el más reciente

― Advertisement ―

Relacionada

Investigadores descubren un error en WatchGuard VPN que podría permitir a...

Investigadores de ciberseguridad han revelado detalles de una rotura de seguridad crítica recientemente reparada en WatchGuard Fireware que podría permitir a atacantes no autenticados...
spot_img
HomeTecnología10 hallazgos de la red crítica Los hallazgos de TI pasan por...

10 hallazgos de la red crítica Los hallazgos de TI pasan por alto

Luego de realizar más de 10,000 pruebas automatizadas de penetración de redes internas el año pasado, más antiguo ha descubierto una sinceridad preocupante de que muchas empresas todavía tienen brechas de seguridad críticas que los atacantes pueden explotar fácilmente.

Las organizaciones a menudo suponen que los firewalls, la protección del punto final y los SIEM son suficientes para mantenerlos seguros. Pero, ¿qué tan efectivas son estas defensas cuando se ponen a prueba? Ahí es donde más antiguoEntra en la plataforma Pentesting de red automatizada de Vonahi Security. Diseñado para fingir escenarios de ataque del mundo positivo, Vpentest ayuda a las organizaciones a encontrar vulnerabilidades explotables ayer de que los ciberdelabinales puedan.

Estas no son complejas exploits de día cero. Son configuraciones erróneas, contraseñas débiles y vulnerabilidades sin parpadear que los atacantes explotan rutinariamente para obtener comunicación, moverse lateralmente y aumentar los privilegios interiormente de las redes. Así es como estos riesgos se rompen:

  • El 50% proviene de las configuraciones erróneas – Configuración predeterminada, controles de comunicación débiles y políticas de seguridad pasadas por stop.
  • 30% se deben a los parches faltantes – Sistemas no parpados que dejan la puerta abierta para hazañas conocidas.
  • 20% implica contraseñas débiles – Servicios que se ejecutan sin la autenticación adecuada, lo que facilita la entrada de los atacantes.

En este artículo, cubriremos el Diez riesgos de seguridad de la red interna más críticaDesglosando lo que son, por qué son peligrosos y cómo solucionarlos ayer de convertirse en problemas reales. Comenzaremos con lo menos popular y avanzaremos hasta el problema número uno que hemos conocido en miles de evaluaciones con más antiguo. Si estas debilidades existen en su entorno, los atacantes las encontrarán, es solo cuestión de tiempo.

10. Deficiencias de contraseña – Servicio Redis

CVSS3: 9.9

% de ocurrencia: 1.3%

Qué es:

  • Redis es un almacén de datos de valencia secreto en memoria comúnmente utilizado para almacenamiento en distinción, intermediación de mensajes y investigación en tiempo positivo. Por defecto, Redis no aplica la autenticación, lo que permite a los clientes conectarse sin credenciales.

Impacto de seguridad:

  • Si un adversario apetito comunicación al servicio Redis, puede obtener datos confidenciales almacenados interiormente de las bases de datos alojadas en el servidor y posiblemente aumentar los privilegios para obtener comunicación a nivel de sistema, dependiendo de las capacidades del servicio Redis y los permisos asociados con la cuenta de sucesor comprometida. Esto podría conducir a una manipulación de datos no autorizada, exfiltración de datos o una explotación adicional del sistema.

Recomendación:

  • Es imperativo configurar el servicio Redis para requerir una contraseña segura que cumpla con la política de contraseña de la estructura. Una contraseña robusta debe ocupar los siguientes criterios:
    • Reducido de 12 caracteres
    • No fácilmente adivinable, por ejemplo, no se encuentra en un diccionario
    • Combinación de saber mayúsculas, saber minúsculas, dígitos numéricos y/o caracteres especiales
    • Verificable contra bases de datos de contraseña comprometidas conocidas (por ejemplo, www.haveibeenpwned.com)
  • Por otra parte, la utilización de un administrador de contraseñas puede mejorar la seguridad generando contraseñas complejas que son difíciles de recuperar, incluso en caso de que el hash de contraseña se obtenga a través de una violación.

