viernes, marzo 04, 2016

¡No publiques servidores VNC con Autenticación Deshabilitada!

Aprovechando que hoy voy retrasado debido a mi enfermedad y los viajes, os voy a dejar un aviso de seguridad importante que me pasó mi amigo rootkit. Se trata de algo que ya sabéis que no se debe hacer, pero por si acaso os lo vuelvo a dejar ya que hay miles de servidores en Internet que están suponiendo un agujero para muchas empresas y organizaciones, ya que tienen un servidor VNC abierto a Internet sin exigir autenticarse.

Figura 1: ¡No publiques servidores VNC con Autenticación Deshabilitada!

Las conexiones VNC permiten controlar remotamente un servidor, tal y como si estuviéramos sentados delante la pantalla y el teclado. Al igual que una conexión remota tipo Citrix, si se quiere utilizar VNC para publicar una app que está corriendo dentro del desktop, en la configuración se podría deshabilitar la autenticación vía VNC, o lo que es lo mismo, que todas las conexiones que se hagan vía VNC no tengan que poner su usuario y contraseña.

Figura 2: Una app corriendo sin autenticación en un servidor VNC

Esto, como ya hemos visto en el caso de Citrix es una mala praxis, pues saltar de la app publicada al desktop es cuestión de "tocar el piano" y buscar los caminos de entrada. Pues lo mismo sucede con las apps publicadas vía VNC y cualquiera que llegue a una app corriendo en un sistema con autenticación deshabilitada, conseguir acceso al sistema es trivial.

Figura 3: La app controla una fábrica

Localizar estos servidores haciendo un poco de hacking con buscadores en Shodan es tan sencillo como buscar "RFB 003.008 authentication disabled" y te aparecerá una lista de servidores enorme.

Figura 4: Lista de servidores VNC con autenticación deshabilitada en Shodan

El resto es abrir el cliente VNC y conectarse sin usuario ni contraseña. Llegarás a la app publicada en el desktop y el resto será jugar con las opciones del sistema para llegar al sistema operativo y la red interna de la organización donde está conectado ese equipo. Por favor, si tienes una app en un servidor publicado por VNC, no hagas esto. Pon autenticación porque si no va a ser trivial para cualquier atacante colarse en tus redes.

Saludos Malignos!

8 comentarios:

  1. Que te mejores
    A una cosa como no espliques mejor lo entra a control de un Pc siempre seré atacante novato jjjj

    Un saludo

    ResponderEliminar
  2. Pero vamos, todo servicio que pongas en un ordenador y tenga acceso a Internet es vulnerable, si no tienes autentificación, más aún. Eso me recuerda una cosa que me pasó hace un tiempo. Tenía que hacer unas pruebas en unos servidores, pedí varios VPS de esos por horas para las pruebas, y como eran pruebas, ¿quién se va a meter? puse contraseñas fáciles, tipo 11111 para el primer servidor, 222222 para el segundo servidor... pues, ¡en uno de ellos se metieron!
    En fin, aquí la historia por si a alguien le vale: http://totaki.com/poesiabinaria/2016/02/por-que-debemos-trabajar-en-la-seguridad-hasta-de-un-servidor-de-pruebas/

    ResponderEliminar
  3. Gracias Chema.
    Que mejores pronto.

    ResponderEliminar
  4. Madre mia que desastre....... yo flipo con la gente. Como se pueden dejar los sistemas así?

    ResponderEliminar
  5. Este comentario ha sido eliminado por el autor.

    ResponderEliminar
  6. Recuerdo que hace mucho tiempo estaba probando instalar vnc en una máquina con Linux, solo experimentando, lo levanté sin clave y a los pocos segundos algo tomó el control y empezó a escribir un comando telnet en editor de textos que tenía abierto. Ja ja.. Recuerdo que me asusté tanto que apagué el computador de una.

    ResponderEliminar
  7. falla http://ciperchile.cl/2016/03/05/grave-falla-en-la-red-del-minsal-dejo-expuesta-informacion-confidencial-de-pacientes/

    la empresa mas ladrona de seguridad de su pais http://www.innotecsystem.com es la auditora

    Félix Muñoz el autor del ataque ddos a telefonica y bbva con su operario colaborador richard con pagos bankia


    ResponderEliminar