Parte 2 - Descubrimiento de vulnerabilidades en redes IP

Introducción

La seguridad de la información se ha convertido en un aspecto crítico para empresas, organizaciones y particulares. Las redes IP (Protocolo de Internet) habilitan la comunicación entre dispositivos y por ello son un objetivo atractivo para posibles ataques cibernéticos, por lo tanto la identificación y mitigación de vulnerabilidades en estas redes se ha vuelto esencial para proteger la integridad, confidencialidad y disponibilidad de los sistemas y datos.

En este contexto, herramientas de evaluación de vulnerabilidades como Nessus Essentials y OpenVAS han emergido como aliados poderosos en la identificación de estas, las cuales permiten a los profesionales de seguridad y administradores de sistemas escanear, detectar y analizar posibles debilidades en redes IP, sistemas operativos y aplicaciones. Al identificar estas vulnerabilidades antes de que los atacantes puedan explotarlas, las organizaciones pueden tomar medidas preventivas para fortalecer su postura de seguridad.

Este post se centra en la utilización de Nessus Essentials y OpenVAS como soluciones de código abierto para el descubrimiento de vulnerabilidades en redes IP. Se exploran sus características, capacidades y metodologías para llevar a cabo análisis de seguridad en redes, y como pueden contribuir a una estrategia efectiva de gestión de vulnerabilidades. Para ello se utilizarán 2 redes: La primera será la red desplegada en la parte 1 (Configurando una red básica para aprender sobre gestión de vulnerabilidades) [1] agregando una máquina adicional con Metasploitable. La segunda es una red con dispositivos reales conectados a un punto de acceso preparado para tal fin. Con ello se busca una comprensión más profunda de la importancia del descubrimiento de vulnerabilidades en redes IP, así como las herramientas y técnicas disponibles para llevar a cabo este proceso.

Por último, se debe resaltar que el post pretende enseñar sobre estas herramientas para su uso adecuado, se aclara que realizar un escaneo de vulnerabilidades no autorizado en una red constituye un delito informático. En Colombia, de enero a octubre de 2022, se presentaron 54.121 denuncias por delitos informáticos [2]. Esto puede acarrear penas de prisión y multas (Ley 1273 de 2009) [3].

Desarrollo

Para este ejercicio se mencionan las direcciones IP utilizadas a modo de contexto, estas pueden cambiar dependiendo de la configuración del escenario de prueba particular, para conocerlas se debe utilizar el comando ipconfig en Windows ó el comando ifconfig en Linux.

Instalación de herramientas

Metasploitable es una máquina virtual configurada para contener múltiples vulnerabilidades de seguridad conocidas, se utiliza en laboratorios de análisis de vulnerabilidades y pruebas de penetración para propósitos educativos y de investigación. Además es útil para aprender como explotar y remediar vulnerabilidades en un entorno controlado y ético, lo que ayuda a mejorar las habilidades en la identificación y mitigación de amenazas de seguridad. Para instalar Metasploitable puede seguir la guía disponible en GeeksforGeeks [4].

Nessus Essentials es una herramienta gratuita que se utiliza para identificar y evaluar vulnerabilidades en sistemas informáticos y redes. Aunque es limitada (permite escanear hasta 16 IP) en comparación con las versiones de pago de Nessus, Nessus Essentials ofrece capacidades esenciales para ayudar a las organizaciones a mejorar la seguridad de sus activos digitales al escanear en busca de posibles debilidades y proporcionar informes de vulnerabilidades. Para su instalación, se descarga de la página oficial de Tenable [5]. Una vez instalado se puede acceder desde la misma máquina (en este caso kali linux) utilizando el navegador y dirigiéndose a https://kali:8834/, o desde otra máquina con la IP y puerto 8834.

OpenVAS (Sistema Abierto de Análisis de Vulnerabilidades) es otra herramienta de escaneo de vulnerabilidades de código abierto que se utiliza para identificar debilidades en sistemas informáticos y redes. Permite a las organizaciones realizar escaneos de seguridad en busca de posibles amenazas y vulnerabilidades, lo que ayuda a mejorar la seguridad de los activos digitales. OpenVAS es altamente configurable y puede adaptarse a las necesidades específicas de seguridad de una organización. Para instalarlo, se descarga la ova de VirtualBox (también esta la opción de VMWare) y se sigue la guía de instalación, ambas están disponibles en la web oficial [6]. Una vez se instala OpenVAS, se puede acceder utilizando el navegador, la dirección web dependerá de la red, en este caso para la red virtual ir a https://10.0.2.5, y para la red con dispositivos reales ir a https://192.168.40.243. Como recomendación, solamente se debe habilitar en la configuración de la máquina virtual el adaptador de red que se necesite dependiendo del escenario.

