Archivo mensual: Octubre 2020

Tip 20. Evaluar el grado de exposicion de informacion sensible en servicios Cloud

Cuando hablamos de servicios Cloud lo primero que se nos viene a la mente es flexibilidad. Hoy podemos hacer muchas cosas en poco tiempo, ya que existen diversos servicios listos para poder atender nuestras necesidades.

En el ámbito de seguridad, el punto a tener en cuenta es clasificar bien la información (publica, Privada o interna, confidencial, etc.) y luego emplear herramientas que nos ayuden a evitar que se nos escape esta información, ya sea, por error o porque alguien está tratando de hacer uso indebido de ella.

La Seguridad en ambientes Cloud, es un tema importante por considerar, ya que la libertad de conectarnos desde cualquier lugar, la flexibilidad en costos y operación trae consigo el desvanecimiento total del perímetro donde normalmente poníamos nuestros controles de seguridad. Hoy, nuestro perímetro está en el dispositivo y tenemos que hacernos cargo de ello.

Herramientas del tipo #Kriptos nos ayudan a clasificar la información, con el uso de algoritmos de inteligencia artificial y que automáticamente pueden coordinarse con herramientas del tipo #Netskope que evitan la fuga de esta. Así, se obtiene la seguridad que necesitamos para aprovechar los beneficios y flexibilidad que nos da la nube.

REFERENCIAS: #Kriptos #Netskope

Tip 19. Evitar la publicación de tipo “Full NAT” o todos los puertos.

El Primer consejo que debemos considerar, es no mostrar (Publicar) toda la información que tenemos, lo cual se hace a través de diversos servicios, tales como el protocolo http, publicado normalmente en el puerto 80 y que corresponde a una página web.

Para esto, en general empleamos el Firewall de siguiente generacion #SophosXG, que permite publicar servicios de manera acotada y segura, considerando direcciones IP de orgen, Gerorreferenciacion, y politicas de proteccion IPS. En el caso de publicar servicios WEB,#Sophos implementa adicionalmente una capa de seguridad a nivel WAF

Eventulmente, #SophosXG soporta varios tipos de VPN como SSL, IPSEC o #Sophos Connect, que permite asegurar las conexiones de manera de no tener que publicarlos a internet. Integraciones con AZURE o Amazon son naturales y sencillas para #SophosXG

Ahora bien, al paso del tiempo, vamos publicando servicios para mostrar cierta información, pero muchas veces nos olvidamos de cerrar estas puertas o ventanas a nuestra empresa, por lo que siempre es bueno contar con algún servicio del tipo #EthicalHacking o tal vez alguna herramienta que nos permita ver este tipo de problemas o vulnerabilidades expuestas. Herramientas del tipo #Tenable y #Qualys pueden ayudar. Obviamente a niveles de mucha mas perfundida que las expuestas aquí.

REFERENCIAS: #Sophos #Tenable #Qualys

Tip 18. Evalúa como esta la seguridad de las empresas con que interactúas o con quien tienes subcontratada la administración de algún proceso.

Uno de los conceptos que ha ido tomando relevancia en el último tiempo es la evaluación o scoring de riesgo, que consiste en saber cómo está la seguridad de la compañía vista desde fuera.

La razón de este aumento es fácil de entender, ya que muchas veces como empresa tenemos un control maduro de nuestros procesos y en general internamente tenemos buenos indicadores, pero se subcontratan muchos servicios, algunos de ellos pueden ser muy críticos y pueden requerir del uso de nuestra infraestructura.

Luego, ¿Qué pasa si permito que compañías de terceros interactuar con mis procesos, y estas, no tiene un buen nivel de seguridad? Tal vez la fuga de información puede salir por esa vía. Y es por eso, que las empresas maduras a nivel de seguridad no solo deben conocer como esta su propio nivel de seguridad, sino también, los de sus proveedores críticos.

Hoy muchos exigen que el proveedor cumpla cierta normativa, ISO 9000, 27000, etc. también es recomendable pedirle un análisis de seguridad. Herramientas como #SecurityScorecard hace de esta tarea algo fácil, dinámico y muy grato, ya que no solo me da mi propio score de riesgo o el de mis partner, sino también me compara con los niveles deseables de la industria.