9. Los servidores de Firebird aceptan las credenciales predeterminadas

CVSS3: 9.0

% de ocurrencia: 1.4%

Qué es:

  • Las credenciales predeterminadas a menudo son nombres de sucesor y contraseñas codificadas por dura destinadas a la configuración original y deben cambiarse rápidamente para surtir la seguridad. Este problema surge cuando los sistemas se implementan sin reconfiguración o cuando la configuración predeterminada se pasa por stop durante el proceso de configuración.

Impacto de seguridad:

  • La dependencia de las credenciales predeterminadas para los servidores de Firebird puede conducir a un comunicación no acreditado, lo que permite a los atacantes autenticarse y realizar registro en los sistemas afectados. Podrían enumerar archivos o alterar las configuraciones del sistema, abriendo así vías para una veterano explotación. Si el atacante identifica la ubicación de los archivos de la almohadilla de datos Firebird, puede obtener la capacidad de estudiar o modificar la información de la almohadilla de datos confidencial. Por otra parte, ciertas versiones de Firebird pueden manipularse para ejecutar comandos del sistema, extendiendo así el control de un atacante sobre el host remoto.

Recomendación:

  • Para mitigar esta vulnerabilidad, es esencial utilizar la aparejo GSEC para cambiar las credenciales predeterminadas asociadas con los servidores Firebird. Por otra parte, la implementación de una política para auditorías de credenciales regulares y asegurar que todas las configuraciones predeterminadas se modifiquen ayer de la implementación puede mejorar aún más la seguridad. Monitorear continuamente los registros de comunicación al servidor para intentos no autorizados y habilitar alertas para actividades sospechosas ayudarán a detectar posibles explotaciones temprano.

8. Microsoft Windows RCE (Bluekeep)

CVSS3: 9.8

% de ocurrencia: 4.4%

Qué es:

  • Bluekeep es una vulnerabilidad de ejecución de código remoto en el protocolo de escritorio remoto de Microsoft (RDP), identificado como CVE-2019-0708.

Impacto de seguridad:

  • La explotación de la vulnerabilidad de Bluekeep permite que un atacante asuma el control completo sobre los sistemas afectados. Este nivel de comunicación puede favorecer más ataques interiormente de la infraestructura de la estructura, incluida la posible extirpación de datos confidenciales, como contraseñas y hashes de contraseña. Por otra parte, el atacante podría navegar lateralmente interiormente de la red, comprometiendo sistemas y servicios adicionales. La naturaleza del exploit significa que no se requieren privilegios especiales o comunicación autenticado para ejecutar el ataque, simplificando así el proceso para el atacante y amplificando el impacto potencial en la estructura.
Leer  Dos fallas de seguridad explotadas activamente en productos de Adobe y Oracle marcados por CISA

Recomendación:

  • Es fundamental aplicar de inmediato todas las actualizaciones de seguridad relevantes a los sistemas afectados para mitigar la vulnerabilidad de Bluekeep. Las organizaciones deben realizar una revisión exhaustiva de sus procesos de trámite de parches para identificar factores que contribuyen a la partida de actualizaciones oportunas. Dada la explotabilidad de esta vulnerabilidad y su capacidad para comprometer severamente los sistemas, una respuesta inmediata es esencial para garantizar el entorno digital de la estructura.

7. Microsoft Windows RCE (EternalBlue)

CVSS3: 9.8

% de ocurrencia: 4.5%

Qué es:

  • EternalBlue es una vulnerabilidad de ejecución de código remoto en el protocolo del bando de mensajes de Microsoft Server (SMBV1). Permite que un atacante envíe paquetes especialmente diseñados a un sistema frágil, lo que permite el comunicación no acreditado y la ejecución del código injusto con privilegios a nivel de sistema.

Impacto de seguridad:

  • La explotación de la vulnerabilidad EternalBlue permite que un atacante obtenga comunicación chupatintas completo a los sistemas afectados. Este comunicación puede favorecer más acciones maliciosas interiormente de la red de la estructura, incluida la extirpación de contraseñas de Cleartext y hash de contraseña, así como el movimiento colateral a otros sistemas. Es importante destacar que esta vulnerabilidad no requiere que el atacante aumente los privilegios en el sistema comprometido, lo que significa que pueden iniciar el registro y los ataques adicionales sin ningún esfuerzo adicional.