Habilitar las máquinas virtuales para acceder a la red del host (para la prueba en la red con dispositivos reales)

En VMWare se debe configurar un segundo adaptador de red (en la parte 1 se configuró un primer adaptador en red NAT) para cada máquina virtual de tipo Bridged Adapter como se observa a continuación:

Adicionalmente, se debe habilitar en el firewall de la máquina host la comunicación entre la IP del host y la red configurada para la prueba, de manera similar a como se observa en la imagen.

Identificación de vulnerabilidades en la red de máquinas virtuales con Nessus Essentials y OpenVAS

Descubrimiento de host (Host Discovery)

Se configura el descubrimiento de host en Nessus Essentials con las IP de las máquinas virtuales.

En la siguiente imagen se observa el resultado obtenido por Nessus.

Se configura el descubrimiento de host en OpenVAS, en el menú desplegable Scan Config

Las IP de las máquinas virtuales se añaden de forma manual, seleccionando como lista de puertos All TCP and Nmap top 1000 UDP. En el reporte de OpenVAS se observa que no encontró ningún host.

Escaneo básico de red (Basic Network Scan)

Se configura el escaneo básico de red en Nessus Essentials con las IP de las máquinas virtuales.

En la siguiente imagen se observa el resumen del número de vulnerabilidades encontradas para cada host de acuerdo a su nivel (crítico, alto, medio, bajo, informativo). Como es de esperarse la mayoría de vulnerabilidades fueron encontradas para la IP 10.0.2.6 (la cual corresponde a Metasploitable).

En la tabla se resume el número de vulnerabilidades encontradas

IP	CRITICAL	HIGH	MEDIUM	LOW	INFO
10.0.2.4	0	1	1	0	48
10.0.2.6	9	6	19	7	78
10.0.2.15	0	0	0	0	18

Por otro lado, en el reporte de OpenVAS se observa que no encontró ningún host, y por tanto no identificó ninguna vulnerabilidad.

Escaneo avanzado (Advanced Scan)

En la siguiente tabla se resumen los factores de riesgo encontrados con Nessus Essentials, como es de esperarse la máquina con Metasploitable presenta múltiples vulnerabilidades críticas, altas, medias y bajas.

IP	CRITICAL	HIGH	MEDIUM	LOW	INFO
10.0.2.6	10	6	18	7	75
10.0.2.15	0	0	0	0	18

En la imagen se muestra el resumen de las vulnerabilidades críticas y altas para la máquina con Metasploitable.

En la siguiente imagen se observa el resultado de los escaneos realizados con OpenVAS, donde solo se detectaron vulnerabilidades utilizando la configuración Full and fast.

En la siguiente tabla se relaciona el resumen de las vulnerabilidades encontradas:

Host	High	Medium	Low	Log	False Positive
10.0.2.6 METASPLOITABLE	26	42	6	0	0
10.0.2.15	0	0	2	0	0
10.0.2.4	0	0	2	0	0
Total: 3	26	42	10	0	0

Para metasploitable, las vulnerabilidades fueron encontradas en los siguientes puertos: 514/tcp, 3306/tcp, 5432/tcp, 21/tcp, 8009/tcp, 80/tcp, 22/tcp 3632/tcp, 513/tcp, 6200/tcp, 5900/tcp, 8787/tcp, 8180/tcp, general/tcp, 6667/tcp, 1524/tcp, 512/tcp, 2121/tcp.

Identificación de vulnerabilidades en una red real con Nessus Essentials y OpenVAS

Descubrimiento de host (Host Discovery)

Realizando el descubrimiento de host con Nessus Essentials se encontraron los siguientes dispositivos:

IP
192.168.40.1
192.168.40.240
192.168.40.241
192.168.40.242
192.168.40.243
192.168.40.245
192.168.40.246
192.168.40.247
192.168.40.249
192.168.40.250
192.168.40.251
192.168.40.252
192.168.40.254

Mientras con OpenVAS no encontró ningún host para este caso.