REFERENCIA: #SecurityScorecard

Tip 17. Cerrar acceso a servicios RDP que puedan estar publicados a Internet.

Normalmente, los servicios como RDP (Remote Desktop Protocol) no se publican directamente hacia Internet, por el riesgo que esto representa, ya que, este servicio permite tomar el control remoto de la maquina y estos, solo se consideran de uso interno, para usuarios de altos privilegios.

Luego, la recomendación es hacer un escaneo a las IPs Públicas de la compañía y ver si tienen algún servicio de este tipo publicado y cerrarlo. Ahora bien, si necesitamos tomar el control de una maquina desde fuera de la organización, lo que se suele hacer es generar una conexión vía VPN, donde #Sophos nos puede ayudar.

Si necesitamos tomar el control de un servidor que debe estar aislado o en un segmento distinto de la red, lo que hacemos es incluir un servidor pivote, es decir, nos conectamos a un servidor que es el único que puede tener acceso a servidores críticos de nuestra organización. Ahí podemos aplicar otras soluciones que permiten grabar las sesiones y evitar escalamiento de privilegios #Centrify.

Si el entorno es un entorno distribuido, donde aplicar VPN es complejo, ya que tenemos servidores o servicios en la nube y algunos otros en Data Center propios, la recomendación es evaluar #Netskope NPA que nos permite centralizar todas nuestras conexiones en un punto local en Chile, dado que #Netskope cuenta con una Red Newedge en Centros de Datos situados en Chile, Argentina, Brasil y Colombia. Y desde ahí conectarse a cualquier parte, lo que también ayuda con problemas de latencia o lentitud en conexión cuando nuestros servicios están en otros países.

REFERENCIAS: #Sophos #Centrify #Netskope

Tip 16. Revisar publicaciones de servicios a Internet y aplicar restricciones solo a accesos estrictamente permitidos.

Toda compañía necesita dar a conocer o comunicar algo, desde los productos que comercializa hasta comunicados de interés para la comunidad que los sigue. Esto implica muchas veces publicar servicios hacia Internet, servicios del tipo HTTP, FTP u otros. Pero también tenemos que cuidar que no se acceda a información que no nos interesa compartir.

Para esto, equipos como los Firewall #Sophos, nos permiten generar las diferentes políticas, de que debemos permitir, o que no. Y así mantener nuestros servicios correctamente publicados hacia Internet. Obviamente, cuando se requiere acceder a bases de datos o información sensible, es bueno tener una correcta segmentación de tal forma que solo los servicios que necesitan acceder a estos datos o información puedan hacerlo.

En entornos mas complejos o abiertos, tenemos a #Guardicore, que como vimos en el post pasado (Tip15), nos permite hacer esta revisión en forma sencilla y validar que servicios, de que servidores están publicados, además de ver quienes están accediendo a dicho servicios. Con esta información podemos tomar la determinación de que vamos a dejar publicado para que se pueda acceder y que no.

Y si se trata de evitar la fuga de información o la exposición de información sensible. Hoy, no solo se puede exponer a través de nuestros servicios publicados, sino que también existen las Redes Sociales u otros mecanismos en la nube. Para evitar estas publicaciones indeseadas, tenemos herramientas como #Netskope, que previenen la fuga de información independiente de que servicio (público o privado) se ocupe.

REFERENCIA: #Sophos #Guardicore #Netskope

Tip 15. Aislar entornos de servidores a nivel de procesos para evitar movimientos laterales en entornos de mayor privilegio

El robo de credenciales y el movimiento lateral están hoy en día presente en casi todos los intentos de ataques, siendo uno de los puntos dentro de la ciberseguridad que tiene prioridad en poder identificar la ocurrencia de estos eventos y responder con las actividades necesarias frente a este tipo de ataque detectado.

Pero ¿que es el movimiento lateral? Partamos con esta definición:

Son técnicas de ataque de hackers informáticos, que tienen como objetivo, propagarse a través de la red buscando información clave. Ahora, para aumentar la probabilidad de encontrar información relevante, utilizan el movimiento lateral.

Casi siempre tienen relación al uso de credenciales privilegiadas y técnicas que imitan las tareas que realizan, todos los días, los administradores de dominio Windows.

Aislar los entornos de servidores en el ámbito de procesos, se define como la solución para evitar el movimiento lateral, Disminuyendo la brecha de ataque a un espacio dedicado donde se ejecuta un componente o proceso.

