Encontrar y proteger sitios FTP con Censys
El Protocolo de Transferencia de Archivos (FTP) es uno de los métodos tradicionales más populares para mover archivos de un ordenador a otro. Aunque los sitios FTP son útiles para que algunas empresas envíen y reciban archivos, por ejemplo diseños o incluso datos de clientes, también se convierten rápidamente en un blanco fácil para los adversarios. Los principales problemas de seguridad que plantean los sitios FTP son el uso de credenciales de inicio de sesión en texto plano y las transferencias de archivos, junto con la falta de aplicación de controles de integridad de los archivos. Los sitios FTP pueden actuar como puertas de entrada fáciles para que los atacantes se introduzcan en los sistemas empresariales.
Además de los problemas habituales de mala configuración de los sitios FTP, los archivos y datos que se comparten a través de ellos a menudo se suman a los riesgos de seguridad. En muchas organizaciones, una amplia variedad de departamentos internos utilizan sitios FTP mientras trabajan con contratistas externos y otros terceros sin la supervisión adecuada del equipo interno de seguridad y/o TI. Estos equipos comparten todo tipo de información entre la empresa y los contratistas y terceros, con diferentes grados de sensibilidad: piense si su organización está trabajando con un contratista que maneja datos de recursos humanos o incluso con un equipo de diseño que comparte información confidencial sobre las características de un producto antes de su lanzamiento. Aunque la intención suele ser inocente, estos sitios FTP fraudulentos deben protegerse con la misma seguridad que cualquier otro sistema de la empresa. El primer paso es localizarlos.
Los atacantes utilizan una gran cantidad de herramientas disponibles gratuitamente para descubrir sitios FTP en Internet y luego determinar cuáles están utilizando inicios de sesión de administrador o no requieren credenciales de inicio de sesión en absoluto debido a errores de configuración. Para no apuntar a tus adversarios directamente a esas herramientas, lo dejaremos así, pero la lección para llevar a casa aquí es que siempre debes estar un paso por delante y puedes usar las capturas de banners FTP para encontrar esos sitios asociados con tu organización para que puedas asegurarte de que están protegidos con autenticación fuerte y configurados correctamente.
Nuestro consejo es que las organizaciones consideren seriamente pasarse a servicios alojados en la nube para compartir archivos, que incorporan herramientas de seguridad: Box y Dropbox son los ejemplos típicos. Los productos basados en la nube ofrecen un cifrado potente, autorización, facilidad de configuración y uso, y mucho más, todo integrado. Además de las funciones de seguridad que ofrecen, estas herramientas también son muy elogiadas por su facilidad de uso para usuarios no técnicos (posiblemente más que los sitios FTP).
Ataques reales relacionados con servidores FTP
En marzo de 2017, el FBI emitió una advertencia a la industria sanitaria sobre ataques activos contra sitios FTP. Las advertencias siguieron a informes de ataques dirigidos a servidores FTP de organizaciones sanitarias, en particular, que se ejecutaban en modo anónimo. Lamentablemente, a pesar de esas advertencias, no todas las organizaciones designaron los recursos necesarios y promulgaron las medidas de seguridad adecuadas que impidieran los ataques FTP.
Un ejemplo: en mayo de 2018, más de un año después de la advertencia del FBI, un proveedor de software de gestión de consultorios llamado MedEvolve expuso accidentalmente 205.000 registros de pacientes debido a un servidor FTP mal configurado. En este caso, el sitio FTP objetivo no requería ningún tipo de credenciales de inicio de sesión. Esto nos lleva a preguntarnos cómo es posible que un sitio FTP pueda configurarse sin necesidad de que un administrador inicie sesión. Se podría argumentar que, como mínimo, se debería exigir un nombre de usuario y una contraseña por defecto, en lugar de poner toda la carga de la seguridad en el usuario, pero al final el error de configuración dejó a MedEvolve con un enorme agujero de seguridad que los atacantes aprovecharon.
La empresa respondió a los ataques de la forma más responsable posible, alertando a proveedores, clientes y socios, pero, por supuesto, el daño ya estaba hecho. Así que, al menos, aprendamos de su experiencia y asegurémonos de no ser nosotros los siguientes en aparecer en los titulares, ¿no?
Cómo utilizar la captura de banners FTP para encontrar sitios FTP empresariales desconocidos y/o no seguros
Como parte de nuestros escaneos globales IPv4, Censys ha estado escaneando por FTP (puerto TCP 21) por años y, junto con eso, proveemos información de captura de banners. Por política, Censys no intenta ningún inicio de sesión, por lo que no captura ningún listado de archivos. Para los usuarios, esto significa que tienen que confiar en la información del banner sobre la información de la red del host, o cualquier página web asociada, para buscar servidores FTP interesantes.
La mejor manera de utilizar los agarres de banners FTP para encontrar sitios FTP asociados con su negocio es buscar el índice 21.ftp.banner. Aquí hay algunos ejemplos buscando algunos nombres de negocios bien conocidos en el banner:
https://censys.io/ipv4?q=21.ftp.banner.banner%3A+ebay
https://censys.io/ipv4?q=21.ftp.banner.banner%3A+ikea
https://censys.io/ipv4?q=21.ftp.banner.banner%3A+netflix
A partir de esta búsqueda, puedes optar por filtrar por etiquetas adicionales del menú de la izquierda, como redes y ubicaciones: ver la opción de mapa dentro de los resultados de búsqueda te permite determinar rápidamente si hay algún sitio FTP vinculado a tu organización que esté en zonas que no esperarías (en cualquier lugar donde no tengas oficinas o trabajadores remotos), etc. Si un servidor FTP utiliza el nombre de tu empresa pero no está en ningún lugar en el que desarrolles tu actividad empresarial, debería levantar sospechas.
Qué hacer si descubre sitios FTP hasta ahora desconocidos
Si encuentras sitios FTP inesperados con tu organización en sus banners investiga para determinar si un empleado o equipo interno creó el sitio para un proyecto.
Si el sitio FTP parece haberse originado fuera de tu organización o algo parece sospechoso, echa un vistazo a la información WhoIS de cada resultado de búsqueda para determinar si el sitio se creó con fines legítimos (un grupo de terceros que trabaja con alguien de tu organización, por ejemplo).
Proteger los sitios FTP de su empresa
Si descubre algunos sitios FTP en los resultados de búsqueda que son propiedad de su organización, asegúrese de seguir una higiene de seguridad adecuada por:
- Exigir credenciales de acceso sólidas
- Autenticación de dos factores
- Gestionar las credenciales de autenticación y autorización como parte de su programa IAM para garantizar que los empleados son dados de baja adecuadamente.
- Registro de intentos de autenticación en su infraestructura de registro estándar
- Restringir quién puede subir archivos y leerlos; sólo los usuarios internos autorizados deben poder subir archivos para su distribución, y los archivos subidos por terceros no deben ser accesibles a terceros.
- Aislar los sitios FTP para que, en caso de acceso no autorizado, los atacantes no puedan pasar del sitio FTP a otras áreas de la empresa (en particular, datos de clientes, información financiera y sistemas de pago, etc.).
Recuerda que lo ideal es que consideres opciones alternativas para compartir archivos que sean más seguras que los sitios FTP tradicionales, por ejemplo:
- Sistemas de transferencia gestionada de archivos (MFT)
- Soluciones de software como servicio (SaaS) basadas en web, como Dropbox, Box, etc.
- Software de transferencia segura de archivos (SFTP)