Escaneo básico de red (Basic Network Scan )

En la siguiente imagen se observa el resultado de realizar un escaneo básico de la red con Nessus Essentials, con un tiempo de procesamiento de 32 minutos.

La herramienta encontró las vulnerabilidades mostradas en la siguiente tabla:

IP	CRITICAL	HIGH	MEDIUM	LOW	INFO
192.168.40.1	0	0	2	4	27
192.168.40.240	0	0	0	0	3
192.168.40.243	0	0	2	0	25
192.168.40.245	0	1	1	0	48
192.168.40.246	0	0	2	0	31
192.168.40.247	0	0	3	0	24
192.168.40.249	0	0	2	0	19
192.168.40.251	0	0	0	0	4
192.168.40.254	0	0	4	0	37

Por su lado, OpenVAS no encontró ningún host para este caso.

Escaneo avanzado (Advanced Scan)

En la siguiente imagen se observa el resultado de realizar un escaneo avanzado de la red con Nessus Essentials, en este caso la duración fue de 18 minutos.

En la siguiente tabla se observa el detalle de todas la vulnerabilidades encontradas:

IP	CRITICAL	HIGH	MEDIUM	LOW	INFO
192.168.40.1	0	0	2	4	28
192.168.40.240	0	0	0	0	6
192.168.40.241	0	0	2	0	26
192.168.40.242	0	0	1	0	26
192.168.40.243	0	0	2	0	25
192.168.40.245	0	1	1	0	49
192.168.40.246	0	0	2	0	31
192.168.40.247	0	0	3	0	45
192.168.40.249	0	0	2	0	19
192.168.40.250	0	0	0	0	15
192.168.40.251	0	0	1	0	19
192.168.40.252	0	0	0	0	22
192.168.40.254	0	0	5	0	37

En el caso de OpenVAS se encontraron 5 vulnerabilidades de clasificación alta, 16 de clasificación media y 16 de clasificación baja, como se muestra a continuación:

Host	High	Medium	Low	Log	False Positive
192.168.40.247	1	0	2	0	0
192.168.40.243	1	0	0	0	0
192.168.40.254 ACDC	1	2	2	0	0
192.168.40.242	1	3	1	0	0
192.168.40.1	1	8	3	0	0
192.168.40.249	0	1	1	0	0
192.168.40.251	0	1	1	0	0
192.168.40.246 LAPTOP-7CDBNT53	0	1	1	0	0
192.168.40.250	0	0	2	0	0
192.168.40.245	0	0	2	0	0
192.168.40.252	0	0	1	0	0
Total: 11	5	16	16	0	0

En la siguiente tabla se presenta el detalle de las vulnerabilidades de clasificación alta:

IP	PORT	Vulnerability Detection Result
192.168.40.247	443/tcp	It was possible to login using the following credentials (username:password): admin:admin
192.168.40.243	443/tcp	It was possible to login using the following credentials (username:password): admin:admin
192.168.40.254	8834/tcp	VMware Spring Cloud Function is prone to a remote code execution (RCE) vulnerability.
192.168.40.242	1043/tcp	Vulnerable' cipher suites accepted by this service via the TLSv1.2 protocol: TLS_RSA_WITH_3DES_EDE_CBC_SHA (SWEET32)
192.168.40.1	general/tcp	MikroTik RouterOS is prone to a denial of service (DoS) vulnerability in the SMB server.

Vulnerabilidades encontradas e identificación de CVE relevantes

CVE (Common Vulnerabilities and Exposures) es un sistema de identificación y estandarización de vulnerabilidades informáticas. Cada CVE es un identificador único que se asigna a una vulnerabilidad específica y se utiliza en todo el mundo para rastrear y comunicar problemas de seguridad de manera consistente. MITRE Corporation es la organización detrás de la creación y gestión de este sistema, así como de otras actividades relacionadas con la seguridad y la tecnología. Los CVE pueden ser consultados en la página oficial de MITRE https://cve.mitre.org/index.html.

