Una vulnerabilidad de firewall permitió a los atacantes reiniciar repetidamente los firewalls de la entidad víctima, causando interrupciones inesperadas.
La Corporación de Fiabilidad Eléctrica de América del Norte (NERC, por sus siglas en inglés) informa que un ataque cibernético a la red eléctrica de EEUU a principios de este año fue causado por una falla del firewall del perímetro de la red de la entidad objetivo.
El 5 de marzo de 2019, un incidente tuvo como objetivo un centro de control de red de «bajo impacto» y pequeños sitios de generación de energía en el oeste de los EEUU. Según una actualización de E&E News. Ninguna interrupción de la señal duró más de cinco minutos, y la interrupción no causó ningún apagón. Aún así, el ataque de 10 horas fue lo suficientemente grande como para hacer que la empresa de servicios públicos de la víctima se comunicara con el Departamento de Energía de EEUU.
La publicación «Lesson Learned» de NERC dice que los atacantes explotaron una vulnerabilidad en la interfaz web del firewall de un proveedor, permitiendo a los atacantes reiniciaran repetidamente los dispositivos y causar una condición de denegación de servicio (DDoS). Los reinicios inesperados permitieron interrupciones en la comunicación en los firewalls que controlaban la comunicación entre el centro de control y múltiples sitios de generación remota, y entre equipos en estos sitios. Todos los firewalls eran dispositivos de perímetro de red.
El análisis reveló que la utilidad objetivo no había instalado una actualización de firmware que hubiera parcheado la vulnerabilidad, y las interrupciones se detuvieron cuando se aplicó el parche. La víctima revisó su proceso para evaluar e implementar actualizaciones de firmware y ha optado por implementar una revisión más formal y frecuente de las actualizaciones de los proveedores monitoreadas por el software de seguimiento de cumplimiento interno.
Si vivimos en un mundo donde los gobiernos extranjeros son habitualmente acusados de ciberataques para manipular las elecciones presidenciales que deberían ser “democráticas”, ¿Podemos sorprendernos de que se culpe a un gobierno autoritario por lanzar un fuerte ataque cibernético causando el cierre de Telegram (una aplicación de mensajería relativamente más segura que WhatsApp), un canal de redes sociales clave que además es muy utilizado para organizar la disidencia y la protesta? Evidentemente no, esto no sorprende a nadie, sin embargo, es noticia y muchos son los que se sienten ofendidos. Entonces, para no quedar por fuera hablemos de cómo China golpea a Telegram con un ataque DDoS.
China golpea a Telegram con un ataque
DDoS
En
lo que respecta a la informática, un ataque DDoS no es más que un ataque que se
realiza de forma directa contra un servicio o recurso para que este quede
inoperante o por lo mínimo que deniegue el acceso a los usuarios que estás
registrados en ellos. Por lo general esto lo hace por medio del corte de la conectividad
por consumo de banda ancha de la red de usuario o sobrecargando su sistema. Una
forma de hacerse seria generando miles archivos
basura que llegan a los correos electrónicos haciéndolo colapsar.
Ahora hablemos de China. Este gigante asiático ha estado teniendo muchos problemas con el tema del supuesto espionaje donde se han visto involucradas grandes empresas como Huawei (vs Google). China, como sabemos, es un país comunista por lo que todos se deben ir con cuidado a la hora de comentar en sus redes. Por eso ya todos estamos acostumbrados a las diversas acciones de control que tiene ese gobierno con los medios de comunicación, entonces, ¿por qué nos sorprendemos?
Lo que tal vez sorprende en este caso, es que el canal de medios sociales censurado fue Telegram, el cual es famoso por ser la aplicación de mensajería más segura. La seguridad de Telegram se basa en cifrado, servidores distribuidos y una función opcional de autodestrucción de mensajes. Por lo tanto, el contenido de tus mensajes en Telegram debería ser bastante inquebrantable.
Sin
embargo, si el servicio no está
disponible, toda esa seguridad es inútil. Esa es la belleza siniestra de DDoS (Distributed
Denial of Service). Cuando un ataque DDoS inunda tu red, violentando su
infraestructura, con hasta Terabits por segundo de datos de basura, no importa
qué tan seguro sea tu servicio. Nadie puede acceder a ella.
