Actividad 1.4.5: Identificación de las vulnerabilidades de seguridad principales Objetivos de aprendizaje

Actividad 1.4.5: Identificación de las vulnerabilidades de seguridad principales

Objetivos de aprendizaje

Al completar esta actividad, usted podrá:

• Usar el sitio SANS para identificar rápidamente las amenazas de seguridad de Internet.

• Explicar cómo se organizan las amenazas.

• Enumerar varias vulnerabilidades de seguridad recientes.

• Usar los enlaces de SANS para acceder a información adicional relacionada con la seguridad.

Información básica

Uno de los sitios más conocidos y confiables relacionados con la defensa contra las amenazas de seguridad de computadoras y de redes es SANS. SANS proviene de SysAdmin, Audit, Network, Security (Administración del sistema, Auditoría, Red, Seguridad). SANS está formado por varios componentes, cada uno de los cuales contribuye en gran medida con la seguridad de la información. Para obtener información adicional acerca del sitio SANS, consulte http://www.sans.org/ y seleccione los temas en el menú Resources.

¿Cómo puede un administrador de seguridad corporativa identificar rápidamente las amenazas de seguridad?

SANS y el FBI han recopilado una lista de los 20 principales objetivos de ataques de seguridad en Internet en http://www.sans.org/top20/. Esta lista se actualiza periódicamente con información formateada por:

• Sistemas operativos: Windows, Unix/Linux, MAC

• Aplicaciones: interplataforma, incluidos la Web, base de datos, punto a punto, mensajería instantánea, reproductores de medios, servidores DNS, software para copias de seguridad y servidores de administración

• Dispositivos de red: dispositivos de infraestructura de red (routers, switches, etc.), dispositivos VoIP

• Elementos humanos: políticas de seguridad, conducta humana, temas personales.

• Sección especial: temas de seguridad no relacionados con ninguna de las categorías anteriores.

Situación

Esta práctica de laboratorio presentará a los estudiantes las vulnerabilidades en los asuntos de seguridad informática. Se usará el sitio web de SANS como una herramienta para la identificación comprensión y defensa de las amenazas de vulnerabilidad.

Esta práctica de laboratorio debe completarse fuera del laboratorio de Cisco, desde una computadora con acceso a Internet.

El tiempo estimado para completarla es de una hora.

Tarea 1: Ubicación de los Recursos SANS.

Paso 1: Abrir la Lista SANS de los 20 principales.

Con un navegador web, vaya al URL http://www.sans.org. En el menú resources, elija top 20 list, como se muestra en la Figura 1.

 Figura 1. Menú SANS

La lista SANS de los 20 principales objetivos de ataques de seguridad en Internet está organizada por categorías. Una letra indica el tipo de categoría y los números separan los temas de la categoría. Estos temas cambian en forma anual en parte debido a los rápidos cambios en la tecnología. A los fines de esta actividad, visite http://www.sans.org/top20/.

LISTADO DE TOP 20

1. INYECCIÓN DE COMANDOS

Se aprovecha la falta de validación en el contenido suministrado por el usuario en los campos ping_ip y Add_Account_Password.

2. XSS NO PERSISTENTE

También falta de validación en los parámetros ping_ip, sortby y submit_button.

3. VIRUS DISEÑADO PARA ATACAR EL INTERNET DE LAS COSAS DARLLOZ

Es capaz de infectar routers, descodificadores, cámaras y otros sistemas que se ejecuten bajo Linux.

4. LOS MÓDULOS DE SERVICIOS PARA LOS SWITCHES DE LA SERIE CISCO CATALYST 6500 

Los errores pueden ser provocados por mensajes IKE (CVE-2013-1149), URLs (CVE-2013-1150) o certificados malformados (CVE-2013-1152)

5. CISCO 7600 SERIES ROUTE SWITCH 
Un problema con la FPGA (Kailash field-programmable gate array) en modelos RSP720-3C-10GE y RSP720-3CXL-10GE Cisco 7600 Series Route Switch posibilita a un atacante remoto causar la parada del funcionamiento o el reinicio del mismo.

6. ROUTERS HUAWEI PERMITEN EJECUCIÓN DE CÓDIGO SNMPV3.

El error existe en el decodificador de los paquetes de este servicio. Cuando el sistema recibe un paquete SNMP,este lo carga en memoria. Si el paquete está especialmente manipulado yocupa más del tamaño estándar, se produce el desbordamiento de memoria en el router y la posibilidad de ejecutar código arbitrario en él.

