Script NMAP para detectar equipos vulnerables a MS17-010

Hoy salio un script para nmap para detectar si tenemos en nuestra red equipos plausibles de ser infectados con WannaCry , o sea vulnerables al bug de SMB v1 (MS17-010)

Se necesita tener la última versión de nmap (7.40)

El script se encuentra en github (gracias @calderpwn) y se utiliza:

nmap -sC -p445 –open –script smb-vuln-ms17-010.nse X.X.X.X/X

Si necesitan instalar nmap:

cd /tmp
wget https://nmap.org/dist/nmap-7.40.tar.bz2
sudo apt-get install libssl-dev
bzip2 -cd nmap-7.40.tar.bz2 | tar xvf –
cd nmap-7.40
./configure
make
sudo su
make install

y descargan el script en la carpeta correspondiente:

cd /usr/share/nmap/scripts/
sudo wget https://raw.githubusercontent.com/cldrn/nmap-nse-scripts/master/scripts/smb-vuln-ms17-010.nse

Los parches desde windows XP a Windows 10, así como para las versiones Windows Server pueden descargarse desde las web de Microsoft o pueden deshabilitar el protocolo SMBv1 de los equipos

El próximo DDoS que sufra seguramente sea gracias al IoT

IoT (“Internet of Things” o “Internet de las Cosas”) esa sigla que estamos viendo mucho en las noticias de tecnologia y que nos venden como el maravilloso mundo donde todo está conectado y controlado desde el smartphone. Como todo mundo de ensueño, la moda que nos venden es una cosa fabulosa, poder controlar las luces, el aire, el horno, el calefón, la comida de las mascotas, la muñeca ( y los juguetes sexuales) el CCTV, las alarma casi todo desde el smartphone o desde una web es algo realmente tentador.

Qué puede salir mal ?

Y la verdad que la idea esta buenisima, pero como todo en el mundo de la tecnología esto ha avanzado a pasos agigantados dando lugar a que cada vez se desplieguen más este tipo de productos conectados con software cada vez más vulnerable (siendo que esto no es nuevo, sistemas SCADA!!! vulnerable desde…). Esta cantidad de potencia de cómputo y red, sumado al software vulnerable e inseguro son un campo de cultivo para su uso en ataques DDoS  (o minería de Bitcoin) como ya ocurrió hace un tiempo atrás en el ataque a dyn.com desde DVR CCTV ( Botnet MIRAI) infectados, ahora se imagina en un futuro tratando de explicar a un Cliente (o Jefe) que fuimos víctimas de un ataque, provocado por una botnet de Dildos conectados ?

Contamos con el excelente trabajo de OWASP pero siempre dependemos de los fabricantes y su buena voluntad de mantener actualizados sus dispositivos.

Sin lugar a dudas, para los que nos gusta la tecnologia y entendemos un poquito, este momento de querer conectar todo nos divierte y nos preocupa.

http://wwwhatsnew.com/2017/02/17/alemania-pide-a-los-padres-que-destruyan-una-muneca-que-puede-ser-hackeada/

http://www.forbes.com/sites/leemathews/2017/02/13/infected-vending-machines-and-light-bulbs-ddos-a-university

https://www.xataka.com/otros/el-siguiente-gran-mercado-de-la-tecnologia-es-el-de-los-juguetes-sexuales-aunque-casi-nadie-este-hablando-de-ello

https://www.presidencia.gub.uy/comunicacion/comunicacionnoticias/ute-aniversario-104

http://www.petnet.io/

https://www.owasp.org/index.php/OWASP_Internet_of_Things_Project

MIRAI el estandar TR-069 y Uruguay

Mirai es el nombre de la botnet que afecta los IoT y hace un tiempo se cree fue el que realizo el mayor ataque DDoS de la historia, afectando a todo el mundo. Principalmente infectado dispositivos vulnerables o pocos seguros como son los IoT

Ahora Mirai ah mutado y afecto routers de las operadoras que utilizan el estándar TR069 para administración remota utilizando el puerto TCP/7547 (Gracias Gaston por el comentario) en nuestro país unos 25300 modems de ANTEL tiene dicho puerto abierto hacia internet, esperamos que nuestros modems no formen parte de una nueva botnet, por lo pronto en Alemania afecto a 1 millon de Usuarios.

http://www.genbeta.com/actualidad/el-ataque-contra-dyn-dns-que-sacudio-internet-fue-probablemente-obra-de-hackers-amateurs
https://github.com/jgamblin/Mirai-Source-Code
https://www.incapsula.com/blog/malware-analysis-mirai-ddos-botnet.html
https://es.wikipedia.org/wiki/TR-069
http://www.theregister.co.uk/2016/11/28/router_flaw_exploited_in_massive_attack/
https://www.shodan.io/report/MPUUhBBw
http://www.theregister.co.uk/2016/11/28/router_flaw_exploited_in_massive_attack/

Modem ZTE F660 ANTEL. Falta update, falla seguridad.