Pero, DDoS no se trata solo de la denegación de servicio. A veces se usa como habilitador para otros delitos cibernéticos. Si bien los servicios (incluidos algunos aspectos de la ciberseguridad) están inactivos, es posible que se infiltren otros programas maliciosos en los dispositivos de la red, lo que genera infracciones masivas de datos, ransomware, robo de IP y más.
Y esto no es lo peor, tal parece que cada son más los ataques DDoS que se van presentando, de hecho es posible que los hayas escuchado con el nombre de “inundaciones”, incluso hay uno llamado “Tsunami”, porque su impacto es abrumador. Ellos reúnen a un ejército de robots de dispositivos de red infectados para inundar los recursos de la red, incluidos elementos como los firewalls que tienen como objetivo facilitar la ciberseguridad.
Habrá
que esperar un poco para ver qué posición adoptarán las empresas encargadas de
prevenir estas vulnerabilidades ya que al parecer lo único seguro en nuestros
datos es que no hay nada seguro.
¿Qué pasó con el gran colectivo internacional de hackers que predominaron en los medios los últimos años, que le dieron vida a la palabra hacktivismo y que levantaron las esperanzas en la humanidad de un vigilante anónimo pero a la vez justo?
Recientemente IBM publicó su reporte ‘Indice de Inteligencia de Amenazas’ donde incluye de la cantidad de ataques estilo hacktivismo relacionados con el famoso grupo de hackers, anonymous. En dicho reporte, se informa que mientras en 2015 la cantidad de incidentes denunciados públicamente ascendía a 35, para el 2017 el número cayó drásticamente a 5 incidentes, y solamente 2 para 2018.
Aunque los ataques de grupos hacktivistas han seguido ocurriendo, el número de incidentes reales ha disminuido a un ritmo constante. Cabe mencionar que el reporte sólo incluye los incidentes exitosos, no los intentos de hackeo.
¿Qué pasó con Anonymous?
Los investigadores culpan a dos factores por el declive en hacktivismo a nivel mundial.
La muerte del colectivo de hackers anonymous,
la represión sostenida por parte de los funcionarios y gobiernos encargados de eliminar dicha actividad.
Probablemente, el papel más importante en el colapso de la actividad hacktivista fue la desintegración del colectivo de hackers anonymous, que según IBM, fue responsable de casi el 45% de todas las brechas de seguridad atribuidas al hacktivismo.
Los hackers de anonymous alguna vez atacaron empresas y redes gubernamentales por diversas causas humanitarias o sociales, pero según IBM, el nombre del grupo ahora se ha visto empañado por su participación en campañas de temática política, que comenzaron alrededor de 2016, y que IBM dice muchos de sus miembros han rechazado.
Desde campañas como #OpKKK (exponiendo miembros de KKK), #OpParis (exponiendo miembros de ISIS), #OpISIS (exponiendo miembros / sitios de ISIS), #OpWhale (violando sitios de autoridades japonesas e islandesas involucradas en la caza de ballenas no autorizada), o #OpIcarus (atacando bancos e instituciones financieras), el grupo se ha visto en los últimos años, arrojando datos robados de organizaciones políticas, que en algunos casos se comprobó que habían sido manipulados.
Esto ha llevado al surgimiento del término «Anons falsos» para describir a los miembros de anonymous que no están asociados con el grupo, que actúan bajo agendas personales, promueven la propaganda social o política, o se benefician financieramente de la comunidad anonymous.
Los Anons falsos han dividido al grupo, el cual alguna vez actuó bajo creencias comunes; en células fragmentadas más pequeñas que operan bajo sus propios credos, a veces en una oposición completa con otras facciones de anonymous, causando confusión entre el público en general y otros miembros también. Con una falta de liderazgo y con una agenda confusa, los miembros se han retirado lentamente, rechazando el nombre anonymous.
