miércoles, agosto 31, 2016

Big Data Security Tales: Los Known-Bugs en WSO2 Carbon Server #BigData #Pentesting

Por supuesto, el software que se utiliza en los entornos de Big Data es susceptible de contener fallos de seguridad que van siendo descubiertos a lo largo del tiempo. La gestión de las actualizaciones es un proceso fundamental que debe tomarse en serio. A veces esta gestión no es trivial, y la ventana de oportunidad para explotar un bug conocido (Known-Bug) puede ser grande, por lo que hay que prestar especial cuidado a las listas de seguridad, y tener los procesos de gestión de parches bien engrasados.

Figura 1: Los known-bugs en WSO2 Carbon Server Technologies

En la conferencia de Big Problems with Big Data que os dejé hace unos artículos, el ponente ponía el ejemplo de cuál es el proceso de aplicación de un parche de, por ejemplo, una librería como JQuery en un entorno de Big Data

El ciclo de vida de un Known-Bug

El bug es descubierto y publicado en JQuery que después se aplica a la siguiente distribución de Django. Este framework se utiliza para construir Apache HUE, por lo que en la siguiente compilación en la que se compruebe que la nueva versión de Django no rompe nada se aplicará, con la consiguiente corrección del bug que había en JQuery. Apache HUE saca su nueva versión, y esta debe ser empaquetada en la nueva compilación de Apache Hadoop, por lo que para que el known-bug de JQuery esté parcheado en la versión de Apache HUE que acompaña tu distribución de Apache Hadoop hay que esperar un paso más.

Figura 2: Ciclo de vida de actualizaciones de un Know-Bug

Esto, por supuesto, se alarga si has utilizado una distribución como Cloudera o HortonWorks que deberán hacer su nueva release en la que haya probado que la nueva distribución de Apache Hadoop que lleva la nueva versión de Apache HUE compilada y probada con la nueva versión del framework de DJango que incorpora la nueva versión de JQuery parcheada no rompe nada. Y después deberá instalarlo el cliente si ha decidido ir a un entorno de Big Data basado en una instalación OnPremise, o en Cloud pero gestionada por él mismo.

Esto por supuesto no es siempre un proceso tan lento, y cuando un bug de seguridad es crítico se acortan los plazos al máximo, pero aún así hay una ventana temporal de explotación de known-bugs muy grande. Por eso es especialmente importante estar al día de los posibles bugs que puedan ser descubiertos en los programas que usas en tu instalación de Big Data

Known-Bugs en WSO2 Carbon Server

En el caso de WSO2 Carbon Server, recientemente se publicaron en las listas de seguridad una serie de ellos que deben tenerse en cuenta. Lo curioso es que al ir a mirar el histórico de los Security Advisories de todos los productos de la familia, solo pude localizar Security Advisories en 2016 y solo los que había leído en la lista de contactos.

Figura 3: Security Advisories en WSO2

Sin embargo, si entramos en la lista de parches disponibles sí que podemos ver todo el histórico de parches de seguridad para todos los productos, y ahí podemos revisar si en una determinada instalación existen o no vulnerabilidades.

Además, en los productos de WSO2 es extremadamente sencillo descubrir la versión de un determinado producto ya que sin necesidad de tener iniciada una sesión se puede acceder al botón de "About" y conocer qué versión exacta es la que está instalada. 

Figura 4: Versión exacta de una instalación de WSO2 Identity Server

Una vez conocida la versión, revisar la lista de parches da exactamente la lista de known-bugs que se tiene en esta instalación concreta. Para nuestro sistema de pentesting persistente Faast esto es perfecto ya que nos permite avisar a nuestros clientes rápidamente cuando una versión desactualizada es detectada.

Figura 5: Known-Bugs en la versión 5.0.0 de WSO2 Identity Server

Gracias a ello es sencillo localizar versiones inseguras, pero también para la propia organización detrás del software, por lo que sería sencillo localizar clientes a los que hacer un aviso de seguridad personalizado con el objeto de ayudarles a estar más seguros.

PoC con WSO2 Data Services Server

Una de las versiones inseguras de WSO2 Data Services Server permite la ejecución de código en Java desde la consola de Tools, a la que se puede acceder sin necesidad de haberse autenticado en la plataforma. Desde esa misma consola es posible ver cómo cuando se intenta hacer una conexión, la página web pone el código que esta ejecutando.

Figura 6: Se muestra el comando y el mensaje de error

Tener este panel, expone en primer lugar los servidores de la DMZ para hacer un ataque de XSPA, pero también es vulnerable el interfaz con un bug de HTML Injection que permite hacer cosas como este Ataque de David Hasselhoff.

Figura 7: Un HTML Injection con un homenaje de Ricardo Martín al David Hasselhoff Attack

Y si además hay una gestión de credenciales insegura en alguna de las bases de datos de la DMZ y se llega a un servidor como este con un usuario sa de Microsoft SQL Server sin contraseña, sin necesidad de haberse conectado al servidor WSO2 Data Services Server es posible acceder a ficheros del servidor viendo el código en el mensaje de error.