El módem de Fibra ZTE F660 (1) es un equipo Router/modem de Fibra usado en todo el mundo.
En Uruguay ANTEL lo instala para sus clientes residenciales.
Al momento de la instalación o de manera remota llamando al Servicio técnico se puede
solicitar el uso como módem o router (cuenta con wifi)

Para acceder a la configuración del equipo este cuenta con 3 usuarios:

  • user (clave “user”)
    Permite configuración básica, datos de acceso PON, Wifi
  • instalador (clave “wwzz2233”)
    Configuración básica más la posibilidad de abrir puertos
  • admin (clave “Ql52jP23” y “5DhD64Je”)
    Control total del equipo.

Generalmente estos equipos no cuentan con el acceso web de administración abierto para internet sin embargo se detectó al (04/04/16) (2) que por lo menos 998 routers cuentan con el puerto telnet(3) abierto a internet, esto representa un gran riesgo de seguridad para los usuarios de estos equipos.
No solo se puede acceder a los datos de la conexión, sino también a modificar parámetros, este problema puede ser explotado para realizar distintos tipos de ataques, desde ingresar a una red sin autorización, colocar algún bot o backdoor específico para el hardware (como ha sucedido con algunos modem/routers 4)  o un ataque de DNS hijacking (5).
Es común verlos tanto en hogares como en empresas y es un riesgo de seguridad que casi nunca tenemos presente.

La solución (o mas bien mitigación de los riesgos) por parte de ANTEL es deshabilitar el puerto telnet en estos equipos y el reseteo de las claves correspondientes, y por parte de los fabricantes mantener actualizaciones del software.

Esto fue notificado al CSIRT-ANTEL  y me respondieron rápida y amablemente que esto estaban trabajandolo.

 

ZTE

 

1 http://enterprise.zte.com.cn/en/products/network_lnfrastructure/broadband_access/xpon_olt/201401/t20140109_416587.html
2 https://www.shodan.io/report/qmXnnJUs
3 https://es.wikipedia.org/wiki/Telnet#Problemas_de_seguridad_y_SSH
4 https://w00tsec.blogspot.com.uy/2016/09/luabot-malware-targeting-cable-modems.html
5 https://en.wikipedia.org/wiki/DNS_hijacking

DNSCrypt o cómo asegurar nuestras consultas DNS

Cuando usas HTTPS o SSL para navegar, consultar correo o usando algun otro programa estas haciendo que tu tráfico sea encriptado (generalmente)

Pero qué pasa con las consultas DNS ? Aun cuando el tráfico sea encriptado,  incluso haciendo uso de una VPN tus consultas a los DNS va en plano.

Esto deja la puerta abierta no solo a ataques de spoofing o MitM (man-in-the-middle) sino que implica que tu proveedor de DNS pueda guardar un registro de tus consultas  y ayudar a espiarnos a gobiernos e instituciones.

DNSCrypt nos viene a ayudar a proteger nuestras consultas DNS.DNSCrypt

Qué és?  Según wikipedia:

DNSCrypt es una implementación de DNSCurve, que sirve para cifrar el tráfico  DNS entre el ordenador del usuario y los servidores de nombres de OpenDNS. La implementación de DNSCrypt en OpenDNS se puede realizar mediante la  instalación del servicio DNSCrypt.org.

Este programa corre en *nix, OSX, Windows, Android, iOS y algunos routers, tanto el servidor
como el cliente tiene sus fuentes en github (https://github.com/jedisct1/dnscrypt-proxy)
con permisos para usar, copiar modificar y/o distribuir.

La instalación es simple (está en paquetes de ubuntu), está bien documentada y su puesta a punto es sencilla.

Básicamente su funcionamiento es:

El cliente traslada la consulta regular a una consulta autenticada, la reenvía a un servidor DNSCrypt y la respuesta la verifica y la reenvía al cliente si esta es genuina.

Interesanet es ver el protocolo QUIC (Quick UDP Internet Connections https://en.wikipedia.org/wiki/QUIC) interesante ver que esta relacionado con Chrome, SPDY y HTTP-2.

También se puede configurar para usar UDP/ TCP en el puerto 443, este puerto generalmente no está bloqueado por los routers o ISPs como sí puede estarlo el puerto estándar DNS o alguno otros puertos pero puede ser mas lenta la respuesta.

Sin lugar a dudas no es la solucion, que seria su uso en conjunto con DNSSec pero es una
capa mas de protección a agregar a nuestro arsenal digital.

Algunas capturas de wireshark.

Normal DNS
Consulta normal DNS

 

Con DNSCrypt
Con DNSCrypt