Mozlila: O user-agent suspeito
Desde os primórdios da internet, existem dois tipos de usuários heavy users que gostam de Cyber Security: aqueles que gostam de provocar incidentes e aqueles que protegem aplicações contra incidentes.
É claro que, com a evolução dos mecanismos de defesa, aqueles que buscam vulnerabilidades passaram a utilizar recursos cada vez mais tecnológicos, e que podem provocar danos severos. Mas, é fundamental entender que por muitas vezes as ferramentas de ataque podem ser utilizadas incorretamente, e ainda mais, podem ser distribuídas para outros atacantes com erros, gerando bizarrices.
Ano passado, algumas variações de user-agent contendo “Mozlila” foram identificadas pelo nosso time de cibersegurança. Algo que nos chamou atenção foi a similaridade com o nome “Mozilla”, amplamente utilizado na internet, constantemente identificado como legítimo por quem administra aplicações web.
E como descobrimos esse user-agent?
Um dos analistas de Cyber Security do time da GoCache notou que um cliente específico recebia acessos do user-agent contendo a palavra “Mozlila”, e no início parecia se tratar apenas de um erro pontual de digitação por parte de algum atacante.
Investigando mais a fundo, notou-se que havia uma quantidade constante de acessos vindo deste user-agent, e boa parte proveniente da Europa e Ásia.
Vamos dar uma olhada nos números?
Dados da rede da GoCache sobre a requisição do “Mozlila”
Além do volume de requisições, nosso time também buscou entender a origem desse user-agent. Descobrimos que mais de ¼ desses acessos vieram de Singapura. Confira abaixo a distribuição dos acessos por geocalização.
Dados da rede da GoCache sobre geolocalização do “Mozlila”
Mas afinal, o que é esse tal de “Mozlila” buscava fazer?
Após análise das URLs de acesso, foi possível identificar que o alvo específico desse user-agent eram aplicações em WordPress. Basicamente, ele tenta encontrar vulnerabilidades no CMS, bem como, oportunidades em backdoors e variáveis de ambiente.
Atualmente, este caso do “Mozlila” já é amplamente conhecido, e é bloqueado por padrão em sistemas de segurança mais atualizados.
A Trunc montou um artigo bem interessante sobre o assunto, mostrando passo a passo como eles identificaram a origem dos ataques, e como descobriram que tratava-se na verdade de um suposto erro de digitação banal. Caso queira ler o artigo da Trunc, basta clicar aqui.
Sim, o user-agent suspeito “Mozlila” que fez nosso time de segurança realizar uma investigação a fundo no ano passado era aparentemente um erro de copiar e colar do script de um atacante, que foi replicado em várias ferramentas e scanners, e o resultado final foi a introdução de um novo agente de usuário no ecossistema de quem lida com segurança web.
O que devo fazer para me proteger?
Para se proteger, você tem algumas soluções à disposição. A primeira seria bloquear esse user-agent em seu servidor web, fazendo com que sempre que esse user-agent for detectado, ele seja interceptado antes de se transformar em uma requisição legítima.
Além disso, é possível adicionar regras no firewall para esse tipo de user-agent, opção mais simples e rápida para aqueles que já têm contratado este recurso.
Como a GoCache ajuda?
Clientes da GoCache têm, via de regra, um firewall de borda que permite que o cliente crie regras para bloquear acessos provenientes de algum user-agents.
É necessário levar em consideração que diferentes user-agents e bots são criados diariamente, tornando cada vez mais complexo o dia a dia de quem gerencia aplicações web.
Para casos mais avançados, recomendamos que nossos clientes utilizem o nosso Bot Mitigation , que identifica e bloqueia automaticamente diferentes bots, sem a necessidade de criar regras para cada caso.