Shodan: usuarios y contraseñas por defecto

En la entrada anterior ya hablábamos del potencial de Shodan para indexar dispositivos IP de todo tipo; servidores, routers, cámaras IP… No sólo es capaz de encontrar dispositivos que respondan a un determinado puerto o servicio, si no que además podemos realizar búsquedas a través de las respuestas del propio dispositivo, por ejemplo después de hacer una petición HTTP. De ahí que Shodan sea capaz de mostrar información acerca de usuarios y contraseñas por defecto.

Como siempre, la información que aquí se muestra espero que sea usada con fines legales y éticos, ya que defendemos la seguridad e inseguridad desde el prisma del Hacking Ético, NUNCA para que el conocimiento sea usado con fines maliciosos o ilegales.

¿Sabéis cuál es el router ADSL Zyxel P-660HW-D1? Quizás por el nombre no lo sepáis, pero seguro que si véis la imagen a continuación sí os suena de algo…

Zyxel P660HW-D1Pues bien, como sabéis todos los routers ADSL permiten configurarlos a través de varios medios; telnet, SSH o vía Web. Esta última opción es de las más usadas, y para ello hay que autenticarse a través de un HTTP Basic Authentication del cual ya hablamos, sobre todo de su seguridad e inseguridad.

Bien es sabido (si no lo sabías y usas este router deberías saberlo) que el usuario y contraseña por defecto es conocida por los atacantes, o bien por el boca a boca, o bien porque se publican en Web y foros de atacantes o bien porque se encuentra publicada en sitios como routerpassword.com que cuenta con una amplia base de datos de los usuarios y contraseñas por defecto de prácticamente todos los fabricantes y modelos que os podáis imaginar.

routerpasswords.com - admin - 1234

Efectivamente, admin/1234, 1234/1234… son algunas de los usuarios y contraseñas usadas y que por desgracia son fácilmente conocidas por los posibles atacantes. No hace falta decir, que la primera contramedida es cambiar la contraseña y usuario (si es posible) por defecto.

Centrándonos en Shodan, lo que nos tiene que preocupar es que no sólo se conoce las credenciales por defecto si no que además se nos puede localizar mediante Shodan. Es decir, si nuestro router sigue usando las credenciales por defecto, y además nuestra IP está indexada por Shodan, el resultado puede ser que el atacante accede directamente a la administración de nuestro router. Read the rest of this entry »

Ataque al Escritorio Remoto – Caso real

Sobra decir que las nuevas tecnologías al igual que nos proporcionan cada vez más comodidades a la hora de trabajar, también provocan que las posibilidades de ataque a nuestros sistemas de información sean mayores. Recientemente tuve que realizar un análisis forense de un ataque al Escritorio Remoto sufrido por el servidor de un cliente, a continuación comparto algunos detalles, que espero os sirvan para no cometer los mismos errores.

El servicio de Escritorio Remoto o Terminal Service de Windows, también conocido como servicio RDP (Remote Desktop) posibilita a un usuario acceder de forma remota al ordenador donde se está ejecutando dicho servicio, previa autenticación mediante usuario y contraseña del sistema.

Me llama mucho la atención la cantidad tan grande de empresas que usan este tipo de sistema para permitir a un usuario, administrador o tercero (legítimo) a acceder al sistema para trabajar, administrar o por ejemplo dar soporte remoto. Basta con hacer una simple búsqueda con Shodan para ver la cantidad de equipos que están ofreciendo actualmente el servicio:

Escritorios Remotos - Shodan

Muchos, ¿verdad? Lo peor de todo esto es que son equipos que de alguna están expuestos a ser atacados, porque realmente la conexión está a la espera para que se haga desde cualquier dirección de Internet. ¿Por qué no blindar el servicio con una VPN para que sólo usuarios legítimos pueden acceder al servicio? ¿Por qué no cambiar el puerto por defecto 3389? ¿Por qué no limitar el acceso desde ciertas IP solamente?

El caso que les vengo a contar es de una empresa a la que un atacante, a través de un ataque de fuerza bruta al servicio de Escritorio Remoto, consiguió acceder al servidor y cifrar todo el contenido de los discos duros con un cifrado fuerte tipo AES e imposible de descifrar. A cambio, el atacante, supuestamente ruso, solicitaba la cantidad de 3.000 euros por volver a acceder al servidor y descifrar los ficheros.

¿Cómo había accedido? Muy sencillo, fue cuestión de minutos (¿segundos?). La culpa fue de un servicio de Escritorio Remoto accesible por cualquier y con un usuario administrador con una contraseña de 4 dígitos. El escenario para herramientas como Hydra o Medusa era pan comido.

No nos cansaremos de repetir lo importante de disponer de contraseñas fuertes, utilizando minúsculas, mayúsculas, dígitos y caracteres especiales si es posible. Todo ello para evitar que herramientas como las mencionadas arriba sean capaces de descubrir la contraseña en cuestión de segundos, porque el usuario ya no hacía falta descubrirlo, las posibilidades se limitaban a admin, administrador, administrator…

Como siempre, espero que les resulte de interés y ojalá sirva para que alguno se ahorre los 3.000 euros que solicitaba el atacante del caso real.

Hasta pronto!

Miguel Ángel Arroyo