**************************************************************************************************
**************************************************************************************************
La herramienta de administración de Sonicwall CDP
Tras arrancar la aplicación instalada, la herramienta ya está configurada para conectarse al appliance de copias de seguridad, con lo que sólo se solicita una contraseña. Usando la password por defecto de estos dispositivos, como era de esperar se permite el acceso.
Figura 12: Herramienta de administración de SonicWall CDP |
No sabía lo que allí me iba a encontrar, pero parece que está absolutamente todo el corazón de la empresa, ya que en este servidor se hace backup de Active Directory, las bases de datos MS SQL Server y las bases de datos de servidores de correo MS Exchange Server. Vamos, creo que los datos más valiosos de la infraestructura de la compañía.
Figura 13: Backups de Active Directory, MS SQL Server y MS Exchange Server |
Tenerlos protegidos sólo con la contraseña por defecto es una autentica temeridad y si hubiera tenido delante al administrador le hubiera mordido una oreja por luser. La herramienta permite hacer restore de datos a cualquier sitio, y por lo tanto se podría acceder a todo. Sin embargo, esto no acaba aquí, ya que también se realizan copias de seguridad de carpetas compartidas, y desde la aplicación se pueden consultar todos los ficheros, y restaurarlos.
Figura 14: Buscando ficheros en el backup de datos |
Todos los datos de una empresa sólo controlados por una contraseña por defecto es una autentica temeridad. Espero que todos vosotros hayáis cambiado las passwords por defecto de todos vuestros equipos de la red.
192.168.X.150: Otra impresora
Y también con la contraseña por defecto. Lo curioso es que con esta se puede acceder a ver qué usuarios han mandado a imprimir qué documentos, con lo cual se puede extraer un poco más de información. Lo cierto es que tras poder acceder al backup del Active Directory deja de tener importancia este resquicio de datos.
Figura 15: Otra impresora, con su password por defecto |
Figura 16: La consola msh con password por defecto |
Locahost: El servidor web público
Encontré alguna impresora más - sí, también con la password por defecto - pero ya era suficiente, así que revisé mi equipo para terminar, y como era de esperar, allí estaba el servidor web publicado en Internet con el acceso a los servicios Citrix.
Figura 17: El servidor web local con Citrix |
Como estaba en ese equipo, miré a ver si podría haber metido una webshell en el servidor para poder acceder siempre al equipo. Allí estaba InetPub, y no estaba protegido, por lo que se podría meter un fichero con la webshell para perpetuar el acceso y control a la red.
Figura 18: El directorio InetPub y una rara aplicación llamada keygen |
Conclusión
Tener un firewall no es una garantía de protección. Si estás publicando servicios en Internet audítalos. Si estos servicios están en una DMZ, audítala como si los servidores hubieran sido comprometidos. Si tienes dispositivos en tu red.... ¡cambia ahora mismo las passwords por defecto de todos ellos!
Saludos!
**************************************************************************************************
Saludos!
**************************************************************************************************
**************************************************************************************************
No es por nada, pero se me hace raro pensar que una empresa tenga las impresoras y el CDP en la DMZ. Eso directamente es no tener ni idea. DMZ servicios públicos, el resto, en LAN (de la manera que tu quieras).
ResponderEliminarA ver si va a ser un honeynet xDDD porque tener una configuración tal y como has ido mostrando es pa darle de collejas al sysadmin pero bien.
Buenos artículos para saber que es lo que NO se debe de hacer.
Como siempre chema! muy buenas recomendaciones
ResponderEliminar