Para la máquina con Metasploitable en la red virtual, se identificaron las siguientes vulnerabilidades de clasificación crítica y alta:

• Apache Tomcat AJP Connector Request Injection (Ghostcat): Esta vulnerabilidad permite a un atacante inyectar solicitudes maliciosas a través del conector AJP de Apache Tomcat, lo que podría resultar en la exposición de archivos confidenciales o la ejecución de código.
• Bind Shell Backdoor Detection: Se trata de una detección de la presencia de una puerta trasera (backdoor) que permite a un atacante obtener acceso no autorizado al sistema comprometido.
• Debian OpenSSH/OpenSSL Package Random Number Generator Weakness: Esta vulnerabilidad implica una debilidad en el generador de números aleatorios utilizado por los paquetes OpenSSH y OpenSSL en el sistema Debian, lo que podría facilitar ataques criptográficos.
• Multiple Vendor DNS Query ID Field Prediction Cache Poisoning: Está relacionada con la predicción del campo de identificación en las consultas DNS, lo que podría conducir a ataques de envenenamiento de caché DNS en múltiples sistemas.
• NFS Exported Share Information Disclosure: Permite la revelación de información confidencial relacionada con comparticiones de archivos exportadas a través del protocolo NFS (Network File System).
• SSL Version 2 and 3 Protocol Detection: Implica la detección de las versiones obsoletas y potencialmente inseguras de los protocolos SSL (Secure Sockets Layer) en el sistema.
• Unix Operating System Unsupported Version Detection: Se refiere a la detección de versiones no compatibles o desactualizadas del sistema operativo Unix, que podrían ser susceptibles a vulnerabilidades conocidas.
• UnrealIRCd Backdoor Detection: Identifica la presencia de una puerta trasera en UnrealIRCd, un servidor de IRC, que podría permitir el control no autorizado del sistema.
• VNC Server 'password' Password: Esta vulnerabilidad implica el uso de contraseñas débiles en un servidor VNC (Virtual Network Computing), lo que podría facilitar el acceso no autorizado.
• ISC BIND Service Downgrade / Reflected DoS: Relacionada con el servicio ISC BIND DNS, esta vulnerabilidad puede ser explotada para realizar ataques de denegación de servicio (DoS) o downgrade de versiones.
• NFS Shares World Readable: Esta vulnerabilidad se refiere a compartir archivos NFS que tienen permisos de lectura globales, lo que podría exponer datos sensibles.
• SSL Medium Strength Cipher Suites Supported (SWEET32): Identifica la compatibilidad con suites de cifrado de fuerza media en la capa SSL/TLS, que pueden ser susceptibles a ataques de SWEET32.
• Samba Badlock Vulnerability: Hace referencia a una vulnerabilidad conocida como Badlock en el servicio Samba, que podría permitir a un atacante obtener control sobre sistemas afectados.
• rlogin Service Detection: Detecta la presencia del servicio rlogin, que puede tener vulnerabilidades de seguridad si no se configura adecuadamente.
• rsh Service Detection: Similar a la detección del servicio rlogin, esta identificación se refiere al servicio rsh y sus posibles vulnerabilidades si se configura de manera incorrecta.

Para la red con dispositivos reales, Nessus Essentials identifico un factor de riesgo alto en el dispositivo con IP 192.168.40.245, tanto en el escaneo básico como en el avanzado. Este riesgo se debe a la versión de OpenJDK (17.0.6) instalada, la cual presenta múltiples vulnerabilidades, como se detalla en https://openjdk.org/groups/vulnerability/advisories/2023-04-18. En resumen un atacante con acceso a la red a través de http, https o tls podría:

• Tener acceso no autorizado a datos accesibles
• Modificar datos críticos
• Causar bloqueos definitivos o recurrentes

Esta vulnerabilidad tiene varios CVE asociados: CVE-2023-21930, CVE-2023-21937, CVE-2023-21938, CVE-2023-21939, CVE-2023-21954, CVE-2023-21967, CVE-2023-21968.

