Por mucho que tratemos de olvidar la brecha de Equifax, proporciona un sinfín de lecciones para los profesionales e investigadores de la seguridad de la información. Este fue otro caso en el que los principios básicos de seguridad y una buena higiene habrían evitado el ataque, o al menos lo habrían ralentizado. En el caso de Equifax, los atacantes obtuvieron acceso aprovechando un fallo en una plataforma Apache Struts vinculada a la empresa. Esta es exactamente la fruta madura de la que hablamos en seguridad, que los atacantes pueden explotar para hacerse un hueco en una empresa y causar daños bastante graves.
La brecha se convirtió rápidamente en una pesadilla no sólo para la empresa, sino para la mayoría de los estadounidenses que habían confiado datos financieros y personales confidenciales a Equifax. Fue el escenario perfecto para un frenesí mediático: se informó de que 145,5 millones de estadounidenses se vieron afectados, la respuesta de relaciones públicas fue bastante mediocre y desinformada, y el director general perdió su trabajo; los titulares se escribieron solos.
Es lógico que este tipo de ataques y exploits estén ocurriendo en todo el mundo, cada minuto del día, y que no estén recibiendo el mismo nivel de exposición que vimos con la filtración de Equifax.
Es responsabilidad de toda organización trabajar diligentemente para proteger su infraestructura corporativa contra los atacantes. El servidor Apache Struts de Equifax era vulnerable a una CVE notificada en marzo, cuatro meses antes de que Equifax descubriera la intrusión.
Hoy le mostraremos cómo buscar servidores Apache Tomcat de aspecto sospechoso y protegerlos o desconectarlos para evitar su explotación.
Encontrar servidores Tomcat potencialmente desprotegidos
Teniendo en cuenta que las páginas de configuración del dominio por defecto suelen indicar una instalación incompleta (y probablemente insegura), buscamos parte del lenguaje que probablemente encontraríamos en las páginas por defecto una vez que la instalación se ha realizado correctamente. Con esto en mente, elegimos buscar el siguiente texto: "Ha instalado Tomcat correctamente. Enhorabuena".
Hay algo más de 5 millones de resultados de esa consulta, que son bastante interesantes de explorar desde el punto de vista de la investigación, pero ¿hay alguna forma de determinar si tiene alguno de estos servidores inseguros en su red o en su red corporativa?
Descubra servidores Tomcat no seguros vinculados a su red o marca
Para encontrar todos estos servidores en su red corporativa, ejecute la siguiente consulta y añada AND "[dominio de la empresa]" después para limitar los resultados sólo a los que se encuentran en su red.
He aquí un ejemplo de cómo sería: "ha instalado Tomcat correctamente. Enhorabuena" Y "airbnb.com". Hemos elegido dominios asociados a programas de recompensas por errores para nuestros ejemplos.
También puede utilizar el campo parsed.names para restringirlo sólo a Paypal (o al dominio que introduzca). Por ejemplo: https://censys.io/ipv4?q=tomcat+AND+443.https.tls.certificate.parsed.names%3A+aol.com
¿Qué debo hacer si encuentro algún servidor?
Si encuentras servidores dentro de tu red corporativa, te sugerimos que:
- Haga un poco de trabajo de campo para determinar quién en su organización puso el servidor en línea. Los nombres DNS directos o inversos podrían ayudar a indicar qué grupo instaló este servidor, otros servicios en el host, o la dirección IP podría ayudar a localizar el activo, pero esto puede ser un poco complicado.
- Si la persona que instaló el servidor no lo utiliza, desconéctalo.
- Si lo están utilizando, sigue tus procedimientos habituales para bloquearlo o, si el servidor no cumple tus normas de seguridad incluso con medidas adicionales, crea un nuevo servidor seguro para el empleado e instálalo en él. Esto podría incluir reglas de cortafuegos para impedir el acceso remoto al servidor de aplicaciones.
- Eduque al empleado sobre los procedimientos de seguridad que todos deben seguir para añadir nuevos activos corporativos a su infraestructura. Es importante no culpar ni avergonzar a esta persona, que probablemente se sentirá frustrada y avergonzada de que le señalen su error. Intenta ser paciente y escríbele los pasos a seguir. Si se trata de un directivo, asegúrate de que sus subordinados directos también conozcan estas normas.
¿Qué más puedo encontrar en Censys?
Siempre estamos ampliando nuestros conjuntos de datos, pero para empezar, prueba a buscar bases de datos Oracle, MySQL, MSSQL, Postgres, MongoDB, servidores NGINX y APACHE y protocolos IMAP. Tenemos previsto seguir escribiendo blogs sobre la búsqueda de hosts vulnerables, pero mientras tanto, explora un poco a ver qué puedes encontrar.