Figura 8: Un LFI en el mensaje de error

Al final, la gestión de parches es algo fundamental, y es verdad que el número de aplicaciones y tecnologías que suele tener un entorno de Big Data en una empresa es grande, pero si no se hace esa gestión de forma robusta y planificada al igual que se hace con el resto de las tecnologías, explotar un "Known-Bug" va a ser muy sencillo para un atacante.
- Big Data Security Tales: ¡Vigila que tu MongoDB no le de tus datos a cualquiera! (Level 100)
- Big Data Security Tales: Cómo funcionan las MongoDB Injection
- Big Data Security Tales: MongoDB y Cassandra (Level 101)

- Big Data Security Tales: Apache Hadoop expuesto por no configurar HUE (Level 102)
- Big Data Security Tales: Django en HUE en modo DEBUG y con Directory Listing (Level 103)
- Big Data Security Tales: Las Interfaces de acceso al HDFS
- Big Data Security Tales: Apache Amabari Default Admin
- Big Data Security Tales: WSO2 Carbon y la ayuda para el Login
- Big Data Security Tales: Los Known-Bugs en WSO2 Carbon Server
- Big Data Security Tales: Kibana & ElasticSearch objetivos del ransomware
- Big Data Security Tales: Apache CouchDB Relax... o no
- Big Data Security Tales: Riak NoSQL Database
Saludos Malignos!

martes, agosto 30, 2016

TheFatRat: La Rata Gorda lucha contra los AntiMalware #Metasploit #malware #pentesting

Echando un ojo a muchas de las herramientas que salen diariamente en Internet relacionadas con el mundo de la seguridad me llamó la atención TheFatRat. Desarrollada por Edo Maland y ayudado en módulos de evasión de AV por Daniel Compton de NCC Group, es un script que ayuda a la generación de binarios en diferentes plataformas con el objetivo de lograr buenos resultados en la lucha contra la detección de antivirus. Lo que se dice, una imagen del binario FUD = "Fully UnDetectable". En otras palabras, en una herramienta de botón “grueso” que permite generar backdoors con msfvenom con Meterpreter de tipo reverse TCP como payload.

Figura 1: TheFatRat lucha contra los antimalware

Decidí evaluar algunas de las características que nos ofrece TheFatRat. En un primer vistazo podemos ver que se nos permite crear backdoors de 3 formas distintas: a través de msfvenom, una imagen FUD (Fully UnDetectable) a través de Powerfull o crear una copia FUD a través de Avoid 1.2 de Daniel Compton. Además, la herramienta nos permite:
• Arrancar un TCP listener para obtener las sesiones, una vez los binarios hayan sido ejecutados.
• Drop into de nuestra quería msfconsole.
• Realizar búsquedas de exploits a través de searchsploit.
¿Qué necesitamos?

En primer lugar, una vez lo descarguemos de su Github, necesitamos poner con permisos de ejecución el fichero fatrat y powerfull.sh. Durante el lanzamiento del script fatrat se chequeará sobre los requisitos de la aplicación, un Metasploit instalado, searchsploit, un PostgreSQL y algunos compiladores necesarios para realizar algunos FUD.

Utilizando Searchsploit

Antes de comparar binarios y resultados vamos a comentar una funcionalidad que trae TheFatRat y es Searchsploit. Esta es una herramienta de exploit-db, con la que se tiene todos los exploits disponibles en su base de datos en modo offline. TheFatRat permite realizar búsquedas sobre los exploits que tengamos en modo offline gracias a exploit-db y su searchsploit. En la siguiente imagen se puede ver las diferentes opciones de TheFatRat. En sexto lugar encontramos searchsploit.

Figura 2: Menú de TheFatRat

Una vez introducimos la opción de Searchsploit, TheFatRat nos solicitará el contenido a buscar. Para este ejemplo probamos con Zabbix 2.0.5, recordando al módulo que implementé para Metasploit sobre la vulnerabilidad CVE-2013-5572. Searchsploit nos da la ruta, dentro de la aplicación offline que viene en Kali Linux 2.0 de exploit-db, y el nombre del fichero que contiene el exploit. En la imagen se puede ver la ruta y el nombre del módulo “Cleartext ldap_bind_password”.

Figura 3: Módulo para Zabbix 2.0.5

Si accedemos a la ruta podemos encontrar el código del módulo, en esta ocasión para Metasploit. Interesante herramienta para descubrir exploits en modo offline, por si en alguna auditoria interna no tenemos acceso a Internet. Además, nunca se sabe cuándo se puede reutilizar el código.

PoC: Backdoor con msfvenom y TheFatRat

Ahora vamos a comentar las posibilidades para la creación de backdoors con TheFatRat. Utilizando la opción 1 del script accedemos a un submenú dónde se pide que indiquemos la plataforma. Como se puede ver hay gran diversidad de lenguajes y plataformas sobre las que se puede crear la backdoor. Realmente, se está haciendo uso de las opciones que Metasploit dispone y que pueden verse desde la consola con generate -h, dentro de un tipo de módulo payload.

Figura 4: Elección de plataforma Windows en TheFatRat

Se utilizan diversos encoders automáticamente, con varias iteraciones, pero al pasar la prueba de Virus Total encontramos que los resultados no son excesivamente buenos. 42 de 57 antivirus han detectado el binario como malicioso, por lo que la prueba de bypass de AV no ha sido muy satisfactoria.

Figura 5: En Virus Total 42 de 57 motores de AV detenta como malicioso el fichero

Hay que recordar el análisis que se hizo de The Shellter, Veil-Evasion y PayDay, dónde The Shellter salió muy bien parado. Parece que TheFatRat no saldrá tan bien parada. Tal vez es porque ha llamado demasiado la atención del mundo del malware y los laboratorios de las casas de antivirus han puesto esfuerzo en firmar los trucos que realizan para saltárselos. Así es el juego del gato y el ratón (o la rata).

PoC: Backdoor con Avoid 1.2

Ahora vamos a probar otra de las opciones, en este caso de tipo FUD, que proporciona TheFatRat. Elegimos la opción número 3 de la herramienta y nos pedirán el nombre del fichero de salida, el nombre del fichero de autorun que queremos utilizar y luego los datos sobre la dirección IP y el puerto.

