CornerCircleTop
CornerCircleBottom
VButtonBarBottom
Pàgina Inicial
Una per Dia
Articles
Directori
Biblioteca
Alertes
VButtonBarBottom
Una per Dia

Última Modificació del Document
4 d'octubre de 2001


Una per Dia - Tornar a l'índex
Versió en català del servei "Una al día" d'Hispasec

3 d'octubre de 2001 - Les 20 vulnerabilitats de seguretat més crítiques

Desenvolupat conjuntament pel SANS Institute i el FBI, acaba de publicar-se un document que té com a objectiu explicar quines són les principals vulnerabilitats de seguretat. Segons recull el document, es tracta de les vulnerabilitats utilitzades més habitualment en els incidents de seguretat.

Les organitzacions nord-americanes tenen una gran predilecció en la confecció d'estadístiques i estudis on es quantifica virtualment qualsevol cosa. Fruit d'aquesta predisposició, fa poc més d'un any el SANS Institute va reunir en un document les deu vulnerabilitats de seguretat més crítiques. Dins d'aquest context, el sentit de "crític" s'aplica no tant per la seva perillositat sinó a freqüència amb que són utilitzades en els atacs contra sistemes informàtics connectats a Internet.

La base teòrica per a la confecció del document és la següent: la majoria dels atacs a Internet s'aprofiten únicament d'unes vulnerabilitats molt concretes. Moltes d'aquestes vulnerabilitats són conegudes des de fa temps i es disposa d'una solució que permet eliminar el problema. No obstant, hi han moltes organitzacions que desconeixen la seva existència, de forma que els seus sistemes són vulnerables. Si reunim aquesta relació a un document, aquestes organitzacions podran treballar en l'eliminació d'aquest conjunt de problemes, reduint per tant el seu nivell de risc.

El document original, on es reunien les deu vulnerabilitats més crítiques, ha quedat una mica desfasat des del moment de la seva publicació, de forma que calia fer-ne una revisió en profunditat.

Per comprendre la importància que té el treballar en la verificació de que els nostres sistemes estiguin protegits davant d'aquest problemes, n'hi ha prou amb recordar que alguns dels principals cucs amb una forta incidència durant els últims mesos (com ara "Red Code" o "Nimda", per citar-ne únicament dos dels més coneguts) fan servir vulnerabilitats descrites uns quants mesos abans de l'impacte del cuc.

És important recordar que solucionar aquestes vint vulnerabilitats (o les que afectin al nostre sistema) no és pas sinònim de garantia de seguretat. Treballar en la solució d'aquests vint problemes només ens garanteix que estarem protegits davant qualsevol atacant o cuc que intent aprofitar-se d'un d'aquests problemes. Ara bé, si que és cert que la solució d'aquests problemes ens ajudarà a protegir-nos davant molts incidents massius i d'atacants amb un baix nivell de preparació ("script kiddies"). Per tant, solucionar aquests problemes no vol dir pas que hagin de baixar la guàrdia davant qualsevol altre vulnerabilitat que vagi sortint i que pugui afectar a qualsevol dels nostres sistemes.

El document publicat per SANS és un document viu. Inclou instruccions pas a pas i enllaços per a obtenir més informació que ens pot ser d'utilitat en la correcció de la vulnerabilitat. Aquesta informació es pot anar actualitzant de forma periòdica, de forma que no estarà de més una visita de tant en tant per veure les possibles vulnerabilitats.

D'altra banda, el Computer Security Institute posa a disposició dels interessats un programa que analitza automàticament els sistemes per a detectar la presència de qualsevol d'aquestes vulnerabilitats. Es tracta d'una versió especial de SARA, un conegut scanner de vulnerabilitats gratuït. Per tal d'obtenir aquest programa cal enviar un missatge a l'adreça info@cisecurity.org, indicant al tema del missatge les paraules "Top Twenty Scanner".

