El Centro de Investigación e Inteligencia de Arkavia, realizó una investigación sobre la vulnerabilidad CVE-2019-0708, la cual hace referencia a un explotación remota del servicio Remote Desktop de Microsoft, con el objetivo de prevenir y aportar a la comunidad de seguridad en Chile y reforzar la concientización respecto a la Ciberseguridad en las organizaciones.
Para potenciar esta investigación, hemos habilitado el portal https://verify.arkalabs.cl, el cual permite realizar una búsqueda ingresando una dirección IP pública, y así poder revisar si un equipo en particular esta expuesto en Internet.
Para potenciar esta investigación, hemos habilitado el portal https://verify.arkalabs.cl, el cual permite realizar una búsqueda ingresando una dirección IP pública, y así poder revisar si un equipo en particular esta expuesto en Internet.
Utilizando el motor de búsqueda Shodan (el popular motor que permite visualizar equipos que se encuentren conectados a Internet por medio de una variedad de filtros) identificamos alrededor de 6.630 dispositivos, los cuales tienen el servicio Remote Desktop expuesto a Internet en Chile, 14.086 en Argentina, 3.266 en Perú, 9.352 en Colombia y 81.797 dispositivos en Brasil.
La investigación, fue realizada consultando los cuatro tipos de protocolos más comunes utilizados en las redes de las organizaciones tanto públicas como privadas, cuyos servicios prestados, cuentan con la mayor cantidad de vulnerabilidades públicas. Los protocolos utilizados para esta investigación fueron: CIFS ó Samba (Protocolo para gestionar archivos, por ejemplo entre host, active directory, etc), RDP (Protocolo para tomar la sesión remota de estaciones de trabajo y/o servidores) y FTP (protocolo utilizado para transferencia de archivos), entre otros.
A continuación, se presenta un conjunto de gráficas con indicadores de los recursos comprometidos en distintos países de latinoamérica.
País: Chile
|
N° de Dispositivos Expuestos a Internet
|
CIFS SMBv1 - SMBv2 TCP/445
|
4.124
|
RDP TCP/3389
|
6.630
|
FTP TCP/21
|
13.811
|
SSH TCP/22
|
29.699
|
País: Argentina
|
N° de Dispositivos Expuestos a Internet
|
CIFS SMBv1 - SMBv2 TCP/445
|
11.044
|
RDP TCP/3389
|
14.086
|
FTP TCP/21
|
31.339
|
SSH TCP/22
|
75.870
|
País: Perú
|
N° de Dispositivos Expuestos a Internet
|
CIFS SMBv1 - SMBv2 TCP/445
|
1.581
|
RDP TCP/3389
|
3.266
|
FTP TCP/21
|
6.747
|
SSH TCP/22
|
13.138
|
País: Colombia
|
N° de Dispositivos Expuestos a Internet
|
CIFS SMBv1 - SMBv2 TCP/445
|
5.893
|
RDP TCP/3389
|
9.352
|
FTP TCP/21
|
19.731
|
SSH TCP/22
|
54.551
|
País: Brasil
Protocolo
|
N° de Dispositivos Expuestos a Internet
|
CIFS SMBv1 - SMBv2 TCP/445
|
58.758
|
RDP TCP/3389
|
81.797
|
FTP TCP/21
|
120.247
|
SSH TCP/22
|
387.833
|
Como podemos apreciar, los resultados obtenidos muestran que el protocolo SSH es el más expuesto en Internet, lo que influye también en el masivo uso que tiene en las organizaciones.
Nuestra primera recomendación, es utilizar VPN SSL para acceder a los servicios críticos que requieren administración. En medida de lo posible, utilizar sistemas de doble factor de autenticación para añadir controles adicionales de seguridad:
- Utilizar marcos metodológicos apoyados de frameworks de ciberseguridad, tales como NIST / CIS 20, con el objetivo de adherirse a las buenas prácticas de la industria.
- Contar con políticas de seguridad sobre el entorno de las organizaciones, con la tecnología y/o servicios profesionales necesarios, para auditar y controlar de manera constante los ecosistemas tecnológicos.
- Realizar ejercicios de red team de manera continua y contar con la capacidad de responder y generar contramedidas frente a ciberamenazas.
- Contar con procesos de desarrollo de software seguro tanto en entornos ágiles (DevSecOps) como en entornos de TI.
- Apoyarse con tecnologías para controlar la fuga de información de datos en reposo en las nubes e información sobre datos que estén transitando en las redes.
- Deshabilite los servicios de escritorio remoto si no son necesarios. Si ya no necesita estos servicios en su sistema, considere deshabilitarlos como una mejor práctica de seguridad.
- Bloquee el puerto TCP 3389 en el firewall perimetral para evitar ataques externos.
Esta investigación, busca generar conciencia sobre la privacidad de los recursos, los cuales en muchos casos quedan expuestos, y se desconoce qué tan vulnerables se encuentran estos. El protocolo seleccionado para profundizar y rescatar las métricas fue CIFS y RDP, el cual el primero permite compartir archivos para sistemas basados en UNIX y Windows y el segundo permite la toma de control del escritorio. Es por ello, que el CSOC de Arkavia Networks ha desarrollado un portal web de apoyo a la comunidad, que permite identificar de forma intuitiva, los recursos identificados en Shodan.
Cabe destacar que CVE-2019-0708 no afecta a las versiones más recientes de Windows, incluidos Windows 10, 8.1 y 8, así como a Windows Server 2019, Server 2016, Server 2012 R2 y Server 2012.
Los clientes gestionados por CSOC Arkavia, ya fueron revisados si en sus plataformas de seguridad se encuentran activadas las firmas correspondientes para mitigar esta vulnerabilidad.
COMENTARIOS