Además, la participación de grupos de estados nacionales también ha empañado el nombre de Anonymous. Estos grupos de estados nacionales, a menudo operados por agencias de inteligencia de élite, se han disfrazado de anonymous para impulsar la propaganda política o promover campañas de influencia pública.
Sus acciones han provocado que muchos miembros de anonymous desconfíen del grupo en general y centren sus esfuerzos en otra cosa que no sea el hacktivismo.
La muerte del hacktivismo
Pero nada ha llevado a la desaparición del grupo mas que la ineficiencia de la mayoría de sus ataques. Tirar sitios web o el lanzamiento de ataques DDoS rara vez consigue algo más que publicidad.
El robo de datos tampoco lo ha hecho en sitios web que no tienen relación alguna con un tema específico. En muchos casos, los piratas informáticos anónimos terminaron volcando información personal de usuarios en el dominio público y dañando a personas inocentes por causas ridículas, atrayendo tanto el desprecio como el ridículo.
Esto, a su vez, ha llevado a una mayor atención por parte de los organismos encargados de hacer cumplir la ley, que reprimen a los miembros de los grupos más grandes de Anonymous y LulzSec, pero también a los más pequeños.
La cara actual del Hacktivismo
Aunque la cantidad de arrestos relacionados con anonymous asciende a por lo menos 62 arrestos por hacktivismo desde el 2011, el número real podría ser mucho mayor al anunciado públicamente.
Algunos de los arrestos más destacados incluyen a Martin Gottesfeld, el hacker anónimo que realizó el ataque DDoS en el Boston Children’s Hospital; James Robinson, quien protestó por el abuso policial en Ohio; y Deric Lostutter, un miembro anónimo que expuso un caso de violación en Kentucky.
A pesar de esto, Singleton no ve el hacktivismo desapareciendo para siempre, dice la analista en el reporte de IBM.
«Los problemas agudos de justicia social, una mayor capacidad organizativa entre los grupos hacktivistas y un enfoque más fuerte haca las áreas que se encuentran más allá del alcance de la aplicación de la ley, tienen el potencial de cambiar drásticamente la cara del hacktivismo en un período de tiempo relativamente corto. Más bien estamos experimentando una pausa en la actividad hacktivista en lugar de una conclusión«, dijo la investigadora.
Sin embargo, algunos no estarían de acuerdo con la conclusión de Singleton. Para muchos, el hacktivismo está muerto.
LA RED SOCIAL Facebook esta semana sufrió la interrupción más grande en sus 15 años de historia, haciendo que las aplicaciones que incluyen Instagram y WhatsApp estuviesen inaccesibles durante más de 14 horas.
La caída de la red favorita de los millenials comenzó el miércoles a las 4 pm hora del meridiano y según el mapa de interrupciones del DownDetector sugiere que los usuarios de todo el mundo se vieron afectados.
El problema, que Facebook se vio obligado a reconocer en Twitter, afectó a la aplicación principal de Facebook, Facebook Messenger, Instagram y WhatsApp.
En un tweet de seguimiento, la compañía abordó los rumores de que las interrupciones fueron el resultado de un ataque de Denegación de Servicio Distribuido (DDoS), que decía: «Estamos enfocados en trabajar para resolver el problema tan pronto como sea posible, pero podemos confirmar que el problema no está relacionado con un ataque DDoS «.
Aún así, mientras que las aplicaciones de Facebook parecían recuperarse el jueves por la mañana, con Instagram confirmando que estaba en marcha y esperando con impaciencia las fotos de los sándwiches de los usuarios, la firma aún no ha explicado qué causó los problemas.
Sin embargo, según el equipo de gestión de red Netscout, la mega-interrupción fue causada por una fuga del Protocolo de Gateway (Border Gateway Protocol, BGP) de un proveedor de servicios de Internet europeo a un importante ISP de tránsito.
«Si bien no son de naturaleza maliciosa, tales eventos pueden ser disruptivos en general. Es muy importante que todos los operadores de red implementen las mejores prácticas actuales de BGP«, bromeó Roland Dobbins, ingeniero principal de Netscout.
