Detectar la vulnerabilidad no resuelve el problema

19 Ene 2018

Todos los días surgen noticias sobre vulnerabilidades. Se discute en Internet sobre el tema, los desarrolladores publican parches y entonces todo el mundo se calma. Por lo que puede parecer que todo va bien y que el problema se ha resuelto, pero no es el caso. No todos los administradores instalan las actualizaciones, sobre todo cuando se trata del software de los equipos de red, ya que su actualización conlleva mucho trabajo.

Algunos administradores de sistema no creen que su empresa pueda convertirse en el objetivo de los ciberdelincuentes. Otros buscan en el propio sistema la frase “no se ha encontrado ninguna vulnerabilidad” para relajarse, pensando que se trata solo de una vulnerabilidad teórica.

El año pasado, se detectaron varias vulnerabilidades importantes en los productos Cisco. En uno de los informes, el SNMP Remote Coge Execution Vulnerabilities de los sistemas operativos Cisco IOS e IOS XE (advisory ID: cisco-sa-20170629-snmp), se explicó cómo un intruso puede llegar a tomar el control del sistema por completo. Lo único que necesitarían es un SNMP (siglas en inglés de Protocolo Simple de Administración de Red) con una cadena de comunidad de solo lectura, una especie de identificación de usuario o contraseña, para el sistema pertinente. El problema salió a la luz en julio de 2017. Cisco, que se toma las vulnerabilidades muy en serio, lo parcheó enseguida, por lo que no se han detectado intentos de exploit.

Nuestro compañero Artem Kondratenko, experto en pruebas de penetración, llevó a cabo una prueba externa y descubrió un router de Cisco con una cadena de comunidad SNMP predeterminada. Decidió investigar la peligrosidad de las vulnerabilidades, por lo que se estableció un objetivo: obtener acceso a la red interna a través del router. Por cierto, el descubrimiento de Kondratenko no fue único. Shodan encontró 3.313 dispositivos del mismo modelo con la cadena de comunidad predeterminada.

Dejemos a un lado los detalles técnicos. Si quieres saber más sobre el tema, echa un vistazo a la lectura de Kondratenko en el Chaos Communications Congress. Lo que importa aquí realmente es el resultado final. Ha demostrado que esta vulnerabilidad se puede usar para acceder al sistema en un nivel de privilegio 15, el nivel más alto en IOS Shell de Cisco. Así que, aunque todavía no haya peligros a la vista, ignorar las vulnerabilidades no es la mejor opción. Desde que descubrió la vulnerabilidad en el dispositivo, Kondratenko solo se demoró cuatro semanas en crear una prueba de concepto para realizar el exploit en cisco-sa-20170629-snmp.

Para asegurarte de que tu router no sea la primera víctima de esta vulnerabilidad, es conveniente que:

  1. Te asegures de que el software de tu equipo de red está actualizado.
  2. No uses cadenas de comunidad predeterminadas en routers conectados a la red externa, de hecho, lo mejor es evitarlas siempre.
  3. Prestes atención al ciclo de vida de los dispositivos de redes, ya que una vez expirado dicho período, no contarán con el respaldo de los fabricantes y es poco probable que reciban actualizaciones.