 

7. EJECUCIÓN REMOTA DE CÓDIGO EN DIVERSOS ROUTERS TP-LINK

La vulnerabilidad se debería a una funcionalidad presente en el firmware
del router que contacta de manera remota con un servidor TFTP cuando se
realiza una determinada petición de recurso.

 

8. VULNERABILIDAD  EN CVE-2013-1142

Afectan a diversas versiones del sistema IOS, en especial a la 12 y la 15, y en todas ellas, el vector de ataque es el envío de cierto tipo de paquetes cuyo procesado provocaba un reinicio del dispositivo. 

 

9. VULNERABILIDAD  EN CVE-2013-1148

Permite a atacantes remotos provocar una denegación de servicio (recarga de dispositivo) a través artesanal (1) IPv4 o (2) los paquetes IPv6 IP SLA en el puerto UDP 1167, también conocido como Bug ID CSCuc72594.

 

10. VULNERABILIDAD EN SWITCHES SCALANCE X-200 DE SIEMENS

Identificada vulnerabilidad en el mecanismo de autenticación del interfaz web de administración en la familia de switches SCALANCE X-200 de Siemens.

 

11. VULNERABILIDAD EN LOS SWITCHES DE DELL POWERCONNECT.

Numerosos modelos de Switches Dell y aplicación web contienen vulnerabilidad que podría permitir una ejecución remota de código o un atacante podría restablecer el switch.

 

12. VULNERABILIDAD EN UPNP DE ROUTERS

El problema es que el servicio UPnP nunca debería estar en el lado público del router, nunca debería estar expuesto a internet. Debido a esto, cualquier Hacker puede apoderarse de cualquier red privada (VPN)

13. VULNERABILIDAD EN LOS ROUTERS D-LINK DIR-600L

Este tipo de vulnerabilidad permite a un atacante ejecutar funcionalidades de una web determinada a través de la sesión de otro usuario en esa web.

 

14. VULNERABILIDAD EN VARIOS ROUTERS DE CISCO

Podría permitir a un intruso remoto no autenticado obtener acceso a nivel root“.

 

15. VULNERABILIDAD EN LOS ROUTERS DE VODAFONE

Permiten obtener la clave por defecto-actualización

16. ROUTER ASUS

Pueden ser vistos por cualquier persona en el mundo con una conexión a Internet", Una vulnerabilidad en los dispositivos permite a atacantes acceder a los discos externos conectados con el router.

17. GUSANO "THEMOON" ATACA ROUTERS LINKSYS

Un programa auto-Replicante está infectando routers Linksys aprovechando una vulnerabilidad de autenticación por pasos en varios modelos de línea de productos E-series del vendedor.

18. VULDB: FORTINET FORTIOS 5.0.5

Una vulnerabilidad clasificada como problemática fue encontrada en Fortinet FortiOS 5.0.5. Una función desconocida del archivo /firewall/schedule/recurrdlg es afectada por esta vulnerabilidad.

19. VULNERABILIDAD WI-FI PROTECTED SETUP (WPS) EN ROUTERS WI-FI Se debe a un exceso de información en la respuesta EAP-NACK (Extensible Authentication Protocol-Negative Acknowledgement) que el sistema envía cuando la autenticación falla. Esto podría permitir a un atacante remoto determinar si la primera mitad del PIN es correcta o no, disminuyendo la robustez del mismo e incrementado las posibilidades de éxito de un ataque por fuerza bruta.

20. VULNERABILIDAD EN SWITCHES SCALANCE X200 DE SIEMENS.Esta vulnerabilidad posibilita a atacantes realizar operaciones administrativas remotamente sin autenticación a través del interfaz web de administración del dispositivo

Los temas sobre router y switch se encuentran dentro de la categoría Dispositivos de red (Network Devices) N. Hay dos temas principales con hipervínculos: 

N1. Servidores y teléfonos VoIP N2. Debilidades comunes de configuración de dispositivos de red y de otro tipo

Paso 2: Hacer clic en el hipervínculo N2. Debilidades comunes de configuración de dispositivos de red y de otro tipo, para ingresar en este tema.

Tarea 2: Repaso sobre los Recursos SANS.

Paso 1: Repasar el contenido de N2.2 Temas comunes de configuración predeterminada.