Les vint vulnerabilitats

Per a facilitar la identificació de les vulnerabilitats, estan reunides dins de diferents grups: vulnerabilitats que poden afectar a tots els sistemes (G), vulnerabilitats específiques dels sistemes operatius de la família Windows (W) i vulnerabilitats específiques d'Unix i derivats (U).

Vulnerabilitats que poden afectar a tots els sistemes

  • G1. Instal·lació per defecte de sistemes operatius i aplicacions
    Molts programes, incloent-hi els sistemes operatius i les aplicacions, poden realitzar una instal·lació on la seguretat no és pas un factor determinant. Es important revisar totes les configuracions abans de fer que una màquina sigui accessible a la xarxa.

  • G2. Comptes d'usuari sense contrasenya o amb contrasenya fàcilment identificable
    Molts sistemes només tenen una única línia de defensa: la contrasenya de l'usuari. És important que tots els comptes d'usuari existents tinguin una contrasenya i que aquesta sigui robusta i no fàcilment identificable, tant per persones com per programes. Igualment alguns sistemes i aplicacions creen automàticament comptes d'usuari als que s'assigna una contrasenya per defecte coneguda.

  • G3. Còpies de seguretat no existents o incompletes
    Hi ha una certesa evident: tard o d'hora hi haurà un incident que ens obligui a fer servir la còpia de seguretat. És important que aquestes no només es facin, sinó que es verifiquin i que disposem de mètodes documentats i provats per a restaurar les dades. No hi ha res més inútil que una còpia de seguretat que no pot ser restaurada.

  • G4. Un gran número de ports oberts
    Tant els usuaris legítimes com els atacants accedeixen als nostres sistemes a traves del ports oberts. Quan més ports hi hagi, més possibilitats de que algú pugui connectar al sistema. Per tant, és important que només estiguin oberts aquells ports que realment són necessaris pel normal funcionament de l'equip.

  • No realitzar de forma correcta el filtrat de les adreces entrants i sortints
    La suplantació d'adreces IP és un mètode freqüent utilitzat pels atacants com a mesura d'ocultació. Per tant, cal aplicar les mesures necessàries per a impedir l'entrada i/o sortida de la nostra xarxa d'adreces IP incorrectes, inesperades o no vàlides.

  • G6. Registre d'activitat no existent o incomplet
    La prevenció d'incidents és important, però ho és molt més poder detectar-los el més aviat possible. Per això és important registrar quanta més informació millor sobre l'activitat dels nostres sistemes, aplicant les mesures necessàries per a l'anàlisi d'aquests registres d'activitat.

  • G7. Programes CGI vulnerables
    La majoria dels servidors web permeten la utilització de programes CGI per tal d'accedir a informació, recollir informació o identificar als usuaris, etcètera. Molt d'aquests programes són habitualment utilitzats en els atacs contra els sistemes, de forma que cal prestar-hi una especial atenció.

Vulnerabilitats específiques dels sistemes operatius Windows

  • W1. Vulnerabilitat Unicode ("Web Server Folder Traversal")
    Les versions de l'IIS (Internet Information Server) a les que no s'ha aplicat l'actualització necessària, són vulnerables a un atac consistent en l'ocultació d'URL no vàlides (com l'accés als directoris del sistema) amb l'ocultació de diversos caràcters en format Unicode.

  • W2. Desbordament de memòria intermèdia a ISAPI
    Quan s'instal·la l'IIS, també s'instal·len de forma automàtica diverses extensions ISAPI. Hi han varis problemes de desbordament de memòria intermèdia a aquestes extensions que poden ser utilitzades per un atacant per tal d'obtenir el control complet del sistema.

  • W3. Remote Data Services (RDS) de l'IIS
    Hi han diverses vulnerabilitats al component RDS (Remote Data Services) de l'IIS que poden ser utilitzades per un atacant remot per a l'execució d'ordres del sistema amb els privilegis d'administrador.

