Configuraciones por defecto de software y aplicaciones en ciberseguridad
Este artículo forma parte de una serie en la que analizamos un reciente Asesoramiento conjunto sobre ciberseguridad de la NSA/CISA sobre los principales problemas de ciberseguridad identificados durante los ejercicios del equipo rojo/azul llevados a cabo por estas organizaciones. En este artículo encontrará una visión más profunda del problema específico, con escenarios del mundo real en los que es aplicable, así como estrategias de mitigación que pueden adoptarse para limitarlo o superarlo. Esto amplía la información proporcionada por el informe NSA/CISA.
-
A menudo, las configuraciones por defecto proporcionadas por los fabricantes no están optimizadas para la seguridad, dejando los sistemas vulnerables a los ataques. Las configuraciones por defecto de los servicios y aplicaciones del sistema pueden abrir inadvertidamente puertas a accesos no autorizados y actividades maliciosas o facilitar operaciones de reconocimiento de adversarios al basarse en condiciones operativas bien conocidas.
Dos problemas importantes prevalecen: las credenciales por defecto y los permisos y ajustes de configuración permisivos de los servicios por defecto. Estas configuraciones, pensadas para facilitar la instalación y el uso, a menudo se convierten en el eslabón más débil de la ciberseguridad.
Impacto en el mundo real
Cuando se despliega una pila de software bien conocida (por ejemplo, LAMP - Linux, Apache, Mysql y PHP), el estado del sistema resultante puede inferirse y replicarse fácilmente. Esto facilita la recreación del sistema de un objetivo potencial y el sondeo de vulnerabilidades, en lugar de activar los sistemas de vigilancia y alerta sobre los intentos de sondeo por parte de los actores de la amenaza contra los sistemas reales. También facilitará que un adversario identifique posibles vectores de ataque simplemente identificando un componente y luego asumiendo (correctamente) que toda la pila está presente.
Problemas de configuración por defecto
En sus pruebas de equipo rojo/azul, la NSA y el CISA encontraron los siguientes ejemplos comunes:
Credenciales por defecto
Los dispositivos de red COTS (Commercial Off-The-Shelf) suelen venir con credenciales predefinidas por defecto para las cuentas administrativas. Estos son fácilmente detectables y explotables por los actores maliciosos para el acceso no autorizado al dispositivo, el restablecimiento de las cuentas administrativas, o el aprovechamiento de las credenciales VPN. Además, dispositivos como impresoras, escáneres y dispositivos IoT, con sus cuentas de dominio privilegiadas cargadas, pueden proporcionar a los atacantes capacidades de movimiento lateral dentro de una red.
En el pasado, se produjeron incidentes muy sonados, o se vieron exacerbados, por el aprovechamiento de dichas configuraciones predeterminadas. Las redes de bots dirigidas a dispositivos IoT, en particular, prosperan y crecen en entornos en los que el movimiento y el descubrimiento de nuevos bots se realiza explotando estados de configuración predeterminados conocidos, lo que permite una propagación rápida y sencilla de la red de bots a través de múltiples dispositivos, redes y organizaciones.
Servicios de certificados de Active Directory (ADCS) inseguros
ADCS, un componente crítico en la gestión de la Infraestructura de Clave Pública (PKI) dentro de los entornos Active Directory, puede verse comprometido debido a una mala configuración de la plantilla. Por ejemplo, habilitar la inscripción web sin las protecciones adecuadas puede permitir a los atacantes obtener certificados fraudulentos, hacerse pasar por entidades legítimas y obtener acceso no autorizado a sistemas y datos críticos.
Protocolos y servicios heredados inseguros
Los servicios de red vulnerables, como LLMNR y el servicio de nombres NetBIOS en Windows, pueden explotarse mediante técnicas de suplantación de identidad, envenenamiento y retransmisión. Estos protocolos, si se dejan activados, permiten a los atacantes interceptar hashes de dominio y obtener acceso al sistema, lo que supone una amenaza significativa para los entornos Windows.