Por su lado, OpenVAS en la red con dispositivos reales encontró 5 vulnerabilidades de clasificación alta. 2 de estas son asociadas a la configuración de credenciales por defecto (admin:admin) para máquinas que ejecutan OpenVAS. Las tres vulnerabilidades restantes consisten en:

• Vulnerabilidad de ejecución remota de código (RCE) en VMware Spring Cloud Function: Permite a un atacante ejecutar código de forma remota en el sistema. Esto podría llevar a un acceso no autorizado y control total sobre el servidor afectado, lo que representa un grave riesgo de seguridad. CVE asociado: CVE-2022-22963.
• Aceptación de suites de cifrado vulnerables a través del protocolo TLSv1.2 (SWEET32): Se ha identificado que el servicio en cuestión acepta suites de cifrado débiles a través del protocolo TLSv1.2. Entre estas suites vulnerables se encuentra TLS_RSA_WITH_3DES_EDE_CBC_SHA, que es propensa a ataques como SWEET32. Esto podría exponer la comunicación a riesgos de seguridad y se recomienda deshabilitar estas suites. CVE asociados: CVE-2016-2183, CVE-2016-6329 y CVE-2020-12872.
• Vulnerabilidad de denegación de servicio (DoS) en el servidor SMB de MikroTik RouterOS: MikroTik RouterOS presenta una vulnerabilidad que permite llevar a cabo ataques de denegación de servicio (DoS) en el servidor SMB. Esto podría resultar en la interrupción del servicio y la inaccesibilidad de recursos compartidos, lo que puede afectar la operatividad de la red o sistema afectado. CVE asociado: CVE-2020-11881.

Vulnerabilidades comunes

Algunas vulnerabilidades que pueden encontrarse son:

• SQL Injection: Es un ataque donde insertan código SQL malicioso en una entrada de usuario, permitiéndole manipular una base de datos y acceder o modificar datos sensibles [7].
• Header Injection: Es un ataque donde insertan datos maliciosos en encabezados HTTP, lo que puede llevar a comportamientos no deseados en una aplicación web [8].
• Directory Listing: Es un ataque donde se exploran directorios de un servidor web para obtener información sobre los archivos y carpetas en el servidor, lo que puede revelar información sensible [9].
• Shell Injection: Es un ataque donde insertan comandos maliciosos en una aplicación web para ejecutar operaciones en el sistema operativo subyacente [10].
• Cross Site Scripting (XSS): Es un ataque donde se inyectan scripts maliciosos en una página web que luego son ejecutados por los navegadores de los usuarios, permitiendo la obtención de información confidencial [11].
• File Inclusion: Es un ataque donde se logra incluir archivos maliciosos en una aplicación web, a menudo aprovechando vulnerabilidades en la inclusión de archivos [12].
• File Disclosure: Es un ataque sonde se accede y revela archivos sensibles o confidenciales en un servidor web, a menudo a través de vulnerabilidades de seguridad [13].
• Command Execution Detection: Se refiere a la detección de intentos de ejecución de comandos maliciosos en una aplicación web para prevenir ataques como la inyección de comandos [14].
• Backup Files Disclosure: Es un ataque donde se obtiene acceso a copias de seguridad de archivos sensibles, lo que puede exponer información confidencial [15].
• CRLF Injection: Es un ataque donde se inserta caracteres de retorno de carro y avance de línea en datos de entrada para manipular la salida HTTP [16].
• SEL Injection (Security-Enhanced Linux Injection): Es un ataque donde se explotan vulnerabilidades en el sistema SELinux para obtener acceso no autorizado a recursos del sistema [17].
• XPath Injection: Es un ataque donde se manipulan consultas XPath en aplicaciones web para obtener acceso no autorizado a datos XML o realizar operaciones maliciosas [18].
• SSL Medium Strength Cipher Suites Supported: Este mensaje indica que un servidor web admite suites de cifrado SSL de fuerza media, lo que podría exponer la comunicación a riesgos de seguridad. Este no es un ataque en sí, pero es un problema de configuración de seguridad [19].

Conclusiones

La seguridad de la información es esencial debido a la creciente importancia de las redes IP en la comunicación de dispositivos, lo que las convierte en un objetivo atractivo para los ataques cibernéticos.

Por ello herramientas de evaluación de vulnerabilidades como Nessus Essentials y OpenVAS desempeñan un papel crucial en la identificación y mitigación de vulnerabilidades en redes IP, sistemas operativos y aplicaciones. Estas permiten a los profesionales de seguridad y administradores de sistemas detectar debilidades antes de que los atacantes las exploten.

En el proceso de identificación de vulnerabilidades, se llevaron a cabo escaneos tanto en un entorno de máquinas virtuales como en una red real. Estos escaneos revelaron una serie de vulnerabilidades críticas, altas, medias y bajas en los dispositivos evaluados.

