¡No publiques servidores VNC con Autenticación Deshabilitada!

Aprovechando que hoy voy retrasado debido a mi enfermedad y los viajes, os voy a dejar un aviso de seguridad importante que me pasó mi amigo rootkit. Se trata de algo que ya sabéis que no se debe hacer, pero por si acaso os lo vuelvo a dejar ya que hay miles de servidores en Internet que están suponiendo un agujero para muchas empresas y organizaciones, ya que tienen un servidor VNC abierto a Internet sin exigir autenticarse.

Figura 1: ¡No publiques servidores VNC con Autenticación Deshabilitada!

Las conexiones VNC permiten controlar remotamente un servidor, tal y como si estuviéramos sentados delante la pantalla y el teclado. Al igual que una conexión remota tipo Citrix, si se quiere utilizar VNC para publicar una app que está corriendo dentro del desktop, en la configuración se podría deshabilitar la autenticación vía VNC, o lo que es lo mismo, que todas las conexiones que se hagan vía VNC no tengan que poner su usuario y contraseña.

Figura 2: Una app corriendo sin autenticación en un servidor VNC

Esto, como ya hemos visto en el caso de Citrix es una mala praxis, pues saltar de la app publicada al desktop es cuestión de "tocar el piano" y buscar los caminos de entrada. Pues lo mismo sucede con las apps publicadas vía VNC y cualquiera que llegue a una app corriendo en un sistema con autenticación deshabilitada, conseguir acceso al sistema es trivial.

Figura 3: La app controla una fábrica

Localizar estos servidores haciendo un poco de hacking con buscadores en Shodan es tan sencillo como buscar "RFB 003.008 authentication disabled" y te aparecerá una lista de servidores enorme.

Figura 4: Lista de servidores VNC con autenticación deshabilitada en Shodan

El resto es abrir el cliente VNC y conectarse sin usuario ni contraseña. Llegarás a la app publicada en el desktop y el resto será jugar con las opciones del sistema para llegar al sistema operativo y la red interna de la organización donde está conectado ese equipo. Por favor, si tienes una app en un servidor publicado por VNC, no hagas esto. Pon autenticación porque si no va a ser trivial para cualquier atacante colarse en tus redes.

Saludos Malignos!

Latch Event Monitor: Controlar Windows con Latch (2 de 3)

En la primera parte de este artículo se pudo ver cómo se creaba la aplicación que se asignará al equipo en el apartado de Developers de Latch con las operaciones que representarán los eventos a controlar, después se pudo ver cómo se debe enlazar con Latch Event Monitor utilizado el Application ID y el Secret y, para terminar, en Latch Event Monitor se creaba cada uno de los eventos que se quisieran controlar enlazados con los OperationID de la aplicación Latch junto con sus acciones de respuesta ante las situaciones de Lock o Unlock.

En la primera parte se creó el ejemplo del servicio VNC, con un tratamiento que forzaba a la desconexión cuando el Latch asociado a esa operación se encuentre cerrado. Ahora hay que probarlo.

Parear Latch Event Monitor con una cuenta de usuario Latch

Para poder controlar Latch Event Monitor es necesario tener una cuenta de Latch y la app instalada en el smartphone. Las apps de Latch se pueden encontrar en las tiendas de aplicaciones y todas están en la sección Downloads, pero aquí tienes los enlaces directos:

Figura 6: Apps de Latch disponibles para Windows Phone, Android y Windows Phone

- Latch para Android
- Latch para iOS
- Latch para Windows Phone

Desde la propia app se puede abrir la cuenta de usuario de Latch y, una vez completado el proceso, ya se podrá realizar el pareado con cualquier aplicación Latch ,y por supuesto con Latch Event Monitor. Para hacer el pareado es necesario solicitar el Token temporal de pareado en la app de la Latch en el smartphone y ponerlo en la sección de Latch Management dentro de Latch Event Monitor.

Figura 7: Proceso de pareado de Latch Event Monitor con una cuenta de Latch

Figura 8: Alerta de que el servicio ha quedado pareado

Este proceso es similar al proceso que se hace desde cualquier web, así que si quieres conocer el step by step, puedes ver cómo se hace en 0xWord, Nevele, la Universidad de Salamanca o en Shodan, el popular buscador para pentesters.

Controlando las acciones de Latch Event Monitor

Una vez hecho esto, ya es posible controlar desde la app el comportamiento de cada una de las operaciones. En este caso, el Latch de "Mi Windows" está abierto, pero la operación de VNC está bloqueada.

Figura 9: Configuración del Latch de "Mi Windows" y la operación VNC

Si en cualquier momento alguien intentara acceder al servicio VNC cuando la operación estuviera bloqueada, saltaría la acción de desconexión que se ha configurado en la primera parte de este artículo, pero además el usuario recibiría una alerta que le informaría de este hecho.

Figura 10: Intento de conexión VNC desconectada por Latch Event Monitor

La configuración por parte del usuario de esta operación le permite otro tipo de acciones como el Autobloqueo o el uso de Planificación Temporal de apertura y cierre de las operaciones, pero en Latch Event Monitor, por la imposibilidad de interactuar con el interfaz remotamente - recordad que esta herramienta corre como un Servicio de Windows - no se puede hacer uso del One-Time Password.

Figura 11: Opciones de Programación de Latch y AutoLock en VNC

Este ejemplo con el servicio VNC se puede replicar para cualquier otro en el que se quiera configurar una acción reactiva. Como se dijo en la parte anterior de este artículo, la potencia de las acciones reactivas dependen mucho del evento que se capture, el momento en el tiempo en que reaccione y el programa que se lance para reaccionar.

Saludos Malignos!

********************************************************************************************
- Latch Event Monitor: Controlar Windows con Latch (1 de 3)
- Latch Event Monitor: Controlar Windows con Latch (2 de 3)
- Latch Event Monitor: Controlar Windows con Latch (3 de 3)
********************************************************************************************