Servicio de bloque de mensajes de servidor (SMB) inseguro
El servicio SMB, utilizado principalmente para compartir archivos en Windows, es otra víctima de la configuración insegura por defecto. La falta de firma obligatoria de SMB permite a los atacantes realizar ataques de máquina en el medio, accediendo a sistemas remotos sin necesidad de capturar y descifrar hashes.
Aunque estos resultados parecen indicar que el problema es más frecuente en las redes basadas en Windows, no es necesariamente así. Los resultados pueden simplemente haber sido sesgados por los entornos de prueba disponibles. Las configuraciones predeterminadas conocidas pueden afectar, y de hecho afectan, a cualquier tipo de sistema operativo y entorno. Por ejemplo, la mayoría de las distribuciones de Linux se suministran con una configuración sshd (secure shell daemon) habilitada que no impone el inicio de sesión basado en claves (o ni siquiera lo habilita) por defecto, aunque esa forma de autenticación sea más resistente que el inicio de sesión y la contraseña tradicionales. Otra configuración por defecto común es la falta de protección contra la fuerza bruta en el mismo servicio sshd, lo que convierte a cualquier sistema Linux recién desplegado (y con acceso a Internet) en un objetivo inmediato para los ejércitos de bots que buscan cuentas vulnerables mediante ensayo y error.
Estrategias de mitigación
Para combatir estas vulnerabilidades, es crucial modificar las configuraciones por defecto de las aplicaciones y dispositivos antes de su despliegue. Esto incluye cambiar o deshabilitar los nombres de usuario y contraseñas por defecto proporcionados por el proveedor e imponer el uso de contraseñas seguras. En el caso de los ADCS, garantice configuraciones seguras actualizando y parcheando la infraestructura, empleando mecanismos sólidos de supervisión y auditoría e implantando controles de acceso estrictos. Revisar y restringir los permisos en las plantillas ADCS también es esencial para evitar la emisión no autorizada de certificados.
Como estrategia más invasiva, los sistemas no deben dejarse en un estado utilizable inmediatamente después de su despliegue. Cuando un sistema se despliega y es inmediatamente utilizable, los beneficios de cambiar la configuración disminuyen. Por lo tanto, hacer que el estado por defecto no sea inmediatamente utilizable haría que la necesidad de cambiar la configuración fuera obligatoria en lugar de opcional. Aunque esto va en contra de las expectativas y tiene algunos detractores, también obligaría a los equipos de TI a aplicar intencionadamente modificaciones de configuración específicas del entorno que harían que un despliegue fuera diferente del siguiente, lo que reduciría en gran medida este tipo de riesgo. Este tipo de enfoque, aunque más eficaz, tiene por tanto algunas desventajas, a saber, el aumento de la carga de trabajo y del tiempo de despliegue de los nuevos sistemas.
En resumen, algunas posibles estrategias para mitigar el problema incluyen:
Modificar las configuraciones por defecto antes de la implantación
Cambie o desactive los nombres de usuario y contraseñas por defecto antes de desplegar los sistemas. Utilice contraseñas seguras y siga las directrices de seguridad del proveedor.
Utilizar herramientas de gestión de la configuración
Utilice herramientas automatizadas de gestión de la configuración para garantizar una implantación segura desde el principio.
Incorporar auditorías y actualizaciones periódicas
Realice auditorías periódicas de las configuraciones y aplique las actualizaciones necesarias para solucionar las vulnerabilidades.
Educar y formar a los empleados
Implemente programas de formación exhaustivos para aumentar la concienciación sobre los riesgos asociados a las configuraciones por defecto. Esto es especialmente importante en entornos BYOD, donde el riesgo de las configuraciones por defecto proviene de dispositivos ajenos.
Implantar una política de estado por defecto no utilizable
Desplegar sistemas en un estado por defecto no utilizable para obligar a los equipos informáticos a aplicar las configuraciones de seguridad necesarias. Discuta las ventajas y desventajas de este enfoque, como el aumento del tiempo de despliegue y la posible resistencia.
Supervisión y registro continuos
Establezca prácticas continuas de supervisión y registro para detectar cambios no autorizados en las configuraciones. Considere la posibilidad de crear alertas para las configuraciones predeterminadas presentes en un sistema.