Una de las formas más efectivas para que los profesionales de tecnología de la información (TI) descubran las debilidades de una empresa antes de que lo hagan los malos son las pruebas de penetración. Al simular ciberataques del mundo real, las pruebas de penetración, a veces llamadas pentests, proporcionan información valiosa sobre la postura de seguridad de una organización, revelando debilidades que podrían conducir potencialmente a violaciones de datos u otros incidentes de seguridad.
Vonahi Security, los creadores de vPenTest, una plataforma automatizada de pruebas de penetración de redes, acaban de publicar su informe anual, » Los 10 principales hallazgos críticos de Pentest 2024 «. En este informe, Vonahi Security realizó más de 10 000 pentests de red automatizados, descubriendo los 10 principales hallazgos de pentests de redes internas en más de 1200 organizaciones.
Profundicemos en cada uno de estos hallazgos críticos para comprender mejor las vulnerabilidades explotables comunes que enfrentan las organizaciones y cómo abordarlas de manera efectiva.
Los 10 principales hallazgos y recomendaciones de Pentest
1. Suplantación de DNS de multidifusión (MDNS)
DNS de multidifusión (mDNS) es un protocolo utilizado en redes pequeñas para resolver nombres DNS sin un servidor DNS local. Envía consultas a la subred local, permitiendo que cualquier sistema responda con la dirección IP solicitada. Esto puede ser aprovechado por atacantes que pueden responder con la dirección IP de su propio sistema.
2. Falsificación del servicio de nombres NetBIOS (NBNS)
El servicio de nombres NetBIOS (NBNS) es un protocolo utilizado en redes internas para resolver nombres DNS cuando un servidor DNS no está disponible. Transmite consultas a través de la red y cualquier sistema puede responder con la dirección IP solicitada. Esto puede ser aprovechado por atacantes que pueden responder con la dirección IP de su propio sistema.
PRUEBAS «DAST» DE SEGURIDAD DE APLICACIONES WEB
Escanee fácilmente en lugares a los que la mayoría de los escáneres DAST de vulnerabilidades no pueden llegar.
Conocer..
3. Falsificación de resolución de nombres de multidifusión local de enlace (LLMNR)
La resolución de nombres de multidifusión local de enlace (LLMNR) es un protocolo utilizado en redes internas para resolver nombres DNS cuando un servidor DNS no está disponible. Transmite consultas a través de la red, lo que permite que cualquier sistema responda con la dirección IP solicitada. Esto puede ser aprovechado por atacantes que pueden responder con la dirección IP de su propio sistema.
4. Suplantación de DNS IPV6
La suplantación de DNS de IPv6 ocurre cuando se implementa un servidor DHCPv6 no autorizado en una red. Dado que los sistemas Windows prefieren IPv6 a IPv4, los clientes habilitados para IPv6 utilizarán el servidor DHCPv6 si está disponible. Durante un ataque, se asigna un servidor DNS IPv6 a estos clientes, mientras mantienen sus configuraciones IPv4. Esto permite al atacante interceptar solicitudes de DNS reconfigurando los clientes para que utilicen el sistema del atacante como servidor DNS.
5. Sistemas Microsoft Windows obsoletos
Un sistema Microsoft Windows obsoleto es vulnerable a ataques porque ya no recibe actualizaciones de seguridad. Esto lo convierte en un objetivo fácil para los atacantes, que pueden explotar sus debilidades y potencialmente recurrir a otros sistemas y recursos de la red.
6. Omisión de autenticación IPMI
La interfaz inteligente de gestión de plataforma (IPMI) permite a los administradores gestionar servidores de forma centralizada. Sin embargo, algunos servidores tienen vulnerabilidades que permiten a los atacantes eludir la autenticación y extraer hashes de contraseñas. Si la contraseña es predeterminada o débil, los atacantes pueden obtener la contraseña en texto sin cifrar y obtener acceso remoto.
7. Microsoft Windows RCE (BlueKeep)
Durante las pruebas se identificaron sistemas vulnerables a CVE-2019-0708 (BlueKeep). Esta vulnerabilidad de Microsoft Windows es altamente explotable debido a las herramientas y el código disponibles, lo que permite a los atacantes obtener control total sobre los sistemas afectados.
8. Reutilización de la contraseña del administrador local
Durante la prueba de penetración interna, se descubrió que muchos sistemas compartían la misma contraseña de administrador local. Poner en peligro una cuenta de administrador local proporcionaba acceso a múltiples sistemas, lo que aumentaba significativamente el riesgo de un compromiso generalizado dentro de la organización.
9. Microsoft Windows RCE (EternalBlue)
Durante las pruebas se identificaron sistemas vulnerables a MS17-010 (EternalBlue). Esta vulnerabilidad de Windows es altamente explotable debido a las herramientas y el código disponibles, lo que permite a los atacantes obtener control total sobre los sistemas afectados.
10. Inyección CGI Dell EMC IDRAC 7/8 (CVE-2018-1207)
Las versiones de Dell EMC iDRAC7/iDRAC8 anteriores a la 2.52.52.52 son vulnerables a CVE-2018-1207, un problema de inyección de comandos. Esto permite a atacantes no autenticados ejecutar comandos con privilegios de root, dándoles control total sobre el dispositivo iDRAC.
Causas comunes de hallazgos críticos del Pentest
Si bien cada uno de estos hallazgos surgió de un exploit diferente, hay algunas cosas que muchos de ellos tienen en común. Las causas fundamentales de muchos de los principales hallazgos críticos del pentest siguen siendo las debilidades de configuración y las deficiencias de parches.
Debilidades de configuración
Las debilidades de configuración generalmente se deben a servicios reforzados incorrectamente dentro de los sistemas implementados por los administradores y contienen problemas como credenciales débiles o predeterminadas, servicios innecesariamente expuestos o permisos de usuario excesivos. Aunque algunas de las debilidades de la configuración pueden explotarse en circunstancias limitadas, el impacto potencial de un ataque exitoso será relativamente alto.
Deficiencias de parcheo
Las deficiencias en la aplicación de parches siguen siendo un problema importante para las organizaciones y normalmente se deben a motivos como la compatibilidad y, a menudo, problemas de configuración dentro de la solución de gestión de parches.
Estos dos problemas principales por sí solos demuestran la necesidad de realizar pruebas de penetración frecuentes. Si bien las pruebas una vez al año han sido el enfoque habitual para las pruebas de penetración, las pruebas continuas proporcionan una cantidad significativa de valor para identificar brechas significativas más cercanas al contexto en tiempo real de cómo los riesgos de seguridad pueden conducir a compromisos importantes. Por ejemplo, el escáner Nessus de Tenable podría identificar LLMNR pero solo como informativo. Las pruebas de penetración de red trimestrales o mensuales con vPenTest de Vonahi no sólo resaltan estos problemas sino que también explican su impacto potencial.
Fuente: thehackernews
