SSH-Snake, una herramienta de mapeo de red de código abierto, ha sido identificada como una amenaza en el panorama de la ciberseguridad. Desarrollada por Joshua Rogers y lanzada en GitHub a principios de 2024, SSH-Snake se presenta como un gusano automodificable que utiliza credenciales SSH para propagarse por una red una vez que ha comprometido un sistema.

Aunque inicialmente concebida como una herramienta para la exploración de redes mediante claves privadas SSH, se ha observado su mal uso por actores de amenazas, quienes la han empleado en ataques reales.

La herramienta, al autoreplicarse y propagarse sin archivos, presenta un desafío para la detección y mitigación. Sysdig, una empresa de seguridad en la nube, ha notado que SSH-Snake no solo facilita el movimiento lateral en una red, sino que también proporciona sigilo y flexibilidad, superando a otros gusanos SSH convencionales en estos aspectos.

Miguel Hernández, investigador de Sysdig, destaca que SSH-Snake busca credenciales a través de ubicaciones conocidas y archivos de historial de shell, permitiéndole determinar su próximo movimiento de manera automática. Este enfoque automatizado facilita la recopilación de credenciales, direcciones IP y registros de comandos bash. Los actores de amenazas han desplegado SSH-Snake en ataques reales, utilizando un servidor de comando y control (C2) para alojar y gestionar los datos recopilados.

El desarrollador de SSH-Snake, Joshua Rogers, defiende la herramienta al argumentar que puede ser utilizada por propietarios legítimos de sistemas para identificar debilidades en su infraestructura antes de que los atacantes las exploren. Insta a las empresas a adoptar un enfoque proactivo, utilizando SSH-Snake para descubrir rutas de ataque y abordar posibles vulnerabilidades antes de que los ciberdelincuentes las aprovechen.

Rogers también critica las “operaciones negligentes” de empresas que diseñan e implementan infraestructuras inseguras, argumentando que la ejecución de un simple script de shell como SSH-Snake podría ser mitigada mediante una rearquitectura completa realizada por especialistas en seguridad.

En el contexto más amplio de la ciberseguridad, la revelación de SSH-Snake coincide con informes sobre una nueva campaña de botnets denominada Lucifer. Esta campaña explota configuraciones incorrectas y fallas en Apache Hadoop y Apache Druid para actividades maliciosas, incluyendo la minería de criptomonedas y ataques de denegación de servicio distribuido (DDoS). La firma de seguridad Aqua ha detectado hasta 3,000 ataques distintos dirigidos a la pila de big data de Apache en el último mes, evidenciando la relevancia y la persistencia de amenazas en el panorama digital.

fuente:thehackernews