Recomendación:

  • Para mitigar el peligro asociado con la vulnerabilidad EternalBlue, es imperativo aplicar rápidamente los parches de seguridad relevantes a todos los sistemas afectados. Por otra parte, se debe realizar una revisión exhaustiva del software de trámite de parches de la estructura para identificar cualquier deficiencia que condujera al estado no parpadeado de estos sistemas. Entregado el stop peligro y prevalencia de explotación de esta vulnerabilidad, los esfuerzos de remediación inmediata son cruciales.

6. Bypass de autenticación IPMI

CVSS3: 10.0

% de ocurrencia: 15.7%

Qué es:

  • La interfaz de oficina de plataforma inteligente (IPMI) es una opción de hardware crítica utilizada por los administradores de red para la oficina centralizada de servidores (s). Durante la configuración de los servidores equipados con IPMI, pueden existir ciertas vulnerabilidades que permiten a los atacantes suprimir el mecanismo de autenticación de forma remota. Esto da como resultado la extirpación de hash de contraseña, y en casos en que se emplean algoritmos de hashing predeterminados o débiles, los atacantes podrían recuperar las contraseñas ClearText.

Impacto de seguridad:

  • La capacidad de extraer contraseñas de ClearText presenta un peligro de seguridad significativo, ya que un atacante podría usar esta información para obtener comunicación remoto no acreditado a servicios confidenciales, incluidas Secure Shell (SSH), Telnet o interfaces basadas en la web. Dicho comunicación no acreditado podría permitir la manipulación de configuraciones, impactando negativamente la disponibilidad e integridad de los servicios proporcionados por los servidores comprometidos.

Recomendación:

  • Dada la partida de un parche para esta vulnerabilidad, es esencial implementar una o más de las siguientes estrategias de mitigación:
    • Limite el comunicación IPMI estrictamente a los sistemas autorizados que requieren funcionalidades administrativas.
    • Deshabilite el servicio IPMI en los servidores que no lo necesitan para las operaciones comerciales.
    • Cambie la contraseña (s) de administrador predeterminada a alternativas fuertes y complejas para mejorar la seguridad.
    • Emplee protocolos de comunicación seguros, como HTTPS y SSH, para mitigar el peligro de ataques de hombre en el medio que podrían exponer credenciales sensibles.

5. Sistemas anticuados de Microsoft Windows

CVSS3: 9.8

% de ocurrencia: 24.9%

Qué es:

  • Los sistemas anticuados de Microsoft Windows presentan riesgos de seguridad significativos, ya que ya no reciben actualizaciones críticas de Microsoft. Estos sistemas pueden carecer de parches de seguridad esenciales que aborden vulnerabilidades conocidas, haciéndolos más susceptibles a la explotación por parte de los atacantes. Por otra parte, la partida de actualizaciones puede dar motivo a problemas de compatibilidad con las herramientas y el software de seguridad modernos, disminuyendo aún más las defensas de los sistemas. Las vulnerabilidades en los sistemas obsoletos a menudo se pueden explotar en ataques, como distribución de malware, exfiltración de datos y comunicación no acreditado.

Impacto de seguridad:

  • Si se explota, un sistema de Microsoft Windows obsoleto podría permitir que un atacante obtenga comunicación no acreditado a los sistemas afectados, exponiendo datos y medios confidenciales. Por otra parte, conveniente a la posible similitud en las configuraciones entre los sistemas interiormente de la misma red, un atacante puede utilizar los sistemas comprometidos como un punto de dispersión para moverse lateralmente, comprometiendo los sistemas adicionales y aumentando la huella caudillo de la violación.

Recomendación:

  • Se recomienda reemplazar versiones obsoletas de Microsoft Windows con sistemas operativos actuales que todavía son compatibles con el fabricante. Esto debería incluir realizar un inventario total de todos los sistemas para identificar y priorizar versiones obsoletas, seguido de la implementación de una logística de puesta al día por etapas. Verifique regularmente que todos los sistemas reciban las últimas actualizaciones y parches para surtir la integridad de la seguridad.