  • W4. NetBIOS - Recursos de xarxa compartits no protegits
    Alguns protocols de xarxa inclosos al sistema operatiu Windows no ofereixen mecanismes de protecció adequats, de forma que un atacant remot pot obtenir accés a la informació emmagatzemada als ordinadors.

  • W5. Obtenció d'informació mitjançant sessions d'usuari anònimes
    Si l'ordinador Windows NT o Windows 2000 permet la connexió d'usuaris anònims (sense usuari ni contrasenya), un atacant remot pot obtenir informació dels recursos de xarxa i els comptes d'usuari definits al sistema.

  • W6. Contrasenyes dèbils a la SAM
    Per tal d'oferir compatibilitat descendent, tant el Windows NT com el Windows 2000 emmagatzema per omissió les contrasenyes fent servir un mètode de xifrat de baixa qualitat. Aquesta contrasenya xifrada pot ser desvelada amb atacs de força bruta amb relativament poc esforç.

Vulnerabilitats específiques d'Unix i derivats

  • U1. Desbordament de memòria intermèdia als serveis RPC
    Els serveis RPC permeten que un ordinador executi un programa a un altre ordinador. Hi han diverses vulnerabilitats que permeten a un atacant remot la realització d'atacs de denegació de servei o l'obtenció de privilegis d'administrador.

  • U2. Vulnerabilitats a sendmail
    Sendmail és el programa més utilitzat per a l'enviament, redirecció i adreçament de missatges de correu. Les versions antigues d'aquest programa tenen un gran número de problemes i vulnerabilitats que poden permetre a un atacant obtenir accés al sistema.

  • U3. Vulnerabilitats a BIND
    El programa BIND és l'habitualment utilitzat per tal d'actuar com a servidor de noms de domini (DNS). Algunes versions d'aquest programa poden ser utilitzades per tal d'obtenir accés al sistema amb privilegis d'administrador.

  • U4. Ordres "R"
    La família d'ordres "R" permeten a un usuari autenticat a nivell local executar ordres o accedir a sistemes remots sense que calgui tornar a autenticar-se. Això pot permetre a un atacant amb accés a un sistema accedir lliurement a la resta de sistemes on hi hagi una relació de confiança.

  • U5. Daemon del protocol d'impressió remota (LPD)
    Hi ha una vulnerabilitat de desbordament de memòria intermèdia a diverses versions del daemon lpd que pot ser utilitzada per un atacant per tal d'executar codi arbitrari al sistema vulnerable, amb privilegis d'administrador.

  • U6. sadmind y mountd
    Sadmind és un programa per a l'administració dels sistemes Solaris des d'un entorn gràfic. Mountd facilita l'accés als directoris exportats amb NFS. Tots dos programes tenen varis problemes de desbordament de memòria intermèdia que permeten a un atacant remot l'obtenció de privilegis d'administració als sistemes vulnerables.

  • U7. Valors de SNMP per defecte
    El protocol SNMP és àmpliament utilitzat en la monitorització i administració de virtualment qualsevol dispositiu existent en una xarxa. El sistema de seguretat utilitzat, basat en els noms de comunitat, és molt dèbil. A més, els valors per defecte de molts d'aquests perifèrics permeten a qualsevol la modificació de la seva configuració.

Més informació

The Twenty Most Critical Internet Security Vulnerabilities. The Experts' Consensus
http://www.sans.org/top20.htm

How To Eliminate The Ten Most Critical Internet Security Threats. The Experts' Consensus
http://www.sans.org/topten.htm

Cómo eliminar las diez vulnerabilidades de seguridad en Internet más críticas
http://www.selseg.com/sans_top10/

Hispasec 11-06-00: Cómo eliminar las diez amenazas de seguridad más críticas en Internet
http://www.hispasec.com/unaaldia.asp?id=593

Xavier Caballé
xcaballe@quands.com
Contacte: info@quands.com