Sin embargo, no todos están de acuerdo. En una declaración enviada por correo electrónico a INQ, la empresa de monitoreo de redes ThousandEyes dice que no ha observado ningún cambio de BGP que afecte a la conectividad, y dice que la causa «parece ser más interna que un problema de entrega de red o internet«.
«Por ejemplo, vimos ‘500 errores internos del servidor’ en Facebook. Dada la escala y los cambios continuos que estos proveedores de escala web están haciendo constantemente en sus aplicaciones e infraestructura, a veces las cosas se rompen como resultado de estos cambios, incluso en la mayoría de los casos. manos capaces «, dijo un portavoz de ThousandEyes.
«Al investigar hoy los problemas de Facebook, no estamos viendo ningún cambio de BGP que esté afectando la conectividad, la pérdida de paquetes o la latencia. Dado que Facebook usa su propia red troncal, no está claro / no tenemos una idea de cómo una ruta de tránsito externa problema causaría una interrupción dentro de la red interna de Facebook «.
Con la evolución de las TI y su uso constante se requiere que los líderes empresariales reconsideren su estrategia de defensa ante posibles ataques cibernéticos. Hoy día representan la mayor amenaza para el mundo comercial y financiero. Se podría decir que no existe forma en la que no estemos expuestos a un ciberataque considerando que estamos todo el tiempo conectados a un dispositivo electrónico. En el siguiente post te diremos por qué los ataques cibernéticos son el riesgo financiero número 1.
Por qué los
ataques cibernéticos son el riesgo financiero número 1
Si te preguntas, Por qué los ataques cibernéticos son
el riesgo financiero número 1, la respuesta es simple. Porque con la
digitalización de todo el planeta, la dependencia de la disponibilidad de la
infraestructura de TI sigue creciendo de manera exponencial, y muchas personas
no comprenden el verdadero alcance de las implicaciones.
Un ejemplo es el ataque al Banco Consorcio de Chile, el cual mediante el uso del troyano Emotet le provocó una pérdida al banco por casi dos millones de dólares.
Otro ejemplo es el reciente ataque cibernético en el Los Angeles Times es un ejemplo que se destaca por si solo. Este ataque impidió la impresión y entrega de los periódicos Los Angeles Times y Tribune en todo Estados Unidos. Y en mayo de 2018, se lanzaron varios ataques de denegación de servicio distribuido (DDoS) dirigidos a los Países Bajos, afectando y cerrando temporalmente la banca en línea de tres de las instituciones financieras más grandes del país.
Hoy día, gracias a la existencia de la Darknet (Red Oscura), el ciber-delito se ha vuelto ampliamente accesible y asequible, borrando las líneas entre el comercio electrónico legítimo y el comercio ilícito. En los Países Bajos, un joven de 18 años fue arrestado por estar vinculado con los ataques DDoS en Holanda. El joven contrató a un hacker a través de uno de los diversos mercados en la Darknet. La razón de este ataque fue porque quería mostrar que un adolescente podía sin problema alguno bloquear todos los bancos con tan solo unos cuantos clics. Desafortunadamente, tenía razón.
Entonces, por qué los ataques cibernéticos son el riesgo financiero número 1, porque la sociedad se ha vuelto 100% vulnerable a las amenazas cibernéticas. De hecho, el problema es mucho mayor de lo que decimos. El Foro Económico Mundial (WEF) dice que los líderes empresariales en economías avanzadas ven los ataques cibernéticos como su mayor amenaza, incluso más que los ataques terroristas, una burbuja de activos, una nueva crisis financiera o la incapacidad de adaptarse al cambio climático. Esto no es una sorpresa, ya que los riesgos comerciales asociados con el delito cibernético están creciendo al mismo ritmo que crece la dependencia de las empresas a la tecnología.
Además, el crecimiento masivo en el uso de
dispositivos inteligentes ha abierto un universo de nuevas formas para que los
cibercriminales puedan lanzar ataques a través de redes de bots de gran escala.
Para 2025, se cree que la cantidad de dispositivos inteligentes en el mundo
superará los 75 mil millones. Es decir, superando a la población mundial en un
factor de 10.