4. IPv6 DNS Spoofing

CVSS3: 10.0

% de ocurrencia: 49.9%

Qué es:

  • El peligro de falsificación de IPv6 DNS surge de la posible entrada de un servidor Rogue DHCPV6 interiormente de la infraestructura de red interna. Correcto a la preferencia de los sistemas Microsoft Windows para IPv6 a través de IPv4, los clientes con capacidad IPv6 se inclinan a obtener sus configuraciones de dirección IP de cualquier servidor DHCPV6 acondicionado.
Leer  ASUS Patches DriverHub RCE Flaws explotable a través de HTTP y archivos .ini diseñados

Impacto de seguridad:

  • La implementación de un servidor Rogue DHCPV6 permite a un atacante manipular las solicitudes de DNS redirigiendo a los clientes habilitados para IPv6 para utilizar el sistema del atacante como su servidor DNS. Esta capacidad puede conducir a graves consecuencias, como la captura no autorizada de datos confidenciales, incluidas las credenciales de los usuarios. Cuando todas las consultas de DNS se resuelven al servidor del atacante, el sistema de la víctima puede comunicarse inadvertidamente con los servicios maliciosos que operan en la infraestructura del atacante, que zapatilla plataformas como SMB, HTTP, RDP y MSSQL.

Recomendación:

  • Para mitigar los riesgos asociados con la falsificación de DNS IPv6, se recomiendan las siguientes estrategias, con fuerza en alinear cada enfoque con operaciones organizacionales y pruebas exhaustivas ayer de la implementación:
    • Administre Rogue DHCP en la capa de red: Implemente características como la detección de DHCP Rogue, el snooping DHCP y la autenticación DHCP en los interruptores de red y los firewalls para controlar los servidores DHCP no autorizados y disminuir la probabilidad de ataques de suplantación de DNS.
    • Prefiere IPv4 a través de IPv6: Utilice los objetos de política de reunión (GPO) o las preferencias de política de reunión (GPP) para implementar modificaciones de registro que configuren los sistemas Windows para hacer el bien IPv4 a través de IPv6. Es importante tener en cuenta que este enfoque no evitará que los ataques afecten los dispositivos que no son de Windows.
    • Deshabilitar IPv6: aunque no es generalmente aconsejable para los sistemas de Microsoft Windows, deshabilitar IPv6 puede considerarse como una precaución del extremo arbitrio, siempre que las pruebas exhaustivas aseguren que no haya interrupciones significativas para las operaciones comerciales.

3. Link-Almacén Multicast Name Resolution (LLMNR) ESPERSACIÓN

CVSS3: 9.8

% de ocurrencia: 65.5%

Qué es:

La resolución de nombre de multicast de Link-Almacén (LLMNR) es un protocolo diseñado para la resolución de nombres interiormente de los entornos de red internos cuando los servicios del sistema de nombres de dominio tradicional (DNS) no están disponibles o son ineficaces. LLMNR actúa como un mecanismo de respaldo, facilitando la resolución de los nombres de DNS a través de consultas de multidifusión. El proceso de resolución se desarrolla de la futuro guisa:

  1. El sistema primero consulta su archivo de host específico para encontrar una dirección IP correspondiente para el nombre DNS especificado.
  2. Si no existe una entrada específico, el sistema inicia una consulta DNS dirigida a sus servidores DNS configurados para resolver el nombre.
  3. Si los servidores DNS no pueden proporcionar una resolución, el sistema transmite una consulta LLMNR a través de la red específico, buscando respuestas de otros hosts.

Esta dependencia de las transmisiones de multidifusión introduce vulnerabilidades, ya que cualquier sistema activo puede replicar a las consultas, potencialmente engañar al sistema solicitante.

