22 abr 2024
Campaña de Malware a Notepad++
15 abr 2024
Herramientas para facilitar los trabajos de Pentest sobre dispositivos IoT
Internet de las Cosas o IoT es una terminología utilizada para referenciar a las redes conformadas por dispositivos conectados a Internet. En sus múltiples variantes, como el IIoT (Industrial), comprende multitud de productos interconectados: vehículos, electrodomésticos, cámaras, sistemas de control industrial, etc.
Durante el uso de estos productos, estos recopilan multitud de datos de múltiples fuentes en paralelo y, a menudo, comparten esta información con los fabricantes de estos sin que los usuarios sean conscientes, lo que trae consigo nuevos desafíos para la privacidad o el cumplimiento normativo y regulatorio. ¿Dónde acaba esta información? ¿Acaba en servidores dentro de la UE para cumplir con el RGPD?
Al mismo tiempo, la amenaza de ataques físicos y lógicos a través de estos dispositivos dispara los riesgos al aumentar la superficie de ataque de las compañías.
Pentest Tradicional & Pentest IoT
A la hora de realizar pentesting a dispositivos IoT, se pueden observar algunas diferencias respecto al pentesting tradicional. Algunas de estas se muestran en la siguiente tabla:
Aspecto | Pentesting Tradicional | Pentesting IoT |
---|---|---|
Foco | Sistemas y dispositivos diversos, incluidos servidores, aplicaciones y redes | Dispositivos específicos del Internet de las Cosas (IoT). Ej: cámaras, dispositivos biométricos, etc. |
Tipos de dispositivos | Amplia gama, incluyendo hardware y software de propósito general. | Dispositivos generalmente más pequeños, especializados y con mayores limitaciones. |
Complejidad Técnica | Menor especificidad en protocolos y comunicaciones. | Uso de protocolos especializados y requisitos de comunicación únicos, añadiendo complejidad al proceso de pentesting. |
Riesgos de seguridad | Varían ampliamente según el sistema y el contexto, con enfoque en ciberataques. | Incluyen riesgos físicos, mayores superficies de ataque debido a la conectividad y comunicaciones con otros sistemas. |
Sensibilidad de los Datos | Dependiendo de la aplicación y el entorno, puede variar. | Datos frecuentemente más sensibles o valiosos, aumentando las consecuencias potenciales de las brechas de seguridad. |
Objetivos específicos | Identificación y mitigación de vulnerabilidades en una amplia gama de tecnologías. | Enfoque en identificar y mitigar vulnerabilidades específicas de los dispositivos IoT y sus integraciones únicas. |
Herramientas esenciales para el Pentesting IoT
WIRESHARK
- Análisis de tráfico de red. Captura y estudia de forma detallada el tráfico de la red, facilitando la identificación de patrones y anomalías. De esta manera es más fácil comprender la interacción del dispositivo con otros sistemas.
- Resolución de problemas de comunicación. Ayuda a diagnosticar problemas de comunicación al capturar y analizar el tráfico de datos enviado y recibido por un dispositivo.
- Extracción de datos confidenciales. Puede ser empleada para la extracción de datos sensibles transmitidos a través de la red, como contraseñas o información crítica.
- Identificación de protocolos de red. También permite determinar los protocolos empleados en una red, proporcionando una visión de como el dispositivo interactúa con otros sistemas.
NMAP
Orientado al reconocimiento de dispositivos en una red, puertos abiertos, sistemas operativos y servicios en ejecución. Alguno de los usos sobres entornos IoT son los siguientes:
- Descubrimiento de dispositivos. Comprende el escaneo de redes para identificar dispositivos conectados, obteniendo sus direcciones IP y nombres de host. Esto es importante para obtener una visión general de la arquitectura de la red.
- Escaneo de puertos. Se pueden examinar los puertos abiertos en un dispositivo para descubrir que servicios y aplicaciones están abiertos. Este análisis es muy importante para comprender las comunicaciones del dispositivo con otros sistemas.
- Huella digital de servicios. Esta funcionalidad de Nmap, permite determinar la versión específica de un servicio que opera en un dispositivo, lo que es crucial para identificar vulnerabilidades conocidas asociadas a esa versión.
- Mapeo de red. Nmap también se emplea para elaborar mapas detallados de una red, mostrando los dispositivos y sus interconexiones.
BINWALK
- Análisis de firmware. Permite analizar detalladamente las imágenes de firmware para validar sus estructura interna y funcionamiento. Este análisis es crucial para identificar vulnerabilidades y comprender la estructura interna de un dispositivo
- Extracción de archivos incrustados. Usando esta herramienta es posible extraer archivos incrustados dentro de las imágenes del firmware, como configuraciones, scripts y otros tipos de datos. Esta funcionalidad es muy útil a la hora de buscar información sensible que podría ser explotada.
- Escaneo de firmas. Binwalk también se utiliza para realizar escaneos de firmas en imágenes de firmware, buscando firmas de archivo conocidas. Este proceso ayuda a identificar qué tipos de archivos están incrustados en el firmware, lo cual es esencial para la evaluación de seguridad y la identificación de componentes críticos dentro del mismo.
