viernes, marzo 04, 2016

¡No publiques servidores VNC con Autenticación Deshabilitada!

Aprovechando que hoy voy retrasado debido a mi enfermedad y los viajes, os voy a dejar un aviso de seguridad importante que me pasó mi amigo rootkit. Se trata de algo que ya sabéis que no se debe hacer, pero por si acaso os lo vuelvo a dejar ya que hay miles de servidores en Internet que están suponiendo un agujero para muchas empresas y organizaciones, ya que tienen un servidor VNC abierto a Internet sin exigir autenticarse.

Figura 1: ¡No publiques servidores VNC con Autenticación Deshabilitada!

Las conexiones VNC permiten controlar remotamente un servidor, tal y como si estuviéramos sentados delante la pantalla y el teclado. Al igual que una conexión remota tipo Citrix, si se quiere utilizar VNC para publicar una app que está corriendo dentro del desktop, en la configuración se podría deshabilitar la autenticación vía VNC, o lo que es lo mismo, que todas las conexiones que se hagan vía VNC no tengan que poner su usuario y contraseña.

Figura 2: Una app corriendo sin autenticación en un servidor VNC

Esto, como ya hemos visto en el caso de Citrix es una mala praxis, pues saltar de la app publicada al desktop es cuestión de "tocar el piano" y buscar los caminos de entrada. Pues lo mismo sucede con las apps publicadas vía VNC y cualquiera que llegue a una app corriendo en un sistema con autenticación deshabilitada, conseguir acceso al sistema es trivial.

Figura 3: La app controla una fábrica

Localizar estos servidores haciendo un poco de hacking con buscadores en Shodan es tan sencillo como buscar "RFB 003.008 authentication disabled" y te aparecerá una lista de servidores enorme.

Figura 4: Lista de servidores VNC con autenticación deshabilitada en Shodan

El resto es abrir el cliente VNC y conectarse sin usuario ni contraseña. Llegarás a la app publicada en el desktop y el resto será jugar con las opciones del sistema para llegar al sistema operativo y la red interna de la organización donde está conectado ese equipo. Por favor, si tienes una app en un servidor publicado por VNC, no hagas esto. Pon autenticación porque si no va a ser trivial para cualquier atacante colarse en tus redes.

Saludos Malignos!

8 comentarios:

Unknown dijo...

Que te mejores
A una cosa como no espliques mejor lo entra a control de un Pc siempre seré atacante novato jjjj

Un saludo

Gaspy dijo...

Pero vamos, todo servicio que pongas en un ordenador y tenga acceso a Internet es vulnerable, si no tienes autentificación, más aún. Eso me recuerda una cosa que me pasó hace un tiempo. Tenía que hacer unas pruebas en unos servidores, pedí varios VPS de esos por horas para las pruebas, y como eran pruebas, ¿quién se va a meter? puse contraseñas fáciles, tipo 11111 para el primer servidor, 222222 para el segundo servidor... pues, ¡en uno de ellos se metieron!
En fin, aquí la historia por si a alguien le vale: http://totaki.com/poesiabinaria/2016/02/por-que-debemos-trabajar-en-la-seguridad-hasta-de-un-servidor-de-pruebas/

Dragomir dijo...

interesante articulo

Anónimo dijo...

Gracias Chema.
Que mejores pronto.

Unknown dijo...

Madre mia que desastre....... yo flipo con la gente. Como se pueden dejar los sistemas así?

mj dijo...
Este comentario ha sido eliminado por el autor.
Daniel dijo...

Recuerdo que hace mucho tiempo estaba probando instalar vnc en una máquina con Linux, solo experimentando, lo levanté sin clave y a los pocos segundos algo tomó el control y empezó a escribir un comando telnet en editor de textos que tenía abierto. Ja ja.. Recuerdo que me asusté tanto que apagué el computador de una.

Anónimo dijo...

falla http://ciperchile.cl/2016/03/05/grave-falla-en-la-red-del-minsal-dejo-expuesta-informacion-confidencial-de-pacientes/

la empresa mas ladrona de seguridad de su pais http://www.innotecsystem.com es la auditora

Félix Muñoz el autor del ataque ddos a telefonica y bbva con su operario colaborador richard con pagos bankia


Entrada destacada

Desde HOY es BlackFriday en 0xWord.com Cupón 10% descuento: BLACKFRIDAY2024 y descuentos con Tempos de MyPublicInbox @0xWord @mypublicinbox

Pues este año tenemos el  BlackFriday  durante  7 días , y poco más que decir en el artículo que lo que he puesto en el título del artículo....

Entradas populares