Mozlila: O user-agent suspeito

Desde os primórdios da internet, existem dois tipos de usuários heavy users que gostam de Cyber Security: aqueles que gostam de provocar incidentes e aqueles que protegem aplicações contra incidentes. 

É claro que, com a evolução dos mecanismos de defesa, aqueles que buscam vulnerabilidades passaram a utilizar recursos cada vez mais tecnológicos, e que podem provocar danos severos. Mas, é fundamental entender que por muitas vezes as ferramentas de ataque podem ser utilizadas incorretamente, e ainda mais, podem ser distribuídas para outros atacantes com erros, gerando bizarrices. 

Ano passado, algumas variações de user-agent contendo “Mozlila” foram identificadas pelo nosso time de cibersegurança. Algo que nos chamou atenção foi a similaridade com o nome “Mozilla”,  amplamente utilizado na internet, constantemente identificado como legítimo por quem administra aplicações web. 

E como descobrimos esse user-agent?

Um dos analistas de Cyber Security do time da GoCache notou que um cliente específico recebia acessos do user-agent contendo a palavra “Mozlila”, e no início parecia se tratar apenas de um erro pontual de digitação por parte de algum atacante. 

Investigando mais a fundo, notou-se que havia uma quantidade constante de acessos vindo deste user-agent, e boa parte proveniente da Europa e Ásia.

Vamos dar uma olhada nos números? 

Dados da rede da GoCache sobre a requisição do “Mozlila”

Além do volume de requisições, nosso time também buscou entender a origem desse user-agent. Descobrimos que mais de ¼ desses acessos vieram de Singapura. Confira abaixo a distribuição dos acessos por geocalização. 

Dados da rede da GoCache sobre geolocalização do “Mozlila”

Mas afinal, o que é esse tal de “Mozlila” buscava fazer?

Após análise das URLs de acesso, foi possível identificar que o alvo específico desse user-agent eram aplicações em WordPress. Basicamente, ele tenta encontrar vulnerabilidades no CMS, bem como, oportunidades em backdoors e variáveis de ambiente. 

Atualmente, este caso do “Mozlila” já é amplamente conhecido, e é bloqueado por padrão em sistemas de segurança mais atualizados. 

A Trunc montou um artigo bem interessante sobre o assunto, mostrando passo a passo como eles identificaram a origem dos ataques, e como descobriram que tratava-se na verdade de um suposto erro de digitação banal. Caso queira ler o artigo da Trunc, basta clicar aqui. 

Sim, o user-agent suspeito “Mozlila” que fez nosso time de segurança realizar uma investigação a fundo no ano passado era aparentemente um erro de copiar e colar do script de um atacante, que foi replicado em várias ferramentas e scanners, e o resultado final foi a introdução de um novo agente de usuário no ecossistema de quem lida com segurança web.

O que devo fazer para me proteger?

Para se proteger, você tem algumas soluções à disposição. A primeira seria bloquear esse user-agent em seu servidor web, fazendo com que sempre que esse user-agent for detectado, ele seja interceptado antes de se transformar em uma requisição legítima.

Além disso, é possível adicionar regras no firewall para esse tipo de user-agent, opção mais simples e rápida para aqueles que já têm contratado este recurso.

Como a GoCache ajuda?

Clientes da GoCache têm, via de regra, um firewall de borda que permite que o cliente crie regras para bloquear acessos provenientes de algum user-agents. 

É necessário levar em consideração que diferentes user-agents e bots são criados diariamente, tornando cada vez mais complexo o dia a dia de quem gerencia aplicações web.

Para casos mais avançados,  recomendamos que nossos clientes utilizem o nosso Bot Mitigation , que identifica e bloqueia automaticamente diferentes bots, sem a necessidade de criar regras para cada caso.