Figura 6: Crear un Backdoor con Avoid 1.2

Una vez hemos introducido los campos necesarios, esta herramienta de Daniel Compton nos solicitará qué tipo de binario, en cuanto a tamaño, queremos crear. Para esta prueba de concepto hemos introducido la opción de Stealth, entre 1 y 2 MB, con una compilación rápida, pero se recomienda probar una generación Super Stealth ;)

Figura 7: Opciones del backdoor con Avoid 1.2

Los resultados obtenidos en Virus Total son mucho mejores al caso anterior, aunque aún bastante mejorables. Aún 18 de 57 motores de antivirus detectan el binario generado como malware. Por esta razón, deberíamos intensificar esfuerzos o probar otro tipo de soluciones con mejores resultados, como por ejemplo The Shellter.

Conclusiones

TheFatRat es una interesante herramienta que permite generar backdoors de cara a un posible ethical hacking. Además, incluye un pequeño script de búsqueda a través de Searchsploit con el que poder buscar exploits en modo offline.  En el siguiente vídeo tienes una demostración del proceso que hemos visto en este artículo.


Figura 8: TheFatRat lucha contra los antimalware

Además, se integra perfectamente con Metasploit, a través del uso de listeners e interacción con msfconsole. Herramienta interesante para probar en vuestro laboratorio y para tener un ojo encima y ver cómo evoluciona.

Autor: Pablo González Pérez (@pablogonzalezpe)
Escritor de los libros "Metasploit para Pentesters", "Ethical Hacking", "Got Root" y “Pentesting con Powershell

lunes, agosto 29, 2016

Takin' a Walk on the Geek Side

Durante este verano no he tenido vacaciones por decisión propia. Es cierto que ya sabía que se me iban a avecinar una avalancha de proyectos durante esta temporada por lo que descansé todo lo que pude en navidades para tener energía durante lo que venía el resto del año. No obstante, dicho esto, he de decir que la semana pasada ha sido mejor que si hubiera estado descansado, porque visitar los Head Quarters de algunas compañías tecnologías que han marcado mi vida ha sido como si hubiera conseguido el Golden Ticket de varios Willy Wonkas para visitar todas las fábricas de chocolate del mundo.

Figura 1: Takin' a Walk on the Geek Side

Como resumen de este viaje podría poner la frase que le dije a mis compañeros "¿Podemos comprar otro ticket para volver a visitar todas las compañías otra vez? Con un viaje en este parque de atracciones no he tenido bastante". Y es que es imposible amar la tecnología y no sentir la emoción que supone visitar todos estos lugares. Estaré años contando a los amigos detalles de estos sitios, sensaciones, conversaciones y cosas vistas, pero he querido haceros un pequeño resumen a todos de algunas de las visitas de esta semana para intentar transmitiros algunas de estas cosas buenas.

Google X

La primera de las visitas fue a Google X,  para ver algunos de los proyectos que allí tienen y ver como avanzan las pruebas que desde Telefónica estamos haciendo con el proyecto Loon en algunos países. Como sabéis el proyecto busca expandir la conexión a Internet de los lugares que a día están desconectados por medio de un sistema de globos en la estratosfera.


Figura 2: Google Loon Project

Visitar el laboratorio y la zona de ingeniería es algo muy bonito,  por esa sensación de garage, startup tecnológica, taller mecánico y departamento aerospacial todo en uno que transmite. Con un montón de hardware e ingenieros en una actividad frenética probando piezas, arreglando globos, programando código o haciendo cálculos.

Me gustaría contaros más detalles, pero ni el tiempo ni la relación que tenemos nos permite hacerlo. Además, nosotros estamos muy metidos en el proyecto Loon, pero otros como Google Glass, Google Car o la propia Virus Total son parte también de Google X y hablar solo de uno de los muchos que se hacen allí sería desmerecer el resto de iniciativas. 

Una foto publicada por Chema Alonso (@chemaalonso) el


Sí que me gustó ver, en la visita anterior y en esta, la importancia que tiene para Google esta apuesta por la innovación a gran escala, ya que en la anterior vez vino Sergey Brin a estar con nosotros y en esta Sundar también nos dedicó algo de tiempo para mostrarnos su apoyo al proyecto que llevamos conjuntamente.

Una foto publicada por Chema Alonso (@chemaalonso) el

En esta ocasión me salté dar otra vuelta en un Google Car - que ya lo había hecho la vez anterior - para aprovechar e ir a la siguiente parada con tiempo, ya que íbamos a visitar el HQ de Apple y no queríamos llegar tarde. 

Apple Infinite Loop

No estuve mucho tiempo en Apple, ya que solo teníamos una reunión con la dirección de la compañía para estrechar lazos algunos de los acuerdos que ya tenemos entre ambas empresas. Tuvimos una pequeña comida entre ambas empresas a la que vino Tim Cook y aprovechamos para contarles algunas de las cosas en las que estamos involucrados. No fue mucho más allá que una reunión de cortesía cordial, pero yo disfruté el encuentro.

Una foto publicada por Chema Alonso (@chemaalonso) el

El HQ de Apple es distinto a Google X. Es elegante, señorial y genera impresión por todo lo que supone estar en un sitio con tanta historia como este. Por supuesto, no tuve oportunidad de visitar los laboratorios, ni los lugares de ingeniería, y es algo que me gustaría hacer en una próxima oportunidad, aunque ya sabéis que la empresa de la manzana mordida no es famosa por ser muy abierta a mostrar sus zonas de trabajo. En el vídeo del final del artículo puedes ver alguna imagen más.