En particular, las grandes organizaciones deben tener
en cuenta toda una gama de amenazas cibernéticas, que incluyen la interrupción
del negocio, el robo, la extorsión, el daño a la reputación, el espionaje
económico y la infiltración de infraestructuras y servicios críticos. En
conclusión, el panorama de amenazas se encuentra en constante evolución, los
hackers están altamente sofisticados lo que hace que el riesgo cibernético sea
muy difícil de manejar.
La alargada sombra del gusano de Morris: el primer ciberataque de la historia cumple 30 años y sigue siendo peligroso
Plantearse hoy en día la magnitud de Internet puede hacer que nos explote la cabeza, pero el 1988, Robert Tappan Morris pensó que podía cuantificarlo de un modo sencillo: escribió un programa que viajaba de una computadora a otra y le pedía a cada máquina que enviara una señal a un servidor de control, que seguiría contando.
El programa funcionó mejor de lo deseado, conocido en la historia como el «gusano de Morris», se convirtió en el primero de un tipo particular de ataque cibernético llamado denegación de servicio distribuido (DDoS), en el que se le dice a una gran cantidad de dispositivos conectados a internet, incluyendo computadoras, cámaras web y otros dispositivos inteligentes, que envíen mucho tráfico a una dirección en particular, sobrecargando con tanta actividad que el sistema se apaga o sus conexiones de red están completamente bloqueadas.
Gusanos versus virus
En aquella época cándida, nadie se protegía de los ataques informáticos, así que el programa malicioso (aunque no tuviera esa intención) campó a sus anchas, infectando a decenas de miles de sistemas, alrededor del 10% de las computadoras que se encontraban en Internet. Según Scott Shackelford, presidente del Programa Integrado de Ciberseguridad de la Universidad de Indiana (EEUU), hoy en día este tipo de ataques son cada vez más frecuentes.
Robert Tappan Morris, 2008
El experto explica, en un artículo de The Conversation, que los gusanos y los virus son similares, pero diferentes en una forma clave: un virus necesita un comando externo, de un usuario o un pirata informático, para ejecutar su programa; mientras que un gusano podría, por ejemplo, enviar una copia de sí mismo a todos los miembros de una libreta de direcciones incluso sin llegar a activar nunca la computadora.
Aunque Morris no estaba tratando de destruir Internet, los efectos del gusano hicieron que lo procesaran bajo la nueva Ley de Abuso y Fraude Informático. Fue sentenciado a tres años de libertad condicional y una multa de aproximadamente 10.000 dólares. Sin embargo, a fines de la década de 1990, se convirtió en millonario, y ahora es profesor en el MIT.
La amenaza crece
Para el especialista, Internet hoy es mucho más grande, pero no más segura. Cada vez son más frecuentes los ataques DDoS. Y con más de 20 mil millones de dispositivos de todo tipo, desde refrigeradores y automóviles hasta rastreadores de actividad física, conectados a Internet y millones más conectados semanalmente, el número de fallas y vulnerabilidades de seguridad está explotando.
En octubre de 2016, un ataque DDoS con miles de cámaras web secuestradas, a menudo utilizadas para seguridad o monitores para bebés, cerró el acceso a una serie de servicios de Internet importantes a lo largo de la costa este de los Estados Unidos, y este fue el final de una serie de ataques cada vez más dañinos utilizando una red de bots, o una red de dispositivos comprometidos, que fue controlada por un software llamado Mirai, controlado por tres estudiantes universitarios.
Las herramientas actuales siguen sin ser suficientes, y tampoco lo son las leyes y regulaciones en la materia, lamenta Shackelford. Pero a raíz del gusano Morris, la Universidad Carnegie Mellon (EE.UU.) estableció el primer Equipo de Respuesta de Emergencia Cibernética del mundo, que se ha replicado en el gobierno federal y en todo el mundo. “Algunos responsables de la formulación de políticas hablan de establecer una junta nacional de seguridad de la ciberseguridad para investigar las debilidades digitales y emitir recomendaciones, como lo hace la Junta Nacional de Seguridad del Transporte ante desastres en aviones”, explica Shackelford.
