Reporte de vulnerabilidades – Herramienta Nessus

Bryan Camilo Herrera Rodríguez

Juan Miguel Granados Gallego

Annibal Daniel Reyes Medina

Jesús David Ortiz Galeón

Corporación Universitaria Minuto de Dios

Diplomado en Seguridad Informática

Facultad de ingeniería - ingeniería de sistemas

Bogotá D.C

2020

Reporte de consultoría - escaneo de vulnerabilidades

El día 02 de Septiembre del 2020, fue realizado un escaneo de vulnerabilidades en la red
192.168.0.0/24 y cada uno de los terminales que la conforman con ayuda de la herramienta
Nessus. La red consta de 2 máquinas virtuales que utilizan diferentes distribuciones Linux,
una de ellas tiene Kali Linux 2020 con IP 192.168.0.13 y la otra tiene un sistema operativo
Ubuntu con IP 192.168.0.12. Otras 2 máquinas con sistemas operativos Windows, estas
son server 2008 con IP 192.168.0.11 y Server 2012 con IP 192.168.0.14.

Así mismo todas las máquinas virtuales tienen un adaptador de puente el de ethernet de la
maquina de esta manera se asegura que todos los equipos se comunican entre sí

Realizando el análisis de la red se pudieron obtener los siguientes resultados:

Revisando la imagen anterior, se puede observar que hay vulnerabilidades de nivel crítico,
alto, medio y bajo tanto en el router (dispositivo para entrar a la red) como en las máquinas
Windows 2008 y Ubuntu, estos serían un eslabón débil en la red que los atacantes pueden
aprovechar para realizar cualquier tipo de técnicas de intrusión con el fin de obtener o
divulgar información valiosa y altamente confidencial de una organización y sus clientes.

Los siguientes apartados darán información detallada de los problemas de seguridad en las
máquinas ya mencionadas.

Windows 2008 Metasploitable 2 IP 192.168.0.11

Para esta máquina se logró obtener la versión exacta del sistema operativo (algo que no se
mostró con las máquinas que no tenían vulnerabilidades), esto puede crítico, ya si un
atacante conoce la versión del sistema operativo de una máquina remota, que se puede
aprovechar de algún fallo de dicha versión que ya conozca, teniendo en cuenta que las
versiones antiguas dejan de recibir soporte, por lo tanto no se encuentran soluciones para
sus fallas expuestas.
Descripción de vulnerabilidades encontradas:

Nivel crítico:

Se detectaron vulnerabilidades en plugins relacionadas con el acceso no autorizado a

máquinas remotas, vulnerabilidades por el uso de versiones antiguas del lenguaje de
programación PHP y servidor Apache, sistema complementos del sistema Unix y
mecanismos de cifrado que utilizan algoritmos de encriptación débiles, lo cual podría traer
como consecuencia que el atacante pueda obtener información confidencial a nivel base de
datos, logs y correos.

Dentro de estas, se pueden destacar las siguientes:

Bind Shell Backdoor Detection:

El shell está escuchando en el puerto remoto sin que se requiera autenticación, el atacante
puede entrar por un puerto y ejecutar comandos a voluntad.
Se recomienda revisar si el hosts ha sido comprometido, si es así, reinstalar el sistema de
nuevo, ya que se encontraron unas puertas traseras que permiten al atacante ingresar al
host en donde puede ejecutar código a su voluntad abriendo y cerrando puertos lo que a su
vez facilita aún más el acceso al sistema.

Debian OpenSSH / OpenSSL Package Random Number Generator Weakness:

Esta vulnerabilidad consiste en un error en el generador de números aleatorios de la

biblioteca OpenSSL por la pérdida de casi todas las fuentes de entropía en la versión
remota de OpenSSL, un atacante puede utilizar esto para obtener la parte privada de la
llave y descifrar la sesión remota y configurar un ataque de intermediario.

Se recomienda considerar todo el material criptográfico generado en el hosts remoto para

que pueda ser adivinado, se debe volver a generar todo el material de claves SSH, SSL y
OpenVPN.

NFS Exported Share Information Disclosure

Esta vulnerabilidad permite al atacante leer y además escribir documentos en un host

remoto.

Se recomienda configurar NFS para permitir que solo de los hosts autorizados puedan
montar sus recursos compartidos remotos.

