¡Vd. usa un navegador obsoleto!

Es posible que la página no se visualice correctamente.

Aguafiestas

Незваные гости

Otras ediciones de este tema (76)
  • añadir a favoritos
    Añadir a marcadores

Los secretos de su software

Consultas: 928 Comentarios: 1 Ranking: 8

viernes 20 de abril de 2018

Hay vulnerabilidades en todas partes. Los hackers actúan, los productores del software lanzan las actualizaciones de seguridad. Hay muchos detalles de esta lucha, pero hoy hablaremos solo sobre uno de ellos.

Los desarrolladores de software hoy día en su mayoría no deben ahorrar mucho en los recursos, por lo tanto, en vez de desarrollar sus propios módulos (optimizados), mucho usan los módulos ya listos. Y a veces incrustan las distribuciones enteras de terceros. Por ejemplo, con mucha frecuencia las distribuciones incluyen las bases de datos – el desarrollo de la base de datos propia llevará mucho tiempo, y no tiene mucho sentido perder el tiempo para crear y depurar la misma. Y aquí puede haber una trampa para los usuarios.

Al instalar un software, es lógico preocuparse de su seguridad enseguida («El mundo de antivirus» siempre repite: establezca su propia contraseña segura en vez de lo que hay de forma predeterminada). Pero ¿será que todos piensan en la seguridad del software de terceros?

Al realizar las pruebas de acceso en varias empresas, a veces me daba cuenta de que disponen del puerto abierto 3050/tcp de la base de datos Firebird (en adelante - FB) con el nombre de usuario y la contraseña predeterminada: «SYSDBA;masterkey». Al analizar estos hosts, averigüé que pueden ser distintas soluciones y programas que usan FB: desde el software de contabilidad y sistemas CRM hasta los sistemas de video vigilancia y control de acceso, y hasta la banca en línea. A través de este puerto, está disponible toda la base de datos del software correspondiente y, al editarla, se puede influir en la lógica de funcionamiento de la aplicación.

En la base de datos normalmente se guardan los nombres de usuario y las contraseñas para acceder a la funcionalidad a través de la interfaz gráfica del mismo programa, lo cual significa que, al leerlos, se puede usar la funcionalidad completa de la aplicación a través de la interfaz gráfica atractiva, sin enterarse de ningún nombre de usuario y contraseña de este sistema.

https://habrahabr.ru/post/277279

En el artículo que puede consultarse siguiendo el enlace, hay un listado de entidades potencialmente vulnerables.

¿Es peligrosa esta situación? En la mayoría de los casos, para acceder a los componentes incrustados, uno debe ser usuario local porque las bases de datos no deben ser visibles desde la red de forma predeterminada. Pero si un malintencionado penetró en la red o si en la misma hay un usuario que no tiene buenas intenciones…

Vamos a ver si es fácil usar esta vulnerabilidad. Creo que uno no necesita conocimiento especial para hacerlo, todo se hace con herramientas públicas y en pocos minutos.

Encontrar el servidor FireBird

Lo primero que por supuesto hará un malintencionado es buscar en la red interna de la empresa el puerto 3050/tcp abierto. Para realizarlo, uno puede descargar el programa nmap ( nmap.org/download.html ) e iniciar con estas claves desde la consola cmd:

nmap -sS -p3050 --open 192.168.0.0/24

En respuesta, nmap visualizará todos los puertos abiertos 3050/tcp encontrados en la red 192.168.0.0/24:

#drweb

Una vez detectados los puertos FB, habrá que conectarse a los mismos. Nos enteramos del nombre de usuario y la contraseña, y es la vulnerabilidad, y se usara una ruta estándar a la base de datos y con mucha probabilidad.

#drweb

De esta forma, nos conectamos a la base de datos directamente y podemos hacer todo lo que nos apetece, hasta lo que no permite hacer la interfaz de administración oficial.

El riesgo más ordinario e inofensivo de uso de esta vulnerabilidad es la edición de los registros de su tiempo laboral por el personal. Yo mismo lo hacía cuando trabajaba en una empresa con el Control de acceso vulnerable. Editaba correctamente mi llegada tardía y mi salida anticipada, los jefes se enteraban de eso, pero no podían controlarlo. A veces el Control de acceso podía visualizar mi presencia en el trabajo si no estaba. Aquí hay un riesgo para el empleador por falta de disciplina entre sus empleados.

Otro vector probable — es el cambio de su propio perfil de acceso por un empleado de la empresa. Por ejemplo, en mi trabajo anterior estaba establecida la restricción temporal, si no salía del edificio a la hora determinada, me quedaba encerrado. Tenía que llamar a la guardia de seguridad que me reprochaba. Luego cambié el perfil de acceso para mí mismo, por otro existente sin restricciones temporales, o, mejor dicho, sin ninguna otra restricción, y podía entrar libremente hasta en el despacho del director general. Otro riesgo es el acceso de un empleado a cualquier hora a cualquier local protegido por el Control de acceso para espionaje, robo y otras acciones nocivas.

Creación de los nuevos pases. Un malintencionado puede traer su tarjeta de pase e introducirla en el identificador de la base de datos como si fuera un nuevo empleado o vincularla al empleado existente de la empresa. Así mismo, se puede adjuntar cualquier foto a la tarjeta para desconcertar a la guardia de seguridad en el control de paso. El riesgo es el acceso de un malintencionado al territorio vigilado como si fuera un empleado legal de la empresa.

Sabotaje o rechazo de servicio (DoS) — en caso de tener acceso a la base de datos, un malintencionado puede cambiar todas las contraseñas de todos los operadores del Control de acceso, para que los mismos no pueden administrar el Control de accesoо y bloquear todas las puertas en el territorio del Control de. Esto impedirá el desplazamiento del personal del edificio y suspenderá los procesos de negocios importantes. No será posible reanudarlo, y en caso de desactivar el Control de acceso, se abrirán todas las puertas. Imagine que un ataque así pasa cuando en su territorio hay clientes importantes que también se quedan bloqueados.

Un ataque integral, video vigilancia. Muchos Controles de acceso soportan la integración con los sistemas de vídeo vigilancia o se conectan automáticamente a las cámaras de video vigilancia. De esta forma, un malintencionado, además del acceso no autorizado puede desconectar alguna cámara y el sistema de video vigilancia no registrará las acciones del infractor. A propósito, algunos productores del Control de acceso tienen sus propios sistemas de video vigilancia que también son vulnerables, al igual que su Control de acceso. Pero no he realizado ninguna investigación integral de sistemas de video vigilancia, por lo tanto, no voy a aportar más detalles. También es muy probable que sea posible suplantar la imagen de la cámara porque es posible sustituir una cámara en la base de datos por otra que transmitirá un trozo de la imagen suplantada.

#vulnerabilidad #exploit #contraseña #seguridad

El mundo de antivirus recomienda

La documentación se crea para ser consultada. No se puede ignorarla. El software moderno es muy sofisticado, a veces los desarrolladores no se enteran de todo lo que contiene. Por lo tanto:

  • En caso de haber instalado algo, siempre controle el listado del software instalado.
  • Si software instalado usa los programas terceros, configure su seguridad. Y cambie las contraseñas.
  • Averigüe si este software incrustado se actualiza.
  • Aísle el software en los segmentos de la red separados para que los hackers no puedan usar el mismo.

[Twitter]

Nos importa su opinión

Para redactar un comentario, debe iniciar sesión para entrar en su cuenta del sitio web Doctor Web. - Si aún no tiene la cuenta, puede crearla.

Comentarios de usuarios