BURPSUITE
- Interceptar el tráfico web: Consiste en interceptar las peticiones Cliente-Servidor, lo cual es útil para el auditor a la hora de identificar patrones y errores que pueda aprovechar para encontrar posibles vulnerabilidades.
- Prueba de comunicación web: Lanza peticiones modificadas al activo objetivo con el fin de causar una respuesta concreta por parte del servidor.
- Identificación de vulnerabilidades web: la herramienta cuenta con funcionalidades para, por ejemplo, realizar fuerza bruta a partir de payloads propios o modificados. Esta funcionalidad puede ser utilizada por el auditor para verificar la seguridad del activo.
AIRCRACK-NG
- Descubrimiento de redes inalámbricas: Realiza búsquedas de redes y recopila información sobre ellas, como su nombre (SSID), el tipo de seguridad que usa y fabricante del punto de acceso. Esta información es de utilidad, ya que puede utilizarla para concretar sus pruebas de seguridad.
- Descifrar contraseñas: Se puede utilizar para intentar descifrar la contraseña demostrando el impacto que suponen las contraseñas débiles o para conseguir vulnerabilidades que supongan un problema serio de seguridad.
- Pruebas de comunicación inalámbricas: Aircrack se puede utilizar para captar y manipular el tráfico que se transmite a través de la red, permitiendo identificar vulnerabilidades en la forma que los dispositivos manejan las comunicaciones.
8 abr 2024
CVE-2024-3094 XZ Backdoor
Buenas a todos, en el artículo de hoy vamos a tratar un caso que se está discutiendo bastante en los últimos días y es la vulnerabilidad CVE-2024-3094 o como se le denomina comúnmente “backdoor en XZ”.
XZ Utils es una herramienta (open source) de compresión de datos presente en casi todas las distribuciones Linux, que sirve para comprimir formatos de archivos grandes en tamaños más pequeños y manejables para ser compartidos. Al ser un software de código abierto, es mantenido y actualizado por desarrolladores de manera liberal.
Estas actualizaciones se añaden al proyecto mediante lo que se denominan “Pull Requests” y antes de ser admitidas, son revisadas por otros miembros del equipo que han contribuido al mismo con anterioridad a fin de evitar errores en el código fuente propuesto.
En este caso, un usuario de Github que contribuyó al proyecto de XZ, llamado Jia Tan logró obtener permisos para revisar y aceptar modificaciones de código, ganándose la confianza del resto del equipo y pudiendo aceptar sus propias contribuciones sin que estas fueran revisadas por otros miembros.
Con esta confianza depositada en su trabajo por los miembros del equipo, Jia incorporó código malicioso al proyecto de xz-utils, con la intención de hacer interferir la autenticación del servicio SSH y permitir una ejecución remota de código o RCE.
Explicación de la vulnerabilidad
Distribuciones afectadas
- Fedora 41 and Fedora Rawhide
- Kali Linux actualizado entre el 26 y 29 de marzo
- OpenSuse Tumbleweed
- Alpine 5.6.0, 5.6.0-r0, 5.6.0-r1, 5.6.1, 5.6.1-r0 y 5.6.1-r1
- Arch que tengan instalado las versiones de xz-utils 5.6.0 y 5.6.1
1 abr 2024
Problemas en Lsass dentro de Windows Server
El pasado 12 de marzo Microsoft liberó una actualización para su servicio Windows Server 2022 que está causando problemas que afectan a los controladores de dominio de este.
Muchos usuarios lo estuvieron advirtiendo en Reedit desde ese día, los servidores se congelan y se reinician de forma inesperada debido a una fuga de memoria producida en el proceso LSASS (Servicio del subsistema de la autoridad de seguridad local).
El problema concreto según los usuarios que lo han reportado es: “Desde la instalación de las actualizaciones de marzo (Exchange y actualizaciones periódicas de Windows Server), la mayoría de nuestros DC muestran un uso de memoria LSASS en constante aumento (hasta que mueren).”
El servicio LSASS en el proceso responsable de hacer cumplir la política de seguridad de los sistemas Windows: verifica que los usuarios inicien sesión, gestiona los cambios de contraseña y crea tokens de acceso. El uso forzado del servicio puede venir provocado por las condiciones:
- Tiene muchas confianzas externas y muchas solicitudes de inicio de sesión simultáneos.
- Estas solicitudes de inicio de sesión no especifican el nombre de dominio.
Esto puede desembocar en retrasos o cuelgues a la hora de realizar la autenticación en el sistema o incluso reinicios al llegar al límite de uso de memoria de este.
Este problema alarma tanto a los usuarios porque al ser un archivo crucial del sistema, a menudo es falsificado por malware. Este servicio se ejecuta desde el directorio Windows\System32, por lo que, si se ejecuta desde otro directorio, lo más probable es que se trate de un virus.
