Las vulnerabilidades mas críticas
Reseñadas por el Instituto SANS y el FBI
El Instituto SANS y el FBI han desarrollado una lista con las 20 vulnerabilidades de sistemas más críticas, con el fin de simplificar la tarea a los administradores de IT. Lo que no excluye la existencia de fallos de configuración, programación, o simplemente, de actualización, que muchas veces dejan los datos sensibles al descubierto.
Entre las vulnerabilidades que afectan a todos los sistemas están:
1- Instalaciones por defecto
Lo que en principio es una ventaja para los usuarios y administradores que se despreocupan de la instalación, presenta en la otra cara de la moneda el inconveniente de que cuantas más aplicaciones innecesarias se instalen más facilidad se estará dando a los atacantes que verán más puertas abiertas.
2- Cuentas sin password o con passwords débiles
Es común que diferentes cuentas de acceso a un sistema tengan el mismo password, o que sea una combinación del nombre y apellidos del administrador. En muchos casos además, el login suele ser igual al password. Habría que educar a usuarios y administradores en el uso de passwords fuertes, que se cambien periódicamente, y que no puedan ser fácilmente adivinados por personas ajenas.
3- Backups incompletos
La comodidad lleva a que se tomen menos precauciones de las debidas, pero el backup es la única medida eficaz de restaurar datos frente a aquellos ataques que borran los más sensibles del servidor. Se recomienda realizar backups incrementales diarios, y al menos uno semanal completo, para evitar cualquier posibilidad de riesgo.
4- Innecesarios puertos abiertos
El acceso a los servicios de una máquina (correo, web, ftp, etc) exige que el puerto de ese servicio esté abierto, condición que en ocasiones excede de las necesidades. Para evitar un número de puertos abiertos mayor del imprescindible pueden realizarse un barrido desde Internet y obrar en consecuencia.
5- No filtrar los paquetes de datos con direcciones incorrectas
Las direcciones incorrectas son aquellas en las que el origen o destino es incongruente en ese lugar, lo que induce a pensar que falsificando paquetes de datos. Es lo que se conoce como IP Spoofing. La protección se podría salvar instalando una serie de reglas en la arquitectura de la red que eviten que los datos falsificados viajen a través suyo.
6- Logs incompletos
Sin logs es prácticamente nulo descubrir al intruso una vez que el sistema ha sido atacado. Si no se tienen en cuenta, aunque restauremos el sistema dañado por un atacante éste siempre podrá acceder de nuevo, ya que el error no se habrá corregido porque no podemos ser capaces de determinar donde está el fallo de configuración.
7- Programas CGI vulnerables
Los programas CGI son aplicaciones que funcionan sobre servidores web. A veces los programadores de CGIs no son tan cuidadosos como debieran con las funciones que ejecutan, y con los parámetros que aceptan del usuario, siendo la mala programación de los CGIs un filón para los atacantes.
Afectan a sistemas Windows:
8- Unicode
El Unicode proporcionar un único número a la representación de un carácter concreto sin importar el sistema operativo usado, el lenguaje, o el alfabeto y ha constituido el agujero de seguridad mas importante del último año. El IIS (Internet Information Server), el servidor web que Microsoft proporciona con Windows NT y 2000, no era capaz de interpretar correctamente ciertos caracteres Unicode como caracteres peligrosos.
9- Buffer Overflow de extensiones ISAPI
También se da con el servidor web de Microsoft IIS. ISAPI (Internet Services Application Programming Interface) es un conjunto de extensiones que se proporcionan a los programadores para añadir funcionalidad al servidor web añadiendo sus propios módulos y programas. Estas extensiones se instalan por defecto en una instalación normal del IIS. El problema con el que nos encontramos es que algunas de ellas no realizan todas las comprobaciones de seguridad pertinentes, teniendo la posibilidad de introducir cadenas extralargas que permitan tomar el control del servidor. Esto es conocido como Buffer Overflow, para el que se puede programar un exploit que se aproveche de ese fallo obteniendo así privilegios en la máquina.
10- IIS RDS exploit
Un fallo en las versiones de IIS que funcionaban sobre Windows NT 4.0 permitían a un atacante tomar el control de la máquina. El problema estaba en que el RDS (Remote Data Services), utilizado para control remoto, se podía utilizar para ejecutar comandos con privilegios de administrador. Al contrario que en otras ocasiones, para este fallo lo mejor es seguir las recomendaciones de Microsoft y solucionarlo manualmente, o instalar la última versión del MDAC.
