Nova edició de "Les 20 vulnerabilitats de seguretat més crítiques en Internet"

Per cinquè any consecutiu, SANS Institute presenta una nova edició de la seva guia sobre "les 20 vulnerabilitats de seguretat més crítiques en Internet". Amb el temps, aquesta guia s'ha convertit en una autentica guia de referència sobre els problemes de seguretat més habituals i que acostumen a ser els utilitzats pels cucs i virus de propagació massiva.

La llista va néixer fa cinc anys fruit d'una iniciativa de SANS Institute, una organització especialitzada en la formació tècnica sobre seguretat informàtica i l'agència del FBI responsable de la seguretat informàtica. L'objectiu marcat era identificar els problemes de seguretat més crítics, establint com barem de mesura la popularitat de la seva utilització.

És a dir, la llista recull aquells problemes de seguretat que són més utilitzats en els atacs contra sistemes informàtiques, així com les vulnerabilitats utilitzades pels cucs i virus de propagació massiva com mecanisme d'infecció dels equips.

Això significa que, aplicant les mesures de protecció contra els problemes inclosos en aquesta llista ens permet evitar un gran nombre de possibles problemes, especialment els atacs automatitzats o realitzats per persones amb poca capacitat tècnica. Això, segons totes les estadístiques, elimina un percentatge especialment significatiu del volum total d'incidents de seguretat.

L'edició d'enguany és, com en les últimes edicions, un recull de dues llistes separades. La primera d'aquestes llistes reuneix les 10 vulnerabilitats més crítiques que afecten exclusivament als ordinadors que utilitzin el sistema operatiu Windows. La segona llista, per la seva banda, inclou els 10 problemes específics de sistemes Unix i Linux.

L'estructura general del document és, per a cada vulnerabilitat, d'entrada una descripció de la mateixa, les versions afectades, les referències en el catàleg de vulnerabilitats CVE, com determinar si el nostre equip és vulnerable i, finalment, que hem de fer per a protegir-nos.

Les 10 vulnerabilitats més crítiques dels sistemes Windows

W1. Existència de servidors web i els seus serveis associats

Quan s'instal·la un servidor web en un equip Windows, en la seva configuració per defecte, s'activen alguns serveis i/o configuracions que són vulnerables a diversos tipus d'atacs, que van des de la denegació de servei fins el compromís total del sistema.

Si la màquina ha d'actuar com a servidor web, cal verificar que la versió del mateix està actualitzada, s'ha enfortit la configuració i s'han desactivat els serveis innecessaris.

És important indicar que algunes versions de Windows instal·len, en la seva configuració per defecte, el servidor web IIS.

W2. Servei Workstation

Hi ha una vulnerabilitat de desbordament de memòria intermèdia al servei Workstation de Windows 2000 (SP2, SP3 i SP4) i Windows XP (fins SP1) que pot ser utilitzada per un usuari remot per a forçar l'execució de codi en els sistemes vulnerables. Aquest codi s'executarà en el context de seguretat SYSTEM, el que permet un accés complet en el sistema compromès.

W3. Serveis d'accés remot de Windows

Totes les versions de Windows inclouen mecanismes per a permetre l'accés remot tant a les unitats de disc i al registre així com per a l'execució remota de codi. Aquests serveis han demostrat ser bastant fràgils i l'existència de nombroses vulnerabilitats ha estat un dels mecanismes preferits pels cucs i virus per a propagar-se. És molt important verificar que s'han aplicat les diverses actualitzacions publicades per a impedir l'accions dels mateixos.

W4. Microsoft SQL Server

El gestor de base de dades de Microsoft ha estat, tradicionalment, un producte amb un nivell de seguretat molt baix. D'una banda, existeixen un gran nombre de vulnerabilitats de seguretat, moltes d'elles crítiques, que poden ser utilitzades per a accedir i/o modificar a la informació emmagatzemada a les bases de dades.

Però a més a més, la configuració per defecte de Microsoft SQL Server facilita que sigui utilitzat com plataforma per a la realització d'atacs contra altres sistemes. Podem recordar els cucs SQLSnake i Slammer que van tenir un efecte perceptible en tota la xarxa Internet.