Por ejemplo, N2.2.2 (en enero de 2007) contenía información sobre amenazas relacionadas con cuentas y valores predeterminados. Una búsqueda en Google sobre “contraseñas de router inalámbrico” arroja vínculos a diversos sitios que publican una lista de nombres de cuenta de administrador y contraseñas predeterminadas de routers inalámbricos. La imposibilidad de cambiar la contraseña predeterminada en estos dispositivos puede generar compromiso y vulnerabilidad hacia los atacantes.

Paso 2: Observar las referencias CVE.

La última línea debajo de varios temas se refiere a la Exposición común a la vulnerabilidad (CVE). El nombre CVE está relacionado con la Base de datos Nacional de Vulnerabilidad (NVD) del Instituto

Nacional de Normas y Tecnología (NIST), patrocinado por la División de Seguridad Cibernética Nacional del Departamento de Seguridad Nacional (DHS) y por US-CERT, que contiene información sobre la vulnerabilidad.

Tarea 3: Recolección de datos.

El resto de esta práctica de laboratorio lo guiará a través de la investigación y solución de una vulnerabilidad.

Paso 1: Seleccionar un tema para investigar y hacer clic en un hipervínculo CVE de ejemplo.

Nota: debido a que la lista CVE cambia, la lista actual puede no contener las mismas vulnerabilidades que en enero de 2007.

El enlace debe abrir un nuevo explorador web conectado a http://nvd.nist.gov/ y la página resumen de vulnerabilidades de CVE.

Pasó 2: Completar la información acerca de la vulnerabilidad:

9. VULNERABILIDAD  EN CVE-2013-1148

Fecha de lanzamiento original: 03/28/2013

Última revisión:   03/29/2013

Fuente:   US-CERT/NIST

Descripción general: La aplicación general de respuesta en la función de Acuerdo de Nivel de Servicio IP (SLA) de Cisco IOS 15.2 y IOS XE 3.1.xS través 3.4.xS antes 3.4.5S y 3.5.xS través 3.7.xS antes 3.7.2S, permite a atacantes remotos provocar una denegación de servicio (recarga de dispositivo) a través artesanal (1) IPv4 o (2) los paquetes IPv6 IP SLA en el puerto UDP 1167, también conocido como Bug ID CSCuc72594.

En Impacto hay varios valores. Se muestra la severidad del Sistema de puntaje de vulnerabilidades comunes (CVSS), que contiene un valor entre 1 y 10.

Pasó 3: Completar la información acerca del impacto de vulnerabilidad:

Severidad CVSS: CVSS gravedad (la versión 2.0)

Rango: CVSS gravedad (la versión 2.0)

Autenticación: No se requiere para explotar

Tipo de impacto: Permite la interrupción de serviceUnknown

El próximo encabezado contiene enlaces con información acerca de la vulnerabilidad y las posibles soluciones.

Paso 4: Con la ayuda de los hipervínculos, escribir una breve descripción sobre la solución encontrada en esas páginas.

La implementación del General Responder en la función IP Service Level Agreement (SLA) en Cisco IOS XE v15.2 y v3.1.xS a través v3.4.xS antes de v3.4.5S y v3.5.xS a través v3.7.xS antes de v3.7.2S permite a atacantes remotos provocar una denegación de servicio (recarga dispositivo) a través de paquetes SLA IP (1) IPv4 (2) IPv6 diseñados para este proposito en el puerto UDP 1167, también conocido como Bug ID CSCuc72594.

Tarea 4: Reflexión

La cantidad de vulnerabilidades para las computadoras, redes y datos sigue creciendo. Los gobiernos han dedicado importantes recursos para coordinar y difundir información acerca de las vulnerabilidades y las posibles soluciones. Sigue siendo responsabilidad del usuario final la implementación de la solución.

Piense de qué manera pueden los usuarios ayudar a fortalecer la seguridad. Piense qué hábitos de los usuarios crean riesgos en la seguridad.

Los usuarios juegan un papel muy importante para combatir la inseguridad en la red, puesto que son los afectados, y para combatir éste problema, los usuarios pueden contactar a dichas páginas de seguridad para informar los nuevos ataques a los cuales están sometidos, como lo hace Windows cuando existen errores en su sistema operativo, le pide al usuario que le informe para desarrollar parches que solucionen dichos problemas, esto también se puede aplicar para mejorar la seguridad en las redes. Los usuarios crean riesgos por ejemplo cuando ingresan contraseñas en computadores que no son de su propiedad, o también ingresando desde meta buscadores que son vulnerables a dichos ataques.