Una de las soluciones son los contenedores, ambientes individuales con servidores agrupados por componentes o procesos específicos. Aislar las aplicaciones puede ser relativamente simple pero no se considera como un método infalible de aislamiento.

Otra solución es la Microsegmentación, que permite descubrir la dependencia de las aplicaciones, proteger las aplicaciones criticas y garantizar el cumplimiento de las normas.

Esto puede incluir una combinación de servidores, máquinas virtuales, instancias de nube y contenedores. Los beneficios principales son reducción de la superficie de ataque, contención mejorada de brechas y una posición de cumplimiento normativo mas fuerte.

Referencia : #Guardicore

La NSA advierte: Los hackers Chinos están explotando 25 vulnerabilidades

La agencia nacional de seguridad de Estados Unidos, NSA, ha informado de 25 vulnerabilidades que hackers del gobierno chino están utilizando actualmente para irrumpir en redes, robar datos, entre otros tipos de ataque. La organización norteamericana indica que liberó este listado para ayudar a los departamentos de TI a priorizar el parchado. En otras palabras: si no sabe que actualizaciones aplicar primero, comience con estas.

Hablando de tropiezos en programación, el 20 de octubre del presente año Google corrigió un hoyo de seguridad en el ultra-utilizado navegador Chrome que estaba siendo explotado a diestra y siniestra por maleantes. La vulnerabilidad en cuestión, CVE-2020-15999, radica en la conversión de tipo Freeparsing en el software. La versión 86.0.4240.111 del navegador para todos los sistemas operativos soportados ya viene con este problema correjido y debería estar en distribución en los próximos dias.

La lista de 25 vulnerabilidades de la NSA son errores de programación que son conocidas y para las cuales ya existen parches disponibles. De estas 7 afectan a sistemas de acceso remoto, 7 a servidores internos, una administración de dispositivos móviles, 2 son escalar privilegios, 2 afectan a Active Directory, 3 a equipos de red, y 3 a servidores públicos.

La directora de ciberseguridad de la NSA, Anne Neuberger, dijo este pasado martes: “Hemos escuchado fuerte y claro que puede ser difícil prorizar el parchado y los esfuerzos de mitigación”. Ademas de que “Esperamos que al destacar estas vulnerabilidades que China está utilizando para comprometer sistemas, los profesionales de la ciberseguridad obtengan información para priorizar esfuerzos y securizar sus sistemas”

El Listado

CVE-2019-11510
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-11510
Afecta a: Pulse Secure vpn
Descripción:Un atacante remoto sin autenticar puede enviar una URI especialmente creada para ejecutar lectura arbitraria de archivos. Esto puede exponer llaves o contraseñas.

CVE-2020-5902
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-5902
Afecta a: F5 BIG-IP balanceador de carga / proxy
Descripción: La Traffic Management User Interface (TMUI), a la cual también se le refiere como utilidad de configuración, tiene una vulnerabilidad de ejecución remota de código (RCE), la cual se encuentra publicada en internet.

CVE-2019-19781
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-19781
Afecta a: Citrix Application Delivery Controller (ADC) y Gateway
Descripción: Permite movimiento por directorios, lo que conlleva una ejecución remota de código sin credenciales.

CVE-2020-8193, CVE-2020-8195, CVE-2020-8196
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-8193
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-8195
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-8196

Afecta a: Citrix Application Delivery Controller (ADC) y Gateway
Descripción: Control de acceso e validación de entrada inapropiados, esto permite acceso sin autenticación a cuertos endpoints mediante URL y también acceso a información restringida para usuarios de bajos privilegios.

CVE-2019-0708
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-0708
Afecta a: Microsoft Windows Remote Desktop Services
Descripción: Ejecución remota de código cuando un atacante sin autenticar se conecta al objetivo utilizando RDP y enviando paquetes creados especialmente para esto.

CVE-2020-15505
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-15505
Afecta a: MobileIron mobile device management (MDM)
Descripción: Ejecución remota de código que permite que un atacante remoto ejecute comandos sin autenticación mediante vectores sin especificar.

CVE-2020-1350
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-1350
Afecta a: Servers Microsoft Windows Domain Name System (DNS)
Descripción: Ejecución remota de código que perturba el correcto manejo de requerimientos.