Además, otras organizaciones están tomando medidas preventivas, adoptando las mejores prácticas en seguridad cibernética a medida que construyen sus sistemas, en lugar de esperar a que ocurra un problema y tener que acarrear las consecuencias de un malware que nació sin mala intención pero que amenaza la buena salud de Internet.
Sobre N+1: Es la primera revista online de divulgación científica y tecnológica que permite la reproducción total o parcial de sus contenidos por medios de comunicación, bloggers e influencers, realizando la mención del texto y el enlace a la web: “Esta noticia ha sido publicada originalmente en la revista N+1, ciencia que suma: www.nmas1.org”.
¿Te quedaste sin Youtube? El grupo de ciberataques «Ghost Squad» se responsabiliza por la interrupción de Youtube
Conocido grupo de hacktivistas clama autoría del hackeo de Youtube en Twitter
Ghost Squad no ha mostrado evidencia de su afirmación
El hackeo podría estar relacionado con la censura reciente en Youtube de material que consideran controvertido
Un grupo de hacktivistas se responsabilizó por la interrupción del servicio que provocó la caída de YouTube anoche.
Los hackers de Ghost Squad se jactaron de sus hazañas en Twitter. Hasta el momento no han proporcionado ninguna prueba de que estuvieran detrás de la interrupción.
El grupo de hackers ha atacado previamente a CNN, ISIS y a los gobiernos de Afganistán e Israel, pero hasta ahora no ha proporcionado ninguna prueba de su último reclamo.
Los fanáticos de YouTube en Europa, EEUU Y sudamérica se quedaron sin poder visitar su sitio favorito después de que el popular sitio web para compartir videos dejara de funcionar durante más de una hora.
Google, empresa dueña de Youtube, fue muy escueta respecto a las causas de la interrupción en su servicio, publicando solamente en Twitter que estaban trabajando en resolver el problema. Hasta el momento, nadie más ha reclamado la autoría.
¿Qué es el Ghost Squad?
El colectivo de hackers conocido como Ghost Squad Hackers se ha hecho responsable de la desaparición momentánea de YouTube.
«Youtube fue derribado por Ghost Squad Hackers», dijeron esta mañana a través de su cuenta de Twitter.
Lamentablemente, el grupo hacktivista no proporcionó más comentarios sobre lo que afirma haber hecho, y ningún tipo de prueba de que sus afirmaciones sean ciertas.
Aún así, tiene una historia bien documentada de ataques contra grandes organizaciones, agencias gubernamentales, el Ku Klux Klan y el Estado Islámico (también conocido como ISIS o EI), por lo que su alarde es al menos creíble.
En 2016, lanzó una campaña coordinada contra CNN y otros medios de comunicación estadounidenses, trabajando en conjunto con otros hacktivistas anónimos para lanzar ataques de denegación de servicio (DDoS por sus siglas en inglés Distributed Denial of Service) en sitios web de noticias.
En el mismo año, modificó 12 sitios web del gobierno afgano y también eliminó sitios web pertenecientes al Banco de Israel y al Primer Ministro israelí.
Actualmente, no hay ninguna indicación de por qué los hackers de Ghost Squad podrían haber querido apuntar a YouTube.
¿Cómo funciona un ataque DDoS?
A lo largo de su corta existencia, de casi tres años, su táctica preferida ha sido el ataque distribuido de denegación de servicio (DDoS). Asumiendo que sus afirmaciones son ciertas, es razonable asumir que ellos fueron quienes derribaron a YouTube anoche.
En un ataque DDoS, los piratas informáticos utilizan cientos de miles de direcciones IP para bombardear el sitio web víctima con niveles de tráfico inmanejables, lo que provoca una saturación en el hosting u hospedaje, y por ende en el servicio.
Si el nivel de tráfico es lo suficientemente alto, esto hará que el sitio web caiga, ya que no podrá procesar todas las solicitudes que reciba.
Pero suponiendo que los hackers de Ghost Squad están detrás de la interrupción, lo que es más esquivo es su motivación.