W5. Autenticació de Windows

És habitual trobar equips Windows amb deficiències en els seus mecanismes d'autenticació. Això inclou l'existència de comptes sense contrasenya (o amb contrasenyes àmpliament conegudes o fàcilment deduïbles). D'altra banda és freqüent que diversos programes (o el propi sistema operatiu) creï nous comptes d'usuari amb un feble mecanisme d'autenticació.

D'altra banda, malgrat que Windows transmet les contrasenyes xifrades per la xarxa, depenent de l'algorisme utilitzat és relativament simple aplicar atacs de força bruta per a desxifrar-los en un termini de temps molt curt. És per punt molt important verificar que es fa servir l'algorisme d'autenticació NTLMv2.

W6. Navegadors web

Els diversos navegadors habitualment utilitzats per a accedir a la web poden ser un possible punt feble de les mesures de seguretat si no s'han aplicat les últimes actualitzacions. L'Internet Explorer és, sens dubte, el producte per al qual s'han publicat més actualitzacions i que conta amb alguns dels problemes de seguretat més crítics. No obstant deu recordar-se que altres navegadors com l'Opera, el Mozilla, el Firefox i el Netscape també tenen les seves vulnerabilitats de seguretat.

W7. Aplicacions de compartició de fitxers

Les aplicacions P2P s'han popularitzat en els últims anys com un sistema per a la compartició d'informació entre els usuaris d'Internet, fins el punt de convertir-se en un dels mètodes preferits per a obtenir tota a mena de fitxers. De fet, molts usuaris segurament no entendrien la xarxa actual sense l'existència de les aplicacions P2P.

No obstant, algunes aplicacions populars de compartició de fitxers tenen seriosos problemes de seguretat que poden ser utilitzats per un atacant per a obtenir el control de l'ordinador de l'usuari.

D'altres riscos habituals, no estrictament de seguretat però si relacionats ja que atempten contra la nostra privadesa, són els diversos programes espies inclosos en algunes de les aplicacions més populars de compartició de fitxers. Un Altre problema habitual és la compartició inadvertida de fitxers que contenen informació sensible.

Finalment, en els últims mesos s'ha popularitzat la utilització de les xarxes P2P com un nou mecanisme per a la distribució de virus i cucs.

W8. Subsistema LSAS

El subsistema LSAS (Local Security Authority Subsystem) de Windows 2000, Windows Server 2003 i Windows XP és vulnerable a diversos atacs de desbordament de memòria intermèdia que poden permetre a un atacant remot obtenir el control complet del sistema vulnerable. Aquesta vulnerabilitat ha estat explotada per cucs com el Sasser.

W9. Programa de correu

Diverses versions de Windows inclouen de forma estàndard el programa de correu Outlook Express. Es tracta d'un producte que, si no es troba convenientment actualitzat, pot fàcilment comprometre la seguretat del sistema.

Els principals problemes de seguretat associats a l'Outlook Express són la introducció de virus (sense que sigui necessari executar cap programa) i el robatori d'informació sensible.

Les versions actuals de l'Outlook Express, configurades d'una forma adequada, protegeixen a l'usuari davant aquests problemes de seguretat.

W10. Sistemes de missatgeria instantània

La missatgeria instantània ha passat de ser un sistema de comunicació utilitzat bàsicament per a contactar amb amics i familiars a ser una eina de comunicació habitualment utilitzada en les empreses, especialment entre aquelles que disposen de diversos centres de treball.

Els diversos programes de missatgeria instantània poden ser víctimes d'atacs explotables de forma remota i que poden ser utilitzats per a obtenir el control dels sistemes vulnerables.

És convenient que l'usuari d'aquests productes verifiqui que utilitza la versió actual, amb les últimes actualitzacions de seguretat.

Les 10 vulnerabilitats més crítiques dels sistemes Unix/Linux

U1. Programari BIND

BIND és el software estàndard de facto per a actuar com servidor de noms de domini, un servei essencial per al correcte funcionament de la xarxa, ja que s'encarrega de la conversió dels noms de domini a les seves corresponents adreces IP.

Determinades versions de BIND són vulnerables a atacs que poden ser utilitzats per un atacant remot per a comprometre els sistemes vulnerables. Addicionalment, una mala configuració de BIND pot revelar informació sensible sobre la configuració de la xarxa.