CVE-2020-1472
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-1472
Afecta a: Microsoft Netlogon Remote Protocol (MS-NRPC)
Descripción: Existe una elevación de privilegios cuando un atacante establece una conexión vulnerable mediante un canal seguro Netlogon hacia un controlador de dominio.

CVE-2019-1040
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-1040
Afecta a: Microsoft Windows
Descripción: Manipulación mediante ataques de tipo man-in-the-middle al evitar la protección NTLM MIC.

CVE-2018-6789
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-6789
Afecta a: Exim
Descripción: Una función base64d del listener SMTP permite un sobreflujo del buffer, esto permite la ejecución de código remoto.

CVE-2020-0688
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-0688
Afecta a: Microsoft Exchange
Descripción: Ejecución remota de código cuando el software falla en manejar apropiadamente los objetos en memoria.

CVE-2018-4939
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-4939
Afecta a: Adobe ColdFusion 11 Update 13 y anteriores
Descripción: Vulnerabilidad de des-serialización de datos no confiables. La explotación exitosa puede conllevar la ejecución de código arbitrario.

CVE-2015-4852
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-4852
Afecta a: Oracle WebLogic
Descripción: El componente de seguridad de WLS 10.3.6.0, 12.1.2.0, 12.1.3.0, y 12.2.1.0, permite que un atacante remoto ejecute comandos arbitrariamente mediante un objeto serializado en Java en el tráfico del protocolo T3 mediante el puerto TCP 7001

CVE-2020-2555
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-2555
Afecta a: Oracle Fusion Middleware
Descripción: En Oracle Coherence de OFM existe una explotación fácil que permite a un atacante remoto comprometer Oracle Coherence mediante acceso T3. Esto permite tomar el control de Oracle Coherence.

CVE-2019-3396
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-3396
Afecta a: Atlassian Confluence Server
Descripción: La vulnerabilidad permite que in atacante remoto obtenga movimiento entre directorios y ejecición remota de código, mediante server-side template injection.

CVE-2019-11580
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-11580
Afecta a: Atlassian Crowd y Crowd Data Center
Descripción: Existe un plugin habilitado incorrectamente en los releases llamado pdkinstall. Este permite que atacantes envien requerimientos sin autenticar puedan explotar esta vulnerabilidad, permitiendo la ejecición remota de código.

CVE-2020-10189
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-10189
Afecta a: Zoho ManageEngine Desktop Central
Descripción: Es posible realizar una ejecución remota de código debido a la des-serialización de datos no confiables en el método getChartImage de la clase FileStorage.

CVE-2019-18935
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-18935
Afecta a: Progress Telerik UI for ASP.NET AJAX 2019.3.1023 y anteriores
Descripción: Una vulnerabilidad de des-serialización en la función RadAsyncUpload, permite que mediante el conocmimiento de las llaves de encriptación (CVE-2017-11317 o CVE-2017-11357) resulte en la ejecición de remota de código.

CVE-2020-0601
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-0601
Afecta a: Microsoft Windows
Descripción: Suplantación en el modo que la MS Windows CryptoAPI (Crypt32.dll) valida los certificados ECC. Un atacante puede explotar la vulnerabilidad al utilizar un ejecutable firmado con un certificado con código falsificado, lo que aparentaría ser legítimo. En este caso permite cualquier tipo de ataque mediante malware.

CVE-2019-0803
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-0803
Afecta a: Microsoft Windows
Descripción: Elevación de privilegios en MS Windows cuando el componente Win32k falla al manejar objetos en memoria.

CVE-2017-6327
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-6327
Afecta a: Symantec Messaging Gateway
Descripción: Ejecución remota de código.

CVE-2020-3118
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-6327
Afecta a: Cisco IOS XR
Descripción: Una vulnerabilidad en la implementación del Cisco Discovery Protocol permite que un atacante sin autenticar ejecute código arbitrariamente o causar una recarga en un sistema afectado.

CVE-2020-8515
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-8515
Afecta a: DrayTek Vigor2960 1.3.1_Beta, Vigor3900 1.4.4_Beta, and Vigor300B 1.3.3_Beta, 1.4.2.1_Beta, y 1.4.4_Beta
Descripción: Estos dispositivos permiten una ejecución remota de código como root sin autenticar, esto, mediante metacaracteres del shell.