Según informes, sus ataques anteriores han sido motivados por motivos políticos, como la indignación por la producción de opio en Afganistán y el trato de Israel a los palestinos.
Sin embargo, sin proporcionar más detalles sobre su presunto ataque de YouTube, es difícil decir por qué pueden haber apuntado al popular sitio.
Posiblemente, sus motivaciones podrían girar en torno a las percepciones de que YouTube censura injustamente algunos videos. Ha habido algunas acusaciones recientes a Youtube por remover contenido que ellos consideran controvertido.
YouTube se ha negado a confirmar la causa de la interrupción del servicio al momento.
Oracle acaba de publicar una actualización de seguridad para evitar que más de 2 millones de servidores que utilizan el servicio RPCBIND sufran posibles tipo DDoS amplificados
Hay 2.6 millones de servidores usando el servicio RPCBIND
La falla en los servidores RPCBIND de Orcale permitiría ataques DDoS de hasta 69 GB por segundo
La falla que permite esta exploración fue descubierta por el investigador brasileño Mauricio Corrêa, fundador de la empresa gaúcha de seguridad XLabs Security.
Una exploración de este fallo tiene el potencial de causar grandes problemas en Internet, asegura Mauricio. «Una prueba de concepto (POC) hecha en sólo un servidor de XLabs generó un tráfico de 69 gigabits por segundo», dijo a Cibersecurity.net.br.
En el primer día de este descubrimiento, el buscador Shodan indicaba la existencia de casi 2.6 millones de servidores usando el servicio RPCBIND. La multiplicación de ese exploit en un parque de 2,6 millones de servidores lleva a una conclusión aterradora.
¿Qué es la utilidad RPCBIND?
RPCBIND es el software que proporciona a los programas-clientes la información que necesitan sobre los programas de servidores disponibles en una red. Se ejecuta en el puerto 111 y responde con direcciones universales de los programas de servidor, para que los programas cliente puedan solicitar datos a través de RPC (llamadas de procedimiento remoto).
Estas direcciones se forman por el conjunto IP del servidor más puerto. Desde su lanzamiento, el RPCBIND recibe actualizaciones que cubren varias fallas, entre ellas las de seguridad. Esta, sin embargo, es el más grave descubrimiento hasta ahora.
El descubrimiento de la falta comenzó el 11 de junio de este año. En aquel día, una de las WAFs (web application firewalls) instalada en el SOC (seguridad de operaciones de seguridad) de XLabs detectó un patrón anormal de tráfico en la red que llamó la atención de Mauricio.
Los datos mostraban que había un ataque DDoS en marcha, venido de la puerta 111 de varios servidores, todos de otros países. «Decidimos entonces abrir un servidor con la puerta 111 expuesta en Internet, con las mismas características de aquellos que nos atacaban y seguimos monitoreando ese servidor durante semanas.
«Acabamos descubriendo que él estaba recibiendo peticiones para generar ataques», explicó. Después de un análisis más profundo del asunto, fue posible reproducir el ataque en laboratorio. «Al analizar en el Shodan los servidores expuestos, se confirmó la extensión del problema», añade Mauricio.
El problema descubierto por Mauricio es peor que el Memcrashed, detectado en febrero de este año. En este tipo de ataque distribuido de denegación de servicio (DDoS), existe una amplificación del tráfico con el uso de memcached, un servicio que no requiere autenticación, pero que ha estado muy expuesto en Internet por administradores de sistemas inexpertos. El servicio gira en el puerto UDP 11211 y su explotación por cibercriminales ya generó tráfico de 260GB según mediciones de la empresa Cloudflare.
Después de elaborar la POC (prueba de concepto), Mauricio informó el problema del área de seguridad de Oracle, ya que el RPCBIND es una solución originaria de Sun, que fue adquirida por la empresa en 2010. Envió la información para que los expertos de la empresa pudieran confirmar y evaluar el problema. La vulnerabilidad entró en el catálogo general y ganó el código CVE-2018-3172.
La versión original del post está disponible en el blog del autor: Paulo Brito.