És important verificar que els sistemes que executin BIND fan servir la versió més recent, fins i tot si això suposa abandonar la versió distribuïda pel fabricant del sistema operatiu i instal·lar la versió del ISC a partir del seu codi font.

U2. Servidor Web

Pràcticament tots els sistemes Unix i Linux inclouen de forma nativa el servidor Apache. Una configuració inadequada del mateix així com la utilització de versions antigues poden provocar problemes de seguretat, amb diversos nivells d'efectes sobre el nivell de seguretat.

U3. Autenticació

És habitual trobar equips Unix amb deficiències en els seus mecanismes d'autenticació. Això inclou l'existència de comptes sense contrasenya (o amb contrasenyes àmpliament conegudes o fàcilment deduïbles). D'altra banda és freqüent que diversos programes (o el propi sistema operatiu) creu nous comptes d'usuari amb un feble mecanisme d'autenticació.

U4. Sistemes de control de versions

El sistema de control de versions més utilitzat als entorns Unix és CVS. Si la configuració del servidor CVS permet connexions anònimes, determinades versions són susceptibles a atacs de desbordament de memòria intermèdia que poden ser utilitzats per a executar codi arbitrari al servidor.

U5. Servei de transport de correu

Els equips Unix que actuen com servidors de correu poden ser vulnerables, cas d'utilitzar una versió antiga, a tota mena d'atacs. Fruit d'aquests atacs es pot aconseguir el control complet del sistema vulnerable, la utilització del servidor de correu com estació de distribució de correu escombraries o robatori d'informació sensible.

U6. Protocol SNMP

El protocol SNMP s'utilitza d'una forma massiva per a la gestió i configuració remota de tota mena de dispositius connectats a la xarxa: impressores, routers, punts d'accés, ordinadors…

Depenent de la versió de SNMP utilitzada, els mecanismes d'autenticació són molt febles. Addicionalment diverses implementacions del protocol són vulnerables a tota mena d'atacs que van des de la denegació de servei, a la modificació no autoritzada de la configuració dels dispositius o fins i tot de la consola on se centralitza la gestió de la xarxa.

U7. Biblioteca OpenSSL

En els últims mesos s'han detectat diverses vulnerabilitats a la biblioteca l'OpenSSL que afecten a un gran nombre de productes que fan ús de la mateixa: l'Apache, el CUPS, el Curl, l'OpenLDAP, l's-tunnel, el Sendmail i molts d'altres.

És important verificar que s'està utilitzant la versió més recent de l'OpenSSL i tots els productes que utilitzen l'OpenSSL per al xifrat de la informació utilitzin aquesta versió més moderna.

U8. Mala configuració dels serveis de xarxa

Els serveis NFS i NIS són els mètodes més freqüentment utilitzats per a la compartició de recursos i informació entre els equips Unix d'una xarxa. Una mala configuració dels mateixos pot ser utilitzada per a la realització de diversos tipus d'atacs que van des de l'execució de codi en els sistemes vulnerables a la realització d'atacs de denegació de servei.

U9. Bases de dades

Les bases de dades són un element fonamental per a la majoria de les empreses. Pràcticament qualsevol aplicació empresarial està construïda al voltant d'una base de dades on s'emmagatzema informació altament sensible i vital per al funcionament del negoci.

Els problemes de configuració, una mala política de la política de control d'accés, errors en les aplicacions, errors de disseny o la complexitat intrínseca de molts entorns pot ser l'origen de problemes de seguretat que afectin a la integritat, fiabilitat i/o disponibilitat de les dades.

U10. Nucli del sistema operatiu

El nucli del sistema operatiu realitza les funcions bàsiques com la interacció amb el hardware, la gestió de la memòria, la comunicació entre processos i l'assignació de tasques. L'existència de vulnerabilitats en el nucli pot provocar problemes de seguretat que afectin a tots els components del sistema. És molt important la correcta configuració del nucli, per a evitar o reduir l'abast de les possibles vulnerabilitats.

Més informació

The Twenty Most Critical Internet Security Vulnerabilities (Updated) – The Expert Consensus
http://www.sans.org/top20/
http://files.sans.org/top20.pdf

Las 20 vulnerabilidades más críticas en Internet (versió en espanyol) – Edició 2001
http://www.sans.org/top20/spanishv2.php