Es importante recordar que realizar escaneos de vulnerabilidades en una red sin autorización constituye un delito informático y puede tener graves consecuencias legales. Se enfatiza la importancia de utilizar estas herramientas de manera ética.

Referencias

[1] D. H. Guerrero. “Parte 1 - Configurando una red básica para aprender sobre gestión de vulnerabilidades”. DEV Community. Accedido el 2 de septiembre de 2023. [En línea]. Disponible: https://dev.to/djhuertasg/parte-1-configurando-una-red-basica-para-aprender-sobre-gestion-de-vulnerabilidades-4dn1

[2] “Los ciberataques suman 54.121 casos en lo que va del año y han crecido más de 20%”. Diario La República. Accedido el 7 de septiembre de 2023. [En línea]. Disponible: https://www.larepublica.co/empresas/los-ciberataques-suman-54-121-casos-en-lo-que-va-del-ano-y-han-crecido-mas-de-20-3509163

[3] “Leyes desde 1992 - Vigencia expresa y control de constitucionalidad [LEY_1273_2009]”. SECRETARÍA GENERAL DEL SENADO. Accedido el 7 de septiembre de 2023. [En línea]. Disponible: http://secretariasenado.gov.co/senado/basedoc/ley_1273_2009.html

[4] “How to install Metasploitable 2 in VirtualBox - GeeksforGeeks”. GeeksforGeeks. Accedido el 7 de septiembre de 2023. [En línea]. Disponible: https://www.geeksforgeeks.org/how-to-install-metasploitable-2-in-virtualbox/

[5] “Tenable Nessus Essentials Vulnerability Scanner”. Tenable®. Accedido el 7 de septiembre de 2023. [En línea]. Disponible: https://www.tenable.com/products/nessus/nessus-essentials

[6] “Greenbone Enterprise TRIAL 14 days for free - Greenbone”. Greenbone. Accedido el 7 de septiembre de 2023. [En línea]. Disponible: https://www.greenbone.net/en/testnow/

[7] "SQL Injection," IEEE Xplore, [Online]. Disponible en: https://ieeexplore.ieee.org/abstract/document/7948277

[8] "Header Injection Attacks," IEEE Xplore, [Online]. Disponible en: https://ieeexplore.ieee.org/abstract/document/5594942

[9] "Directory Listing Vulnerability in Web Servers," IEEE Xplore, [Online]. Disponible en: https://ieeexplore.ieee.org/abstract/document/7570151

[10] "Shell Injection Attacks and Mitigation Techniques in Web Applications," IEEE Xplore, [Online]. Disponible en: https://ieeexplore.ieee.org/abstract/document/7962300

[11] "Cross-Site Scripting (XSS) Attacks and Defenses," IEEE Xplore, [Online]. Disponible en: https://ieeexplore.ieee.org/abstract/document/5574142

[12] "File Inclusion Vulnerabilities in Web Applications: Detection and Prevention," IEEE Xplore, [Online]. Disponible en: https://ieeexplore.ieee.org/abstract/document/5190739

[13] "File Disclosure Vulnerabilities in Web Applications," IEEE Xplore, [Online]. Disponible en: https://ieeexplore.ieee.org/abstract/document/7510910

[14] "Command Execution Detection in Web Applications," IEEE Xplore, [Online]. Disponible en: https://ieeexplore.ieee.org/abstract/document/6567437

[15] "Security Risks in Web Servers: File Backups Disclosure," IEEE Xplore, [Online]. Disponible en: https://ieeexplore.ieee.org/abstract/document/6307265

[16] "HTTP Response Splitting Attacks," IEEE Xplore, [Online]. Disponible en: https://ieeexplore.ieee.org/abstract/document/5319394

[17] "Toward a Safer System With Security Enhanced Linux", Van‘t Oever, D., & de Wit, J. J. (2006).

[18] "XPath Injection Attacks and Defenses," IEEE Xplore, [Online]. Disponible en: https://ieeexplore.ieee.org/abstract/document/6695912

[19] "Security Risks in SSL/TLS Implementations," IEEE Xplore, [Online]. Disponible en: https://ieeexplore.ieee.org/abstract/document/6283483