Impacto de seguridad:

  • La naturaleza de transmisión de las consultas LLMNR permite que cualquier sistema en la red específico responda con su propia dirección IP en respuesta a una solicitud de resolución. Los actores maliciosos pueden explotar esto enviando respuestas elaboradas que contienen la dirección del sistema del atacante. Esta capacidad abre vías para violaciones de seguridad significativas, particularmente si la consulta está vinculada a servicios confidenciales como SMB, MSSQL o HTTP. La redirección exitosa puede favorecer la captura de información confidencial, incluida las credenciales de texto sin formato y cuentas de hash. Es pertinente observar que las credenciales de hash pueden estar sujetas a ataques modernos de fuerza bruta, lo que compromete la seguridad de las cuentas.

Recomendación:

  • Para mitigar los riesgos asociados con la falsificación de LLMNR, es fundamental deshabilitar la funcionalidad LLMNR en los sistemas afectados. Esto se puede ganar a través de los siguientes métodos:
    • Configuración de la política de reunión: Navegue a la configuración de la computadora Plantillas administrativas Network DNS Client y establezca ‘Desactive la resolución de nombre de multidifusión’ a competente. Para gobernar configuraciones en un compensador de dominio de Windows Server 2003, utilice las herramientas de oficina de servidor remoto para Windows 7 disponibles en este enlace.
    • Modificación de registro para Windows Sagacidad/7/10 Publicación Inicio: Acceda al registro en HKEY_LOCAL_MACHINE Software Policies Microsoft Windows NT DNSCLIENT y modifique la tecla ‘EnableMulticast’ a 0 o eliminarla para deshabilitar la función.

2. Servicio de nombre de Netbios (NBNS) Spouring

CVSS3: 9.8

% de ocurrencia: 73.3%

Que es:

El servicio de nombre NetBIOS (NBNS) es un protocolo utilizado por estaciones de trabajo interiormente de una red interna para resolver los nombres de dominio cuando un servidor DNS no está acondicionado o no argumenta. Cuando un sistema intenta resolver un nombre de DNS, sigue estos pasos:

  1. El sistema primero verifica su archivo de host específico para una entrada que asigna el nombre DNS a una dirección IP.
  2. Si no existe un mapeo específico, el sistema envía una consulta DNS a sus servidores DNS configurados en un intento por recuperar la dirección IP correspondiente.
  3. Si los servidores DNS no pueden resolver el nombre, el sistema transmite una consulta NBNS a través de la red específico, solicitando respuestas de otros sistemas.
Leer  El 89% del uso empresarial de Genai es invisible para las organizaciones que exponen riesgos de seguridad críticos, revela un nuevo informe

Esta dependencia de las transmisiones hace que los NBNS sean vulnerables a los ataques de falsificación, en los que un atacante puede replicar con una dirección IP falsa.

Impacto de seguridad:

  • La naturaleza de transmisión de las consultas NBNS significa que cualquier sistema en la red específico puede replicar. Esta vulnerabilidad puede ser explotada por actores maliciosos que pueden replicar a estas consultas con la dirección IP del sistema del atacante, redirigiendo el tráfico destinado a servicios legítimos. Por ejemplo, los servicios como SMB, MSSQL o HTTP podrían destinar inadvertidamente datos confidenciales, incluidas las credenciales de ClearText o Cuenta Hashed, al sistema del atacante. Por otra parte, las capacidades computacionales modernas pueden favorecer el agrietamiento de las credenciales de hash, lo que puede permitir el comunicación no acreditado a las cuentas de los usuarios.

Recomendación:

  • Para mitigar el peligro de falsificación de NBNS, es aconsejable deshabilitar el servicio NetBIOS en todos los hosts interiormente de la red interna. Esto se puede ganar a través de una variedad de métodos, incluida la configuración de opciones DHCP, ajustes a la configuración del adaptador de red o modificaciones en el registro del sistema. La implementación de estos cambios reducirá significativamente la superficie potencial de ataque asociada con los NBN.