Remedio temporal
- wusa /uninstall /kb:5035855
- wusa /uninstall /kb:5035849
- wusa /uninstall /kb:5035857
Conclusión
- En noviembre de 2022, Microsoft publicaba una actualización que afectaba a los servidores , provocando que se congelasen y reiniciasen.
- En marzo de 2022, Microsoft solucionó otro fallo de LSASS que provocaba reinicios en los DC de Windows Server.
25 mar 2024
Nessus
El objetivo de este post es explicar tanto de manera teórica como práctica la herramienta Nessus para la identificación de vulnerabilidades. En primer lugar, se incluye una sección teórica donde se detallará la herramienta. Luego, se llevará a cabo una prueba práctica analizando las vulnerabilidades de la máquina Metasploitable2, para determinar si Nessus puede detectar alguna de ellas y, en caso afirmativo, intentar explotarlas. Por último, se enumerarán algunas alternativas.
Nessus es una herramienta ampliamente reconocida para realizar escaneos de vulnerabilidades en una amplia gama de sistemas informáticos, que abarca diversos sistemas operativos, dispositivos de red, aplicaciones web y móviles, así como infraestructuras en la nube. Fue creada por Renaud Deraison en 1998 y posteriormente adquirida en 2005 por Tenable.
A continuación, se enumerar algunos de los aspectos más relevantes de esta herramienta:
1. Escaneo de Vulnerabilidades: Identificar y analizar las vulnerabilidades que se encuentren presentes en los sistemas informáticos. Este proceso supone la identificación de fallos de seguridad en los puertos abiertos, servicios con malas configuraciones, software desactualizado y vulnerabilidades conocidas en sistemas operativos y aplicaciones.
2. Base de Datos de Vulnerabilidades: Utiliza una amplia base de datos de vulnerabilidades que se actualiza constantemente. Esta base de datos incluye detalles sobre vulnerabilidades conocidas, exploits, parches disponibles y descripciones detalladas de cada vulnerabilidad. Durante el escaneo, esta información se utiliza para identificar vulnerabilidades y luego informar sobre ellas.
3. Escaneos Programados y Personalizables: Posibilidad de programar escaneos automáticos en intervalos periódicos. Además, Nessus ofrece opciones de escaneo personalizables en función de las necesidades de los usuarios.
4. Informes: Generación de informes detallados en varios formatos que resumen las vulnerabilidades identificadas durante los escaneos de seguridad. Estos informes incluyen información clave como la descripción de la vulnerabilidad, su gravedad, recomendaciones de mitigación y clasificación según su importancia.
Nessus ofrece varias versiones. Nessus Essentials es una opción gratuita dirigida a usuarios individuales o aquellos que buscan protección para fines no comerciales. Por otro lado, Nessus Professional, una versión de pago, proporciona características adicionales y soporte para empresas que requieren una solución más completa de escaneo de vulnerabilidades. Finalmente, Nessus Expert, también de pago, ofrece las funcionalidades más avanzadas y está destinado a grandes organizaciones que necesitan una protección integral y escalable en sus infraestructuras de seguridad.
A continuación, se incluye una tabla que resume los puntos a favor y en contra de Nessus:
Puntos a favor | Puntos en contra |
---|---|
Escaneo Exhaustivo | Funcionalidades avanzadas asociadas a costes |
Base de datps de vulnerabilidades en constante actualización | Recursos necesarios en caso de realizar escaneos intensivos |
Interfaz gráfica intuitiva y fácil de usar | Posibilidad de generarse falsos positivos |
Programación y personalización | Posibilidad de generarse falsos positivos |
Programación y personalización | Posibilidad de conflictos con firewalls y sistemas de detección de intrusos |
Capacidad de integración con otros sistemas de seguridad | Dependencia de la calidad de la base de datos de vulnerabilidades |
Soporte multiplataforma, incluyendo Windiows,Linux y macOS | |
Generación de informes que incluyen recomendaciones para mitigar y corregir fallos de seguridad |
Caso práctico
Uso de Nessus
Explotación desde KALI
Alternativas
Conclusión
18 mar 2024
CrossLinked – Herramienta OSINT para el descubrimiento de emails
Una de las partes de la metodología OSINT consiste en encontrar información acerca de personas relacionadas con la organización objetivo. CrossLinked es una herramienta de código abierto que permite la enumeración de nombres válidos de usuarios y de cuentas de correo de una organización.
Esta herramienta utiliza el scraping de los distintos motores de búsqueda de Internet contra la aplicación LinkedIn. Esta técnica proporciona resultados precisos sin necesidad de usar claves de API y sin acceder directamente a LinkedIn.
¿Cómo funciona?
Para poder utilizar esta herramienta en concreto, es necesario tener Python instalado en el sistema, más concretamente en su versión Pyhton3.
Para instalarla solo es necesario clonar el repositorio de la herramienta con la versión más actualizada del código:
Resultados
- Archivo .txt que almacena solo los nombres recopilados.
- Archivo .csv que almacena toda la información obtenida (nombre, puesto de trabajo y Url del usuario en LinkedIn).