11- Netbios: Directorios compartidos desprotegidos
Un protocolo usado generalmente por Windows, SMB (Server Message Block), permite y facilita la comunicación mediante compartición de archivos a través de una red. Si no están perfectamente configurados y aplicados los parches de seguridad correspondientes, pueden permitir a un atacante el leer no sólo los archivos compartidos sin necesidad de password, sino también tener acceso a otras partes del sistema operativo. Este protocolo ha sido explotado de diferentes formas desde los tiempos de W’95, siendo siempre un gran problema recurrente para los usuarios de los sistemas operativos de Microsoft.
12- Obtención de información mediante Sesiones Nulas
Las sesiones nulas las utilizan ciertos elementos de Windows para enumerar recursos compartidos de servidores remotos, y el usuario que las ejecuta es SYSTEM. Ya que éste usuario no tiene password, y en cambio posee privilegios de administrador, es posible para un atacante el engañar al sistema remoto para obtener información. Se usan para obtener listas de recursos compartidos o nombres de usuarios.
13- Cifrado de passwords inseguro
Los passwords almacenados en el LAN Manager de Windows son fácilmente franqueables una vez que se tiene la contraseña cifrada. Para su protección, lo más sencillo es sustituir el cifrado del LanManager por NTLMv2, aunque esto es válido esencialmente para WNT y 2000. Los ordenadores con W’95 no son capaces de comunicarse usando este cifrado. Si bien se puede conseguir cierta compatibilidad, lo mejor es no usarlos en las redes corporativas de riesgo ya que rebajaría el grado de seguridad.
Afectan a sistemas Unix:
14- Buffer Overflows en servicios RPC
A pesar de estar situados en primer lugar en la lista de SANS, los RPC (Remote Procedure Call) cada vez son menos accesibles desde Internet. Los RPC son procedimientos de comunicación que permiten a un ordenador el ejecutar comandos en otro. Por su propio carácter es peligroso dejarlos a la vista de cualquier usuario, si bien en las instalaciones por defecto de una gran parte de sistemas UNIX es así. El fallo estriba en que ciertos servicios RPC no controlaban bien la entrada de datos, siendo posible el envío de caracteres en cadenas extralargas que permitiesen ejecutar comandos remotamente.
15- Vulnerabilidades relativas a Sendmail
Sendmail es un servicio típico de los servidores UNIX, que envía, recibe y procesa el correo. Al ser un servicio muy utilizado ha sido siempre uno de los más sometidos a pruebas. El primer gran gusano de la historia, Morris, hacía uso de una vulnerabilidad de sendmail, un ataque que forzó la creación del CERT (Computer Emergency Response Team), el equipo encargado de informar de las vulnerabilidades en sistemas
Entre las vulnerabilidades que afectan a todos los sistemas están:
1- Instalaciones por defecto
Lo que en principio es una ventaja para los usuarios y administradores que se despreocupan de la instalación, presenta en la otra cara de la moneda el inconveniente de que cuantas más aplicaciones innecesarias se instalen más facilidad se estará dando a los atacantes que verán más puertas abiertas.
2- Cuentas sin password o con passwords débiles
Es común que diferentes cuentas de acceso a un sistema tengan el mismo password, o que sea una combinación del nombre y apellidos del administrador. En muchos casos además, el login suele ser igual al password. Habría que educar a usuarios y administradores en el uso de passwords fuertes, que se cambien periódicamente, y que no puedan ser fácilmente adivinados por personas ajenas.
3- Backups incompletos
La comodidad lleva a que se tomen menos precauciones de las debidas, pero el backup es la única medida eficaz de restaurar datos frente a aquellos ataques que borran los más sensibles del servidor. Se recomienda realizar backups incrementales diarios, y al menos uno semanal completo, para evitar cualquier posibilidad de riesgo.
4- Innecesarios puertos abiertos
El acceso a los servicios de una máquina (correo, web, ftp, etc) exige que el puerto de ese servicio esté abierto, condición que en ocasiones excede de las necesidades. Para evitar un número de puertos abiertos mayor del imprescindible pueden realizarse un barrido desde Internet y obrar en consecuencia.
5- No filtrar los paquetes de datos con direcciones incorrectas
Las direcciones incorrectas son aquellas en las que el origen o destino es incongruente en ese lugar, lo que induce a pensar que falsificando paquetes de datos. Es lo que se conoce como IP Spoofing. La protección se podría salvar instalando una serie de reglas en la arquitectura de la red que eviten que los datos falsificados viajen a través suyo.
6- Logs incompletos
Sin logs es prácticamente nulo descubrir al intruso una vez que el sistema ha sido atacado. Si no se tienen en cuenta, aunque restauremos el sistema dañado por un atacante éste siempre podrá acceder de nuevo, ya que el error no se habrá corregido porque no podemos ser capaces de determinar donde está el fallo de configuración.