Una foto publicada por Chema Alonso (@chemaalonso) el

Por supuesto, aprovechando la estancia por allí, visitamos también la Universidad de Stanford, la ciudad de Palo Alto y algunas empresas más en San Francisco, como el caso de TokBox, nuestra compañía para ofrecer WebRTC como plataforma.

Facebook

Si hay una compañía que tiene un espacio realmente "Hacker" es Facebook. El letrero de las oficinas de One Hacker Way mola "taco" y cuando llegas a las nuevas oficinas de la compañía, un letrero de luces que dice "Hacker" está en el medio de la zona de trabajo. 

Una foto publicada por Chema Alonso (@chemaalonso) el

En este vídeo que hizo el propio Mark Zuckerberg puedes ver las oficinas y la sala de reunión donde estuvimos.


Figura 8: Nuevas oficinas de Facebook

Allí tuvimos una charla con Mark Zuckerberg y su equipo para hablar también de proyectos conjuntos. Fue una visita de trabajo para continuar haciendo cosas y para tener la ocasión de conocer a Mark Zuckerberg. Una reunión entre ambas compañías sentados en un sofá y charlando.


Facebook tiene un espíritu genial, y el afán por crear cosas a la velocidad del rayo también se transmite en cada rincón de los espacios. Después de la reunión, y de que nos hiciéramos unas fotos, pudimos jugar unos minutos en el mundo virtual con Oculus, donde la física es real, divertida y cambiante. Muy divertido y me quedo con la frase de uno de sus carteles: "Better DONE than PERFECT"

Amazon

Después de haber tenido reuniones con un buen número de otras empresas y de ver las instalaciones del Ames NASA Exploration Center donde se alojan startups de todo tipo, incluso laboratorios para algunos proyectos "secretos" de Google, y la Singularity University, fuimos camino de Seattle para terminar el viaje visitando uno de los edificios principales de Amazon

Cuando llegas allí, es genial ver que los empleados se pueden llevar a sus mascotas, y cómo los perros entran y salen del edificio con naturalidad. Es increíble ver cuán integrados están en el entorno de trabajo y en el funcionamiento de la compañía. En este vídeo que he hecho, tienes un resumen de todo el viaje, incluidos los lugares lúdicos.


Figura 10: Takin' a Walk on the Geek Side

Hizo de anfitrión Jeff Blackburn y con todo el equipo hablamos de muchas cosas de las que no puedo contaros - sorry }:) -, y nos enseñaron demos de los nuevos Amazon Alexa para que pudiéramos conocer cuál es su estrategia en el mundo del hogar, pero también hablamos de lo que está por venir en AWS y en servicios cognitivos. Nos dejó a todos una muy buena sensación la compañía en sí misma y cómo afrontaba los retos del futuro.

Microsoft Corp. en Redmond

Terminamos nuestro viaje en los HQ de Microsoft. En Redmond tuvimos una sesión de trabajo con todos los equipos de Microsoft Bot Framework, LUIS, Cortana, Azure Data, Universal Windows Apps, Bing, etc.... Una repaso completo a todas las tecnologías que está lanzando la compañía, pero lo mejor fue visitar el centro de demos de Hololens y pasar un par de horas "jugando" con Hololens. Lo de jugar lo digo en modo figurado en las demos que tienen que ver con la integración CAD 3D para diseñar una moto, la representación de mapas o el paseo por Marte, pero en modo real en el juego de robots.



Figura 11: Un jugador con Hololens en Robo Raid

El juego es simple, pero divertido, moverte por la habitación para evitar los disparos de los robots, apuntar y disparar contra ellos. La sensación de realidad, al estar en tu habitación pero colonizada por estos aliens es genial. Si pruebas unas Hololens, quedas enamorado con ellas. Aún son un poco pesadas, pero no mucho y el modelo es mucho más aerodinámico que el que tuve la ocasión de ver en Febrero de 2015 cuando me tomé la foto con Satya Nadella

Una foto publicada por Chema Alonso (@chemaalonso) el

El día fue intenso y productivo, y las reuniones, que fueron lideradas por el propio Satya, culminaron con un buen de iniciativas de trabajo que tenemos que explorar, así que me llevo más trabajo del traje a la visita, pero estar allí y la noche antes poder ver a los amigos hispanos que están trabajando allá mientras compartíamos algo de Seafood de la zona mereció la pena más que de sobra.

Y hubo mucho más...

El viaje tuvo muchos detalles, anécdotas y visitas. También tuve la ocasión de conocer a Marc Andressen - fundador de NetScape, y uno de los primeros inversores en Facebook, y toda una autoridad en Internet-,  me traje una camiseta y una sudadera de Facebook, un pato de la NASA y mis fotos con los solados de HALO, así que fue como visitar una Disneylandia para geeks. Eso sí, me faltaron cosas por ver y hacer, así que habrá que regresar el año que viene, que no pude ver a muchos amigos.

Saludos Malignos!

domingo, agosto 28, 2016

Eventos Primera Quincena de Septiembre: @RootedCON Valencia @elevenpaths Talks @TSSentinel @0xWord

Toca ya casi la vuelta al cole, así que os dejo aquí los eventos que tenemos para la Primera Quincena de Septiembre. Entre la oferta se encuentran cursos online de The Security Sentinel en los que tendréis material de 0xWord, ElevenPaths Talks todos los jueves y como punto extra hay que destacar una nueva edición de RootedCON Valencia.

Figura 1: Eventos Primera Quincena de Septiembre

Éste es el detalle de las principales acciones en las que estamos involucrados de alguna forma, en la que puedes participar esta quincena. No te olvides que esta semana aún tienes la posibilidad de ir a la TomatinaCON y el Hack& Beers mañana y pasado en Buñol (Valencia), en los que puedes adquirir libros de 0xWord.