Fuentes

https://www.theregister.com/2020/10/20/nsa_china_hacking/
https://www.theregister.com/2020/08/06/china_russia_disinformation_black_hat/
https://www.nsa.gov/News-Features/News-Stories/Article-View/Article/2387347/nsa-warns-chinese-state-sponsored-malicious-cyber-actors-exploiting-25-cves/
https://twitter.com/benhawkes/status/1318640422571266048

Tip 14. Realizar bloqueo de uso de herramientas como PSEXEC o powershell

Limitar el uso de aplicaciones en estaciones de trabajo es fundamental en el ámbito de la seguridad informática, sobre todo si estas aplicaciones son clasificadas como riesgosas. En este caso, herramientas que permitan tomar el control remoto de otras estaciones de trabajo y servidores y hacer ejecuciones remotas de programas.

Esta es una estrategia comúnmente empleada por los Ciberdelincuentes para robarnos información u ocupar el dispositivo como pivote y así no presentar sospechas en el robo de información.

Para evitar el uso de este tipo de aplicaciones en un ambiente corporativo, es necesario el conocimiento previo de cuáles son las aplicaciones que están implementadas (generar una línea base) en nuestros dispositivos, es decir, tener un Inventario de Software. Para esto, herramientas como #Genians, #Faronics o #Sophos nos pueden ayudar, tanto a saber que existe, como evitar la ejecución de programas clasificados como riesgosos.

Un poco más allá, en cualquier entorno, ya sea Cloud u on-premise #Guardicore podría generar políticas sobre el tráfico lateral (Este-Oeste, o la comunicación entre aplicativos dentro de nuestros servidores), así podríamos limitar o establecer el control sobre quién y qué puede acceder a nuestros servicios de red y obviamente con esto impedimos que una estación de trabajo, por ejemplo, se conecte en forma indebida a una base de datos.

REFERENCIAS: #Sophos #Faronics #Guardicore #Genians

Tip 13. Concientizar a los usuarios en el uso responsable de las tecnologías disponibles.

Uno de los puntos claves dentro de las organizaciones, es su gente. Esto también es aplicable en ciberseguridad.

Que nuestros usuarios entiendan, estén consientes y sean responsables de los procesos y las vulnerabilidades que pueden afectarlos a ellos o a sus compañías, es un trabajo diario y complejo. Para esto, es necesario tener procesos asociados a capacitar y concientizar a la gente en el uso correcto de las tecnologías #awarness.

Uno de los puntos que mas se ha comentado o de mayor uso por las compañías están asociados a reducir la superficie expuesta a ataques a través de #phishing.

#Phishing es un término informático que distingue a un conjunto de técnicas que persiguen el engaño a una víctima ganándose su confianza haciéndose pasar por una persona, empresa o servicio de confianza (suplantación de identidad de tercero de confianza), para manipularla y hacer que realice acciones que no debería realizar (por ejemplo revelar información confidencial o hacer click en un enlace).

Una herramienta que nos ayuda en este proceso es #Sophos Phish Threat, que proporciona la flexibilidad y personalización que necesita la empresa para promover una cultura positiva de sensibilización sobre la seguridad y evaluar como los colaboradores podrán reaccionar frente a un ataque.

REFERENCIA: #Sophos

Tip 12. Aplicar restricciones en plataformas como NAC para asegurar el cumplimiento de los equipos que se conectan a la red.

Si hablamos de los distintos framework de seguridad, tales como PCI-DSS, NIST, CIS, ISO 27002 u otros, todos ellos establecen 6 puntos que son la base para abordar el acceso a los activos de las compañías #NAC:

  • Inventario y Control de Activos de Hardware
  • Inventario y Control de Activos de Software
  • Manejo continuo de vulnerabilidades
  • Control de Privilegios administrativos
  • Configuración segura de Hardware y software en móviles, portátiles, estaciones de trabajo y servidores
  • Mantenimiento, monitoreo y análisis de registros de auditoria.

#Genians, es un producto que nos puede ayudar a abordar estos 6 puntos, estableciendo el control de acceso a nuestros recursos de Red, aplicando políticas basadas en la identificación de los usuarios, dispositivos y las lineas bases de hardware y software definidas.

REFERENCIA: #Genians