Aprovechando que hoy voy retrasado debido a mi enfermedad y los viajes, os voy a dejar un aviso de seguridad importante que me pasó mi amigo rootkit. Se trata de algo que ya sabéis que no se debe hacer, pero por si acaso os lo vuelvo a dejar ya que hay miles de servidores en Internet que están suponiendo un agujero para muchas empresas y organizaciones, ya que tienen un servidor VNC abierto a Internet sin exigir autenticarse.
Las conexiones VNC permiten controlar remotamente un servidor, tal y como si estuviéramos sentados delante la pantalla y el teclado. Al igual que una conexión remota tipo Citrix, si se quiere utilizar VNC para publicar una app que está corriendo dentro del desktop, en la configuración se podría deshabilitar la autenticación vía VNC, o lo que es lo mismo, que todas las conexiones que se hagan vía VNC no tengan que poner su usuario y contraseña.
Figura 2: Una app corriendo sin autenticación en un servidor VNC |
Esto, como ya hemos visto en el caso de Citrix es una mala praxis, pues saltar de la app publicada al desktop es cuestión de "tocar el piano" y buscar los caminos de entrada. Pues lo mismo sucede con las apps publicadas vía VNC y cualquiera que llegue a una app corriendo en un sistema con autenticación deshabilitada, conseguir acceso al sistema es trivial.
Figura 3: La app controla una fábrica |
Localizar estos servidores haciendo un poco de hacking con buscadores en Shodan es tan sencillo como buscar "RFB 003.008 authentication disabled" y te aparecerá una lista de servidores enorme.
Figura 4: Lista de servidores VNC con autenticación deshabilitada en Shodan |
El resto es abrir el cliente VNC y conectarse sin usuario ni contraseña. Llegarás a la app publicada en el desktop y el resto será jugar con las opciones del sistema para llegar al sistema operativo y la red interna de la organización donde está conectado ese equipo. Por favor, si tienes una app en un servidor publicado por VNC, no hagas esto. Pon autenticación porque si no va a ser trivial para cualquier atacante colarse en tus redes.
Saludos Malignos!
Que te mejores
ResponderEliminarA una cosa como no espliques mejor lo entra a control de un Pc siempre seré atacante novato jjjj
Un saludo
Pero vamos, todo servicio que pongas en un ordenador y tenga acceso a Internet es vulnerable, si no tienes autentificación, más aún. Eso me recuerda una cosa que me pasó hace un tiempo. Tenía que hacer unas pruebas en unos servidores, pedí varios VPS de esos por horas para las pruebas, y como eran pruebas, ¿quién se va a meter? puse contraseñas fáciles, tipo 11111 para el primer servidor, 222222 para el segundo servidor... pues, ¡en uno de ellos se metieron!
ResponderEliminarEn fin, aquí la historia por si a alguien le vale: http://totaki.com/poesiabinaria/2016/02/por-que-debemos-trabajar-en-la-seguridad-hasta-de-un-servidor-de-pruebas/
interesante articulo
ResponderEliminarGracias Chema.
ResponderEliminarQue mejores pronto.
Madre mia que desastre....... yo flipo con la gente. Como se pueden dejar los sistemas así?
ResponderEliminarEste comentario ha sido eliminado por el autor.
ResponderEliminarRecuerdo que hace mucho tiempo estaba probando instalar vnc en una máquina con Linux, solo experimentando, lo levanté sin clave y a los pocos segundos algo tomó el control y empezó a escribir un comando telnet en editor de textos que tenía abierto. Ja ja.. Recuerdo que me asusté tanto que apagué el computador de una.
ResponderEliminarfalla http://ciperchile.cl/2016/03/05/grave-falla-en-la-red-del-minsal-dejo-expuesta-informacion-confidencial-de-pacientes/
ResponderEliminarla empresa mas ladrona de seguridad de su pais http://www.innotecsystem.com es la auditora
Félix Muñoz el autor del ataque ddos a telefonica y bbva con su operario colaborador richard con pagos bankia