Curso Online de Seguridad en Red

Desde The Security Sentinel lanzan este próximo 5 de Septiembre una nueva convocatoria de su Curso Online de Seguridad en Red. Es un curso de 200 horas de duración y en él se entrega el libro de Ataques en Redes de Datos IPv4 & IPv6 de 0xWord.


Figura 2: Introducción al Curso Online de Seguridad en Red


En este vídeo tienes una explicación detallada del curso, y en este enlace la información completa del mismo: Curso Online de Seguridad en Redes.

ElevenPaths Talks

Durante la primera quincena de Septiembre tenemos tres ElevenPaths Talks, que como sabéis se hacen los jueves de 15:30 a 16:30 horas, a través de Google Hangouts, son gratuitas y podéis preguntar a los ponentes lo que deseéis. 

Figura 3: ElevenPaths Talks de la primera quincena de Septiembre
Como sabéis, yo recopilo los vídeos de las sesiones en dos artículos donde podéis ver las anteriores grabadas:
RootedCON Valencia

Los días 9 y 10 de Septiembre llega una nueva edición de RootedCON Valencia que no debes perderte. Con un training de nuestro compañero Pablo González, además de un buen día de ponencias para disfrutar el día.
En el evento de RootedCON Valencia también tendrás la ocasión adquirir libros de 0xWord, ya que estarán allí presentes.

Figura 5: Ponencias en RootedCON Valencia el día 10 de Septiembre

Así que ponte las pilas, ve guardando ya el bronceador y a ponerse manos en tarea que el futuro está por hackear.

Saludos Malignos!

sábado, agosto 27, 2016

Pentesting Familiar: El chino, el TPV, el CCTV y ni un café

El sábado siguiente a la primera vista donde jugué con el sistema Yamaha volvimos al centro comercial, y mientras las chicas paseaban por las tiendas, casualmente decidí a tomar un café en el mismo local ;) Para mi sorpresa, no iba a ser tan fácil como llegar y triunfar como había planificado tras el primer contacto, y aún la historia iba a dar algunas vueltas. Esto es lo que pasó en mi segunda visita.

Figura 10: Pentesting Familiar. El Chino, el TPV, el CCTV y ni un café

Enseguida identifiqué al dueño del negocio, un hombre de origen asiático que estaba sentado en la barra dando instrucciones al personal. Antes de pensar en hablar con él, decidí echar un vistazo a la red con el ordenador ya que en esta ocasión sí que me lo había traído junto con mi Kali Linux.

Eh, colega, ¿has visto mi Wi-Fi?

Tras explorar una y otra vez las redes Wi-Fi a mi alcance y ver que la red del local ya no aparecía, sospeché que algo había pasado. Antes de preguntar a nadie, exploré con airodump-ng los diferentes puntos de acceso, ya que disponía de la dirección MAC del router en los pantallazos de la vez anterior, para ver qué había pasado con la red. Tras hacer las comprobaciones pertinentes, pude determinar que el punto de acceso con la dirección MAC correspondiente al Livebox, estaba sirviendo una red Wi-Fi con autenticación WPA2 y el siguiente SSID: “Dani the best”.

En este momento, no me quedó más remedio que utilizar la ingeniería social, así que comencé a hablar con un camarero italiano llamado Nicola que casualmente había empezado a trabajar esa misma semana, por lo que no me recordaba. Tras intimar un poco con él, utilizando mis habilidades sociales, me contó que por lo visto los dueños habían decidido dejar de compartir la Wi-Fi del local con sus clientes porque “iba demasiado lenta últimamente”. Por lo visto, el ocurrente SSID de la nueva red, era obra del jefe de cocina, que había cambiado la contraseña por cuenta propia y puesto ese nombre en su honor.

Figura 11: Eh, colega, ¿has visto mi Wi-Fi?

Intentar obtener la nueva contraseña mediante un ataque de diccionario o la explotación del WPS en caso de que hubiera estado habilitado era una opción que llevaría mucho tiempo, y que tampoco tenía sentido puesto que como ya he comentado, mi intención era la de reportar lo descubierto, así que a través de Nicola comencé también a entablar una conversación con el dueño del local, que era de origen chino y no hablaba nada de español, pero sí un poco de inglés pues había estado viviendo en Irlanda.

Al cabo del rato, después de hablar de temas varios, le conté a lo que me dedicaba y lo que había descubierto, aunque estaba claro que no podría alcanzar a entenderlo sin una demostración, y más con la barrera del idioma, ya que su inglés era limitado. Por ello le pedí que me facilitara él mismo la nueva clave de la red Wi-Fi. Resulta que con un poco de paciencia logré entender que ni él mismo la conocía, y que "Dani the best" no estaba trabajando en ese turno.

Así que me ofrecí a proporcionarle yo mismo la clave de su propia Wi-Fi, conectándome directamente al router Livebox con un cable de red que llevaba en la mochila, y entrando con la contraseña por defecto, que sí que seguía igual. Una vez que tenía la nueva contraseña, le pedí permiso para cambiar momentáneamente a Kenny G. (por lo visto era su cantante favorito) y esta vez sí, poner durante unos segundos el mítico “Who's the Bad Man”, de Dee Pattern. Lamentablemente, no tengo un vídeo de aquel divertido momento pero os dejo aquí el tema para que lo podáis imaginar.


