Descripción
El host remoto parece estar infectado con el gusano Conficker. Dicho gusano posee la capacidad de permitir al atacante ejecutar código arbitrario sobre el sistema operativo. Además, el host infectado puede propagar el gusano a otros hosts. El host está infectado por Conficker.A , Conficker.B o Conficker.C.
Hosts Afectados
10.254.1.152 (puerto 445/tcp/cifs) Evidencia
Para evidenciar la siguiente vulnerabilidad se recurrirá a la herramienta Nmap, junto a una combinación de scripts, los cuales son:
- p2p-conficker: Comprueba si un host está infectado según la comunicación entre pares de Conficker. Cuando un Conficker.C o superior infecta un sistema, abre cuatro puertos, dos TCP y dos UDP. Los puertos son aleatorios, pero están sembrados en la semana actual y la IP del host infectado. Al determinar el algoritmo, uno puede verificar si estos cuatro puertos están abiertos y puede ser escaneados para obtener más información.
Una vez que se encuentran los puertos abiertos, la comunicación puede iniciarse
utilizando el protocolo personalizado de punto a punto ( p2p) de Conficker. Si se recibe una respuesta válida, se ha encontrado una infección válida de Conficker.
- smb-os-discovery: Este script ya ha sido utilizado y explicado con anterioridad, de todas formas, la finalidad es descubrir las versiones del Sistema Operativo para luego ver qué tan vulnerable es ante este tipo de malware.
- smb-vuln-conficker: Este script comenzó formando parte delsmb-check-vulns, el cual hace una revisión sobre las principales vulnerabilidades que pueden afectar a un host
con un servicio smb abierto. En este caso, solo se realizarán algunas pruebas para
verificar la probabilidad del host de estar infectado por un gusano Conficker.
Al correr este escaneo, se obtuvo como resultado que el host efectivamente está
infectado por el gusano, el cual probablemente sea un Conficker.C o inferior. Esta
vulnerabilidad debe de ser informada de inmediato a los responsables del Centro de Datos y Comunicaciones debido a su criticidad y peligrosidad.
Figura 8-66: Ejecución de los scripts de Nmap p2p-conficker, smb-os-discovery, smb-vulns-conficker para el puerto 445 en la ip 10.254.1.152
Solución
Actualizar el antivirus y realizar un escaneo completo del sistema operativo. 8.9. Resumen
Haciendo uso de los datos obtenidos en la fase de recolección de la información , en este capítulo se han identificado y analizado vulnerabilidades existentes en el sistema a auditar. Para esto se ha hecho uso de un conjunto de herramientas, cuyas principales se describen a continuación.
La primer herramienta es Nmap, la cual fue utilizada mayormente junto a scripts específicos para verificar que haya condiciones tales que den lugar a vulnerabilidades. Por ejemplo validar que versiones de servicios o sistemas operativos, estén dentro de aquellas que ya no cuentan con soporte.
La segunda herramienta es Nikto cuya función es la de escanear servidores web en busca de malas configuraciones, detección de ficheros en instalaciones por defecto, listar la estructura del servidor, versiones y fechas de actualizaciones de servidores, realizar tests de vulnerabilidades XSS, ataques de fuerza bruta por diccionario, reportes en formatos txt, csv, html, etc.
Siguiendo con la lista de herramientas se encuentra Nessus.Esta herramienta utiliza Nikto y Nmap pero a su vez retorna resultados en formatos visuales fáciles de interpretar. De esta forma, Nessus cumple la función de ser un programa de escaneo de vulnerabilidades en diversos sistemas operativos. Consiste en un demonio (tipo especial de proceso informático
que se ejecuta en segundo plano en vez de ser controlado directamente por el usuario) llamado nessusd, que realiza el escaneo en el sistema objetivo, y nessus, el cliente (basado en consola o interfaz gráfica) que muestra el avance e informa sobre el estado de los escaneos.
Por último, se utilizó el framework Metasploit, el cual proporciona la infraestructura necesaria para automatizar tareas rutinarias y complejas. Esto permite que se concentre aún más en los aspectos únicos o especializados de las pruebas de penetración y en identificar fallas dentro de su programa de seguridad de la información.
Metasploit es un framework, ya que consta con una suite de herramientas que
cumplen distintos roles y ayudan en numerosas partes del proceso de pentesting. Para esta fase, se volcaron todos los resultados obtenidos por Nessus y Nmap, para tener acceso de
manera más eficiente (mediante el uso peticiones por parámetros soportadas por el
framework) y así poder realizar análisis complejos de manera sencilla sobre grandes
cantidades de información.
Las vulnerabilidades encontradas se han separado en 6 categorías, las cuales son:
- Vulnerabilidades de desbordamiento de buffer, las cuales se producen cuando un programa no controla la cantidad de datos que se copian en buffer.
- Vulnerabilidades de error de formato de cadena (format string bugs), la principal causa en estos casos es que se acepte sin validar la entrada de datos proporcionada por el usuario.
- Vulnerabilidades de Cross Site Scripting (XSS). En esta categoría se encuentran ataques que permiten ejecutar scripts desarrollados en lenguajes tales como VBScript o JavaScript, en una interfaz web.
- Vulnerabilidades de denegación del servicio, que provocan que un servicio o recurso sea inaccesible a los usuarios legítimos.
- Vulnerabilidades de divulgación de la información , las cuales aparecen cuando información sensible puede ser visualizada por usuarios no autorizados.
- Vulnerabilidades del día 0 (zero day). Una nueva vulnerabilidad para la cual no se han creado parches o revisiones ya que aún no son conocidas por los usuarios y creadores.
Por cada vulnerabilidad se especificaron las siguientes secciones:
- Descripción sobre la vulnerabilidad identificada, con el fin de que el usuario comprenda el riesgo al que puede estar expuesto.
- Evidencia de la vulnerabilidad, donde se demuestra de manera empírica la existencia de dicha vulnerabilidad.
- Y por último, la solución que el usuario debería implementar para suplir dicha vulnerabilidad.
En base a las vulnerabilidades encontradas, en el siguiente capítulo se intentará explotar un subconjunto de ellas para demostrar con un mayor nivel el riesgo e impacto que estas tienen sobre el Centro de Datos de la UNICEN.