1. DNS de multidifusión (MDNS) ESPELACIÓN

CVSS3: 9.8

% de ocurrencia: 78.2%

Que es:

El DNS de multidifusión (MDNS) sirve como un protocolo de resolución de nombre para las redes locales, facilitando la resolución de los nombres de dominio cuando un servidor DNS dedicado no está acondicionado. El proceso de resolución ocurre en las etapas:

  1. El sistema primero consulta su archivo de host específico para cualquier nombre de nombre DNS apropiado/asignaciones de direcciones IP.
  2. En partida de un servidor DNS configurado, el sistema recurre a MDNS, transmitiendo una consulta de multidifusión IP que solicita la identificación del host correspondiente al nombre DNS. Este comportamiento de protocolo expone una posible vulnerabilidad que los actores maliciosos pueden explotar, permitiéndoles hacerse sobrevenir por sistemas legítimos respondiendo a estas consultas.

Impacto de seguridad:

  • Las consultas MDNS, que se transmiten a través de la subred específico, pueden responderse por cualquier dispositivo capaz de recibirlas. Esta vulnerabilidad permite que un atacante responda con la dirección IP de su sistema, potencialmente engañando al sistema de consulta. Dicha explotación puede conducir a la intercepción de la información confidencial, incluidas las credenciales no cifradas y con hash, dependiendo del servicio específico que la víctima está tratando de aceptar (por ejemplo, SMB, MSSQL, HTTP). Cerca de señalar que las credenciales hash a menudo pueden estar comprometidas interiormente de un plazo relativamente corto utilizando medios informáticos contemporáneos y metodologías de ataque de fuerza bruta.

Recomendación:

  • Para mitigar el peligro de falsificación de MDNS, la recomendación principal es deshabilitar completamente los MDN si no está en uso. En los sistemas de Windows, esto a menudo se puede hacer implementando la política grupal ‘Desactivar la resolución de nombre de multidifusión’. Como muchas aplicaciones tienen el potencial de reintroducir la funcionalidad MDNS, una logística alternativa es cortar el puerto UDP 5353 a través del firewall de Windows. Para los sistemas que no son de Windows, la deshabilitación de servicios como Apple Bonjour o Avahi-Daemon puede proporcionar una protección similar.
  • Es importante tener en cuenta que los MDN deshabilitantes pueden interrumpir funcionalidades como el dispersión de pantalla y ciertas tecnologías de la sala de conferencias. Debe completar la discapacidad no es factible, considere aislar sistemas afectados interiormente de un segmento de red controlado y exigir el uso de contraseñas fuertes y complejas para cualquier cuenta que acceda a estos sistemas.

Lo que Pentesting revela sobre las brechas de seguridad

Luego de analizar decenas de miles de evaluaciones de redes, una cosa está clara: muchas brechas de seguridad no son el resultado de técnicas avanzadas de piratería, sino errores simples y evitables. Las contraseñas débiles, las configuraciones erróneas olvidadas y los sistemas sin parpadear crean oportunidades fáciles para los atacantes. Estas no son vulnerabilidades únicas. Son problemas recurrentes que aparecen en redes de todos los tamaños, año tras año.

Pentesting es como probar su seguridad ayer que un atacante positivo. Revela cómo alguno podría entrar, moverse y aumentar los privilegios utilizando las mismas tácticas en las que confían los atacantes del mundo positivo. Una y otra vez, las evaluaciones demuestran que incluso las empresas con defensas fuertes a menudo tienen debilidades ocultas que esperan ser explotadas.

El problema? La mayoría de las organizaciones aún dependen de Pentests anuales para el cumplimiento, dejando meses de puntos ciegos en el medio. Ahí es donde entra Vpentest de Vonahi Security. Ofrece una red automatizada y a pedido que se acumula, por lo que en motivo de esperar a que una auditoría le diga qué salió mal, puede encontrar y arreglar vulnerabilidades explotables durante todo el año.

Las amenazas cibernéticas no se están desacelerando, por lo que las pruebas de seguridad siquiera deberían. Ya sea que se haga manualmente o a través de la automatización, la pentestación de red regular es la secreto para mantenerse por delante de los atacantes, no solo revisar una caja para el cumplimiento. ¿Quieres explorar Vpentest y ver el poder de la red automatizada Pentesting para ti? ¡Programe una demostración gratuita de Vpentest!

El más popular

spot_img