Figura 12: Who's the Bad Man de Dee Pattern

Tras contemplar todos atónitos la demostración de cambio musical en directo, el dueño me dijo que investigara lo que quisiera, y que volviera la semana siguiente otra vez que estaría su mujer, la auténtica jefa del negocio (y de la pareja) para seguir comentando. 

A por el TPV

Resultó además que este negocio era una franquicia de una conocida cadena de cafeterías que ellos habían decidido regentar, y él no tenía muchos detalles, pero me explicó que la administración tecnológica se controlaba desde los responsables de la propia cadena y que no tenían mucha capacidad para hacer nada. Visto lo que yo había podido comprobar, esto no era del todo cierto (si no que se lo digan a "Dani The Best"), y si lo fuese, todos los establecimientos de la cadena podrían ser vulnerables.

Figura 13: Windows Embedded POSReady2009

Con todo el tiempo invertido en este proceso del descubrimiento de la nueva red y la ingeniería social con camarero y dueño, había pasado ya un rato, tocaba volver otra vez con las chicas, así que escaneé muy rápidamente los servicios del servidor CAJA3 para comprobar que efectivamente estaban habilitados, y determinar que se trataba de un equipo con sistema operativo “Windows Embedded Pos Ready 2009 SP3” , una versión ligera de Windows XP utilizada habitualmente en plataformas TPV o POS (Point of Sales).


Figura 14: Frauden en Point of Sales (PoS)

Muy acorde en este momento es que os deje la sesión de Fraude en Point of Sales que hizo Gabriel Bergel sobre estos asuntos por si queréis profundizar en lo que podría significar que alguien tomara control de estos PoS o TPV. El mundo del fraude ha puesto los ojos en estos sistemas, como se puede ver en el informe que ha publicado Kaspersky & ElevenPaths sobre ello, pero, si existía alguna vulnerabilidad explotable, tocaría descubrirlo en una tercera visita, así que tras pagar mi café me despedí de mis nuevos amigos y quedamos para la semana siguiente.

Última visita: La Wi-Fi del CCTV 

El siguiente viernes por la tarde volví a hacer los 80 km al centro comercial con mi ordenador y mi Kali Linux 2, y al llegar a mi cafetería favorita y pedir mi cortado natural oscuro (cortado largo de café para los que no viváis en las Islas Canarias), la situación no podía ser más surrealista. “Dani the Best” había desaparecido también, y ahora el nuevo SSID del Livebox era “Cam Station Center”. Tres configuraciones diferentes en tres semanas. Para más INRI, la pareja de dueños (sí, ese día estaba la jefa) estaba hablando con un técnico de la empresa que se encontraba justo en ese momento instalando cámaras de vigilancia en el local, de ahí el nombre de la nueva red

Esperé un rato hasta que el dueño vino con su esposa a saludarme, pero enseguida pude comprobar que a ésta no le interesaba en absoluto que investigáramos nada, ya que me volvió a repetir el argumento de que cualquier tema que tuviera que ver con la tecnología debía de ser aprobado por los responsables de la cadena. Como estaban ocupados con el nuevo juguete de las cámaras, y había comprobado quién mandaba en el negocio y probablemente en la relación, tampoco tenía ganas de invertir más tiempo así que pagué nuevamente mi café y me volví a casa al rato.

Ahora en Remoto

Una vez en casa, tras colocar el ordenador en la mesa y dar por concluida la historia de esta cafetería tan smart, reparé en que en la primera visita antes de irme me había quedado con la dirección IP pública del router, por lo que le di una pasada muy rápida con nmap para comprobar si lo que pasaba por mi cabeza en aquel momento podría ser cierto, y en efecto.

Figura 15: Escaneo con nmap de la dirección IP pública del establecimiento

El puerto 80 estaba abierto y si intentábamos acceder al sitio web alojado en esa dirección IP pública nos encontrábamos con la pantalla de inicio de sesión de lo que parecía ser el panel de administración de la recién instalada estación CCTV que controla las cámaras de vigilancia. Mi investigación había concluido ya, pero por curiosidad eché un vistazo a la página de inicio de sesión ya que tras la pertinente búsqueda en Google, no parecía ser una solución utilizada ampliamente.

Si querías intentar autenticarte, tendría que ser con Internet Explorer a través de la instalación de un control ActiveX, y una vez así, introducir las credenciales en el formulario para la cuenta de admin, que ya venía establecida por defecto. Una cosa menos que adivinar ;)

Figura 16: Panel de administración del sistema de CCTV

Como curiosidad, echando un vistazo al código fuente de la página de autenticación, podían encontrarse pistas, como por ejemplo esta dirección URL a la que se le pasa como parámetro el usuario admin y una contraseña en blanco para invocar parámetros de configuración de las cámaras:

Figura 17: URL para conseguir los parámetros de configuración

Accediendo a esta URL podemos comprobar que entre estos parámetros que se configuran es posible encontrar valores de diferentes puertos para HTTP, RTSP, así como el número de canal o el lenguaje en el que estaban configuradas las cámaras.

Figura 18: Parámetros de configuración del sistema CCTV

Lo último que hice por curiosidad fue analizar el tráfico que se genera al enviar cualquier cosa a través del formulario para comprobar que las credenciales son enviadas en texto plano a través del puerto 8000 que aparecía como abierto en el escaneo previo realizado con nmap. Sobra decir que si se accede a este panel de administración desde una red Wi-Fi abierta o susceptible a ataques MITM un atacante malicioso podría interceptar estas credenciales al enviarse en texto plano.