7- Programas CGI vulnerables
Los programas CGI son aplicaciones que funcionan sobre servidores web. A veces los programadores de CGIs no son tan cuidadosos como debieran con las funciones que ejecutan, y con los parámetros que aceptan del usuario, siendo la mala programación de los CGIs un filón para los atacantes.
Afectan a sistemas Windows:
8- Unicode
El Unicode proporcionar un único número a la representación de un carácter concreto sin importar el sistema operativo usado, el lenguaje, o el alfabeto y ha constituido el agujero de seguridad mas importante del último año. El IIS (Internet Information Server), el servidor web que Microsoft proporciona con Windows NT y 2000, no era capaz de interpretar correctamente ciertos caracteres Unicode como caracteres peligrosos.
9- Buffer Overflow de extensiones ISAPI
También se da con el servidor web de Microsoft IIS. ISAPI (Internet Services Application Programming Interface) es un conjunto de extensiones que se proporcionan a los programadores para añadir funcionalidad al servidor web añadiendo sus propios módulos y programas. Estas extensiones se instalan por defecto en una instalación normal del IIS. El problema con el que nos encontramos es que algunas de ellas no realizan todas las comprobaciones de seguridad pertinentes, teniendo la posibilidad de introducir cadenas extralargas que permitan tomar el control del servidor. Esto es conocido como Buffer Overflow, para el que se puede programar un exploit que se aproveche de ese fallo obteniendo así privilegios en la máquina.
10- IIS RDS exploit
Un fallo en las versiones de IIS que funcionaban sobre Windows NT 4.0 permitían a un atacante tomar el control de la máquina. El problema estaba en que el RDS (Remote Data Services), utilizado para control remoto, se podía utilizar para ejecutar comandos con privilegios de administrador. Al contrario que en otras ocasiones, para este fallo lo mejor es seguir las recomendaciones de Microsoft y solucionarlo manualmente, o instalar la última versión del MDAC.
11- Netbios: Directorios compartidos desprotegidos
Un protocolo usado generalmente por Windows, SMB (Server Message Block), permite y facilita la comunicación mediante compartición de archivos a través de una red. Si no están perfectamente configurados y aplicados los parches de seguridad correspondientes, pueden permitir a un atacante el leer no sólo los archivos compartidos sin necesidad de password, sino también tener acceso a otras partes del sistema operativo. Este protocolo ha sido explotado de diferentes formas desde los tiempos de W’95, siendo siempre un gran problema recurrente para los usuarios de los sistemas operativos de Microsoft.
12- Obtención de información mediante Sesiones Nulas
Las sesiones nulas las utilizan ciertos elementos de Windows para enumerar recursos compartidos de servidores remotos, y el usuario que las ejecuta es SYSTEM. Ya que éste usuario no tiene password, y en cambio posee privilegios de administrador, es posible para un atacante el engañar al sistema remoto para obtener información. Se usan para obtener listas de recursos compartidos o nombres de usuarios.
13- Cifrado de passwords inseguro
Los passwords almacenados en el LAN Manager de Windows son fácilmente franqueables una vez que se tiene la contraseña cifrada. Para su protección, lo más sencillo es sustituir el cifrado del LanManager por NTLMv2, aunque esto es válido esencialmente para WNT y 2000. Los ordenadores con W’95 no son capaces de comunicarse usando este cifrado. Si bien se puede conseguir cierta compatibilidad, lo mejor es no usarlos en las redes corporativas de riesgo ya que rebajaría el grado de seguridad.
Afectan a sistemas Unix:
14- Buffer Overflows en servicios RPC
A pesar de estar situados en primer lugar en la lista de SANS, los RPC (Remote Procedure Call) cada vez son menos accesibles desde Internet. Los RPC son procedimientos de comunicación que permiten a un ordenador el ejecutar comandos en otro. Por su propio carácter es peligroso dejarlos a la vista de cualquier usuario, si bien en las instalaciones por defecto de una gran parte de sistemas UNIX es así. El fallo estriba en que ciertos servicios RPC no controlaban bien la entrada de datos, siendo posible el envío de caracteres en cadenas extralargas que permitiesen ejecutar comandos remotamente.
15- Vulnerabilidades relativas a Sendmail
Sendmail es un servicio típico de los servidores UNIX, que envía, recibe y procesa el correo. Al ser un servicio muy utilizado ha sido siempre uno de los más sometidos a pruebas. El primer gran gusano de la historia, Morris, hacía uso de una vulnerabilidad de sendmail, un ataque que forzó la creación del CERT (Computer Emergency Response Team), el equipo encargado de informar de las vulnerabilidades en sistemas
