suelen estar asociados con vulnerabilidades de día cero que suelen detectarse cuando se investiga un ataque activo. Un ejemplo común es una serie de vulnerabilidades en el servidos de correo de Microsoft Exchange que se explotó de manera activa en cuanto se detectó. Más de 30.000 organizaciones a nivel mundial fueron afectadas y los administradores de servicios de correo de muchas empresas se vieron obligados a instalar un parche y a realizar una auditoría en caso de que ya se hubiera producido una infección.
Este ejemplo muestra no solo que los ataques se han vuelto mucho más sofisticados, sino también que los métodos de defensa han progresado. Código Rojo no explotó una vulnerabilidad de día cero, sino una que se detectó y cerró un mes antes de la epidemia. Pero en aquel entonces, la lentitud en la instalación de actualizaciones, la falta de herramientas para instalaciones automáticas y la poca concienciación de los usuarios corporativos jugaron un papel muy importante. Otra diferencia entre Código Rojo y los ataques modernos es la falta de monetización. Actualmente, un ataque al servidor de una empresa vulnerable daría pie, indudablemente, al robo o cifrado de datos, además de una petición de rescate. Los cibercriminales de hoy en día rara vez desfiguran los sitios hackeados; al contrario, es más probable que tomen todas las medidas posibles para ocultar sus huellas en la infraestructura informática de una empresa.
Una dura lección
Hay que admitirlo: Código Rojo desapareció bastante rápido del mapa. En agosto de 2001 apareció una versión ligeramente modificada. Código Rojo II era capaz de infectar sistemas que ya había sido “visitados” por la primera versión del gusano. Sin embargo, en términos generales, a principios de los 2000 hubo muchos otros ataques en escenarios perecidos. Para septiembre de 2001 vimos la epidemia del gusano Nimda, el cual también aprovechó las vulnerabilidades parcheadas en Microsoft IIS durante mucho tiempo. En 2003, el gusano Blaster se extendió por todas partes. Finalmente, se corrió la voz de de que los parches para las vulnerabilidades críticas en el software corporativo deben ser instaladas cuanto antes. Cuando se lanza una actualización, los ciberdelincuentes estudian minuciosamente y comienzan a explotar la vulnerabilidad de inmediato, con la esperanza de que algunos usuarios no la hayan parcheado. Pero incluso ahora, no se puede decir que el problema esté resuelto. Existen ejemplos más recientes, como el ataque WannaCry de 2017.
Sin embargo, lo que se puede decir es que Código Rojo, así como muchos otros programas maliciosos responsables de infectar cientos de miles de sistemas en todo el mundo, ayudaron a dar forma a los enfoques de seguridad corporativa que nos guían hoy en día. A diferencia de hace 21 años, ahora dependemos totalmente de los sistemas de IT para todo, desde las comunicaciones hasta los pagos, por no hablar de las infraestructuras críticas. Hemos aprendido cómo defendernos ante los ataques cibernéticos, pero todavía tenemos que producir una bala de plata para todos los problemas comerciales en el ciberespacio. A medida que la ciberseguridad evoluciona, inevitablemente, debemos reconocer que la seguridad perfecta no es un estado o característica fija, sino una lucha constante.
Consejos