A la hora de introducir las mismas, el campo para la contraseña está limitado a una longitud de 6 caracteres. Cabe recordar que el nombre de la cuenta de usuario se conoce, pues viene establecido por defecto como “admin”. Por tanto, a quien quisiese intentar realizar un ataque de diccionario para poder administrar las cámaras de vigilancia, le bastaría con programarse un script que enviase los datos directamente al puerto 8000 y monitorizar las diferencias que se obtienen en la respuesta recibida del servidor.

Figura 19: Credenciales enviadas en texto plano a través del puerto  8000

Pero no iba a ser yo quien lo hiciera, por motivos evidentes, ni acercarme a intentar explicarle qué es una VPN o cómo segmentar la red. Bastante tiempo había invertido ya en analizar la seguridad del local y reportar lo encontrado a los dueños, sin haber recibido a cambio ni un triste café como invitación de la casa ;) Eso sí, hay que reconocer que ir a tomar un café con la familia y terminar jugando con nmap, Kali Linux y seguridad web hacen que mereciera la pena entrar en ese café sí o sí.

Corolario

Al final, se trata de un ejemplo más de cómo la seguridad tiene para algunos pequeños o medianos negocios un valor intangible que sólo sale a la luz cuando hay problemas. En este caso, se prefiere invertir en añadir funcionalidades a la infraestructura aunque no se tenga un control certero de los sistemas ni unas mínimas garantías de que no podrán ser penetrados. Afortunadamente, esto no es así en todos lados y la cultura de la sociedad está cambiando. Cada vez son más las organizaciones y empresas que invierten recursos en fortificar la seguridad a todos los niveles. Aunque está claro que aún queda trabajo por hacer.

Yo solo espero que os hayáis entretenido con la historia al igual que yo me entretuve con la de Pablo González y el bar de copas que nos contó en "Cervezas, Cámara...¡Acción!" o la de Daniel Romero y su viaje que contó en la historia de "El blues (de la Wi-Fi) del autobús". Pentesters, siempre pensando en lo mismo... ¿Tienes tú alguna historia así? Deberías escribirla y enviársela a Chema Alonso para que la leamos todos, que siempre son entretenidas.

Autor: Deepak Daswani

viernes, agosto 26, 2016

Pentesting familiar: La WiFi, un Yamaha y café en familia #Pentesting #WiFi

La historia que procedo a relatar en este artículo data ya de hace unos meses, y al igual que otras aventuras que Chema Alonso me ha permitido compartir a través de este blog, transcurrió en mi querida isla de Tenerife, durante los días de Semana Santa del presente año. Ocurrió en Viernes Santo, casualmente justo el mismo día que aquella otra aventura que os conté con auditoría de la Wi-Fi del Hotel que hice con resaca y desde un iPhone con jailbreak. Visto en retrospectiva, son ya unos cuantos los artículos que nacen de vivencias acaecidas en escenarios reales, que aunque sean solo un pequeño ejemplo que ilustra algún detalle del mundo de la seguridad informática, logran aportarme un plus de diversión al involucrarse dentro de la trama variables y aspectos inherentes a nuestra naturaleza humana que no suelen encontrarse por ejemplo en entornos de laboratorio.

Figura 1: Pentesting Familiar: La WiFi, un Yamaha y café en familia

La historia se alargó durante tras visitas, así que os lo contaré con detalle en un par de artículos, con el objetivo de que sea entretenida la lectura y el paso a paso. Todo comenzó cuando me hallaba con mi familia en un conocido y novedoso centro comercial del sur de la isla, tras haber pasado el día por la zona. Eran ya casi las 20:00 de la tarde-noche y nos metimos en una cafetería para tomar algo y que la pequeña Lara pudiera comer algo antes de volver a casa, ya que el trayecto de vuelta era de aproximadamente 80 km.

La red Wi-Fi del Local

Lo primero que me llamó la atención del local, es que los camareros tomaban nota de la comanda mediante tablets, y que por otra parte, habían carteles de “Zona Wi-fFi” por todo el establecimiento. La deformación profesional me llevó a solicitar la contraseña al camarero y conectar mi teléfono a la red para echar un vistazo, pensando en que esta pudiera no estar segmentada y que quizá el sistema que procesaba los pedidos pudiera estar accesible para cualquiera que pululase por ahí.

Figura 2: Ajustes de la conexión de red en el local

Tras revisar el direccionamiento IP de la red, me dispuse a buscar al azar equipos en direcciones que se suelen utilizar en rangos DHCP habituales. Buscando por direcciones aleatorias en el rango de red que me habían asignado con el servidor DHCP, intenté acceder a través del navegador a la dirección 192.168.1.101, et voilà! Esto es lo que apareció:

Figura 3: Web de configuración de un dispositivo Yamaha R-N500

Una web de configuración para un dispositivo Yamaha, modelo R-N500. Como no tenía ni idea de qué podría ser, hice lo que todo hacker haría: Buscar en Google ;). Con esto descubrí que se trataba de un receptor Hi-Fi de alto rendimiento que posiblemente pudiese ser el que reprodujese el sonido ambiente del local que estábamos escuchando.

Conectándose al sistema Yamaha de música

Con buen dispositivo del Siglo XXI,  dentro de sus interesantes características incorporaba la funcionalidad de poder ser controlado a través de una aplicación móvil llamada NP Controller, disponible tanto para Android como para iOS, a la vez que era también compatible con el sistema AirPlay de este último sistema operativo.

