Qué fácil es ver las flaquezas de seguridad de algunos ICS (Sistemas de Control Industrial)

En los últimos años, la seguridad informática ha adquirido una gran relevancia, y no hace falta que lo jure, ¡por algo estáis en el lado del mal! Todos los sectores están haciendo lo que pueden para protegerse de los ciberataques; sin embargo, en algunas partes de los sectores industriales hay quién se está quedando por detrás, y para entender por qué hay que remontar al año 2000. En aquellos años Internet no traía grandes beneficios aún a muchos sectores, por lo que las redes de los Sistemas de Control Industrial (ICS, por sus siglas en inglés) eran locales, lo que hacía que fueran vulnerables solo ante un ataque realizado por alguien que estuviera físicamente en el entorno.

Figura 1: Qué fácil es ver las flaquezas de seguridad de algunos ICS (Sistemas de Control Industrial)

Con el auge de Internet estos últimos años, ha surgido la llamada Industria 4.0, que define un modelo híperconectado para ofrecer servicios de inmediato en cualquier parte del mundo, y son numerosas las empresas que se han sumado a esta innovadora tendencia. Pero la mayoría al conectarse, han mantenido sus ICS tal y como las tenían antes de conectarse por lo que se están descubriendo más y más vulnerabilidades cada año. Y eso era, y es, un problema.

Figura 2: Vulnerabilidades descubiertas en sistemas ICS del año 1997 al 2015

Tenemos la suerte, aunque en parte desgracia, y ahora explicaré por qué, de que en la Ley PIC (protección de infraestructuras críticas, 8/2011 de 28 de abril) se establecieran unas medidas de seguridad obligatorias para las infraestructuras críticas de España, las cuales están controladas por ICS, así que hay que protegerlas con todo lo que se pueda. Ahora bien, antes he dicho que en parte era una desgracia, y esto es porque infraestructuras críticas solo son aquellas que son indispensables para la población y que si se pararan no podríamos cubrir.

Figura 3: Ley de Protección de Infraestructuras Críticas en España

Pero la ley solo cubre a las infraestructuras críticas e Internet es un lugar muy vasto. Una vez que conectamos las industria a la red, cualquiera puede hacer un poco de Hacking con Buscadores utilizando el buscador de dispositivos de Shodan, y, ¿podéis adivinar qué se puede encontrar? Efectivamente, los ICS vulnerables. Y lo mejor es que son tan buscados que Shodan ya tiene un apartado para ellos.

Figura 4: Buscador de ICSs en Shodan

Lo curioso de Shodan es que además puedes buscar protocolos y puertos abiertos, que son una vía de entrada al sistema que está al otro lado. Y rebuscando un poco entre los protocolos más comunes de ICS, como Modbus o DNP3, podemos encontrar bastantes ICS vulnerables, y lo más preocupante es que no hay que tener mucho conocimiento previo para penetrar en una red en la que puedes provocar un desastre gordo como una inundación al abrir las compuertas de una presa o fastidiar la fabricación de algún producto que luego cause daños y pérdidas de dinero.

Figura 5: Contraseñas en los resultados de los productos

Además, como podéis observar en la Figura 5 tras buscar un poco se empiezan a encontrar las contraseñas de servidores a la vista sin protección alguna - ¿Será algún Honey Pot? -. Y no penséis que es un solo caso específico, hay por lo menos cientos de ICS que o tienen la contraseña a plena vista o usan las contraseñas por defecto (investigadores rusos de SCADA StrangeLove listaron más de 100 productos SCADA, los utilizados por los ICS, y sus contraseñas por defecto, que no son cambiadas en muchos casos), o, mucho más peligroso aún, no requieren de credenciales para entrar.

Figura 6: SCADAPASS

En la Figura 7, por ejemplo, se ha entrado sin que pidieran credenciales, y nosotros que somos aficionados a la seguridad no hacemos nada con ello, solo informamos, pero la posibilidad de que un ciberdelincuente entre es muy alta, y estando sin credenciales, establecer unas nuevas y dejar fuera a los verdaderos dueños es un paso muy sencillo, tan solo hay que navegar un poco por el portal.

Figura 7: Sistemas de control ICS sin passwords publicados en Internet

Que los sistemas SCADA de los que dependen nuestras industrias sean tan vulnerables parece una situación de ficción; y lo que parece más ficción todavía es que su seguridad no sea obligatoria por ley. Ya va siendo hora de que los gobiernos tomen medidas, y que posiblemente hagan que la ley PIC no abarque solo a infraestructuras críticas, porque, como ya habéis visto, entrar en ICS y hacer estropicios gordos es tan sencillo como mirar y rebuscar un poco en Shodan. Os recomiendo la lectura del libro de Infraestructuas Críticas & Sistemas de Control Industrial: Auditorías de Seguridad y Fortificación para conocer mucho más de este tema.

Autor: Jorge "Junior" de la Morena (Intership at ElevenPaths)

Cómo explotar EternalRomance & Synergy en Windows Server 2016

Hace pocos días escribí algunos post explicando cómo comprometer equipos con Windows 7/2008 R2 y 2012 R2 a través del famoso exploit ETERNALBLUE. Esta vez estuve jugando con ETERNALROMANCE con el objetivo de llegar un poco más lejos y ganar un acceso en Windows Server 2016.

Figura 1: Cómo explotar EternalRomance & Synergy en Windows Server 2016

Cuando Microsoft publicó los parches para la vulnerabilidad MS17-010, quedó expuesto que el problema afectaba desde Windows 7 (desde Windows Vista en realidad, pero… bueno) hasta Windows Server 2016. Sin embargo, la versión de ETERNALROMANCE publicada por TheShadowBrokers, tiene una gran inestabilidad al momento de impactar sistemas con versiones de Windows Server 2012 en adelante, provocando la mayoría de las veces el crítico pantallazo azul.

Figura 2: Versión EternalRomance del exploit

La buena (¿o mala?) noticia, es que hace pocos días se publicó un exploit que aprovecha el bug de ETERNALROMANCE/SYNERGY, con mejoras en el método de explotación, para hacerlo más estable al momento de atacar sistemas con Windows Server 2012 y 2016. Pero lo cierto es que, al fiel estilo de su autor (Sleepya), si se quiere utilizar dicho exploit es necesario ingeniárselas un poco, entender cómo funciona y modificar algunas pequeñas cosas para lograr que, al momento de impactar un objetivo, ocurra lo que nosotros queramos.

Figura 3: PoC de ETERNALROMANCE/SYNERGY en Windows Server 2016

Es por eso que tras haberlo analizado, me decidí a escribir un nuevo "How to” explicando paso a paso todo lo necesario para hacer funcionar el exploit de Sleepya correctamente y modificar su comportamiento con el fin de obtener una sesión de meterpreter sobre el equipo objetivo.

Figura 4: Cómo explotar EternalRomance & EternalSynergy en Windows Server 2016

El paper fue publicado en su versión en inglés en exploit-db, y en este artículo puedes leer el mismo en español.  :-). Enjoy! Nos vemos en DefCON.

Autor: Sheila A. Berta (@UnaPibaGeek) – Security Researcher en ElevenPaths.