Figura 4: Información sobre la app Yamaha NP-Controller

El siguiente paso fue, evidentemente, descargarme la aplicación de AppStore y arrancarla. Cual fue mi sorpresa al ver la pantalla inicial y comprobar que la aplicación había encontrado automáticamente el dispositivo y se había conectado sin solicitar ni requerir ningún tipo de autenticación. Estaba ante la pantalla de control del reproductor, y además de poder configurar diferentes opciones, podía jugar con las fuentes de sonido accesibles. Podía acceder a la lista de Spotify que se estaba reproduciendo en ese momento, explorar los ficheros que pudieran estar en un pendrive conectado a través de USB, activar la radio, la radio por Internet, o incluso transmitir música desde mi propio iPhone. Esto sí que es hacer que el cliente se sienta como en casa.

Figura 5: Control del dispositivo Yamaha desde la app

Habría sido realmente divertido cambiar por completo el estilo musical del local y transmitir desde mi móvil algún tema disruptivo del Old Skool de los 90 que me gusta a mí, dejando perplejos tanto al personal como a los clientes, pero esto podría llamar mucho la atención.

En su lugar, decidí explorar la lista de Spotify que se estaba reproduciendo en ese momento, compuesta por temas de Kenny G. Música en consonancia con el estilo del local y muy apropiada para amenizar el plácido momento que siempre supone el tomarse un café, así que no iba a ser yo quien amargara la tarde de nadie. En aras de comprobar si realmente era capaz de controlar el sonido de la cafetería, lo que sí que hice fue saltar la reproducción al siguiente tema de la lista, dándole a la flecha derecha que tantas veces habremos pulsado en nuestros reproductores de música.

Figura 6: Next. Más Keny G en la lista de Spotify

En efecto, tras el instante de pausa habitual que se produce siempre al saltar de canción, otro nuevo tema de Kenny G. comenzó a reproducirse. Esto generó algo de confusión, sobretodo entre los camareros del local, que durante esos milisegundos de pausa se mostraron algo inquietos, pero enseguida prosiguieron con sus tareas como si nada hubiese pasado. Como son temas musicales que estarán acostumbrados a oír día tras día en secuencia, es probable que les pudiera llamar la atención el salto, pero lo habrán atribuido a cualquier problema técnico efímero o a un despiste con el mando por parte de quién controlara el dispositivo. Algunos ni se habrán percatado.

Otra de las funcionalidades que probé fue la del control de volumen para ver que en efecto era capaz de modificar el nivel de decibelios del local, al igual que en el caso anterior sin realizar variaciones muy bruscas que pudieran ser percibidas por cualquiera.

Inspeccionando el resto de dispositivos de la red del local

Tras ver que esto también era posible, me dispuse a dejar de jugar con aquel interesante aparato, y continuar explorando la red, a ver qué otras cosas podría encontrar. Así que, paso siguiente, escanear la red Wi-Fi.

Figura 7: Escaneando la red del local con Fing

Con el escáner de redes Fing, disponible en AppStore para dispositivos iOS, pude comprobar que además del Yamaha R-N500, mi propio iPhone y el router que daba acceso a Internet (un LiveBox de Orange). Lo más llamativo, por supuesto, es que en la dirección IP 192.168.1.200 había un dispositivo con el nombre “CAJA3”. Sin duda, este tenía toda la pinta de ser el servidor del TPV con el que se gestionaban los pedidos, la facturación y la caja del local, que además podía vislumbrar desde la mesa en la que estábamos sentados.

Echando un vistazo más a fondo a este dispositivo con Fing, se podía comprobar que CAJA3 tenía habilitados nada más y nada menos que 14 servicios, entre los que se encontraban por ejemplo el servicio HTTP o HTTPS en los puertos 80 y 443, RPC en el 135, NETBIOS en el 139, un servidor NFS, un Microsoft SQL Server en el puerto 1433 o Terminal Server accesible a través del puerto 3389. No era descabellado pensar que alguno de estos pudiese ser vulnerable por falta de alguna actualización o una mala configuración, visto el nivel de seguridad que nos estábamos encontrando en la red.

Figura 8: Servicios detectados en CAJA3

De hecho, lo más probable sería que, viendo las preocupaciones que había, se pudiera hacer un ataque man in the middle en las conexiones al servidor MS SQL Server y hacer una inyección de comandos con un esquema de Network Packet Manipulation para hackear el TPV, pero.... en este momento, Lara se había terminado ya el sandwich, se habían pasado las 21:00 de la noche y era hora de volver. Además, no disponía de mi ordenador para proseguir con la investigación, y lo más importante, bajo ningún concepto haría una auditoría sin permiso. De hecho, mi intención era reportar lo descubierto con el sistema de sonido al dueño del local, que por lo visto no se encontraba en aquel momento. Así que antes de irme, por curiosidad, decidí echar un vistazo al router.

¿Por qué será que no me sorprendió ver que era posible entrar al panel de administración del Livebox con la contraseña por defecto? En este punto, si en vez de un hacker hubiera estado ahí un ciberdelincuente, podría haber ocasionado bastantes destrozos. Entre otras cosas, modificar la contraseña de la Wi-Fi y dejarla inaccesible, abrir puertos al exterior para redirigirlos a servicios como los mostrados anteriormente o incluso habilitar la administración remota del router sólo para la dirección IP del atacante. Todo esto, por supuesto seguido de un cambio de la contraseña del router Livebox para impedir que nadie pudiese acceder a él.

Figura 9: Panel de administración del router LiveBox

Como ya he comentado, se había hecho tarde, así que tras tomar evidencias de todo lo descubierto a través de capturas de pantallas con el móvil volvimos a casa, pensando en regresar otro día con más tiempo y mi ordenador, para hablar con el dueño del local y seguir echando un vistazo si él lo considerase oportuno. Pero como iba a descubrir, las cosas iban a cambiar en mi siguiente visita.

Autor: Deepak Daswani (@dipudaswani)
Blog: http://deepakdaswani.es