Nivel alto:

Las vulnerabilidades encontradas en este nivel hacen referencia al servicio de

nombres de dominio BIND puede ser vulnerado desviando el tráfico de red por los
puertos o generando ataques de denegación de servicio, generando una alteración
de archivos de autenticación. También se hace referencia a las vulnerabilidades del
servicio de autenticación rlogin y protocolo SSL que son utilizadas para generar
ataques de intermediario (Man-In-The-Middle) y la vulnerabilidad que afecta un
servidor JPA para obtener archivos remotos.
Elemento de Impacto
vulnerabilidad
Servicio BIND Desviación del tráfico del Contactar al proveedor de
servidor a sitios de DNS para obtener parches.
preferencia del atacante, ya
que el servicio de nombres
no utiliza puertos aleatorios
para realizar consultas a
servidores terceros.
Apache Tomcat AJP El atacante puede enviar
archivos JSP con código
malicioso a un servidor AJP
vulnerable debido a un
problema de lectura e
inclusión de archivos en su
conector y lograr la
ejecución remota de código.
Servicios SSL v2.0 y v3.0 Uso de fallas criptográficas
de SSL por parte del
atacante para degradar la
conexión.
Servicio rlogin Obtención de credenciales
de manera fácil ya que
ofrece autenticación sin
cifrado, lo cual puede
hacerse por medio de un
ataque de intermediario.
Versión de servidor Aprovechamiento de
vulnerabilidades que no
pueden ser solucionadas en
una versión del servidor sin
Actualizar la configuración
de AJP para requerir
autorización y / o actualizar
el servidor Tomcat a
7.0.100, 8.5.51, 9.0.31 o
posterior.
Desactivar SSL versiones
2.0 y 3.0 y reemplazar este
por TLS 1.2 (con conjuntos
de cifrado aprobados) o
superior.
Comentar la línea del
servicio que permite la
autenticación sin cifrado,
reiniciar servicio,
desactivarlo y utilizar SSH
en su lugar.
Remover la versión de un
servidor web que no esté
siendo soportada por otra
que sí lo sea.
 soporte.

Nivel medio:

Muchas de las vulnerabilidades en este nivel derivan de las de nivel alto y crítico ya que
hace referencia a versiones anteriores de los protocolos SSL, SSH y TLS que realizan un
cifrado débil y las fallas de seguridad del servicio BIND entre la versión 9.11.x y 9.17.x.
También se puede ver los nombres de otros servicios que realizan el mismo objetivo, el cual
es encriptar la información que también tienen deficiencias en esta tarea por ser versiones
antiguas, en la mayoría se recomienda:

Actualizar a una versión más reciente para obtener los parches o deshabilitar el servicio y
utilizar SSH en su lugar.

También se recomienda la generación de certificados que no sean autofirmados, de esta

manera se evita que un atacante se haga pasar por un servicio afectado (Man-In-the-
Middle) para tomar la información deseada del cliente o del servidor.
Nivel bajo:

Las vulnerabilidades de nivel bajo no requieren de una actualización de un servicio para

obtener sus parches, solo requieren de un cambio de configuración del servicio que este
tiene por defecto para no hacer uso de modos de encriptación que permitan al atacante
obtener mensajes en un archivo de texto plano o permitan la realización de ataques de
intermediario.
En la máquina metasploitable 2 la mayoría de sus errores son versiones antiguas y/o
obsoletas de servicios, servidores y programas, y demás lo cual deja múltiples accesos a la
como ataques man in the middle, denegación de servicio, la información puede ser
descifrada por los atacantes.

Metasploitable 3 - IP 192.168.0.12

Vulnerabilidades encontradas:

Durante el análisis realizado se encontraron 119 vulnerabilidades, de las cuales 7 son de

nivel crítico, 14 de nivel alto, 25 de nivel medio y 3 de nivel bajo. La mayoría de estas se
relacionan con versiones de servicios de encriptación y PH y otras hacen relación a
protocolos de mensajería, escritorio remoto y trazado de red, varias de ellas tienen similitud
con las encontradas en metasploitable 2. Algunas de las más relevantes son las siguientes:

Nivel Crítico:
 Elemento de la Impacto Recomendación
vulnerabilidad

Protocolo de escritorio Obtención de acceso Habilitar la autenticación de

remoto RDP remoto para ejecutar código escritorio remoto NLA en los
arbitrario. siguientes versiones:
Windows 7, Windows
Server 2008 y Windows
Server 2008 R2.

Bloquear el puerto TCP

8839 en el firewall
perimetral.

Si no son necesarios los

servicios de escritorio
remoto desactivarlos.

Lenguaje de Acceso a un servidor de Actualizar a una versión de

programación PHP manera no autorizada, por PHP compatible.
el uso de funciones
obsoletas o que generan
desbordamiento de
información.

Paquete de seguridad Obtención de acceso Obtener conjuntos de

secure channel remoto por procesamiento parches lanzados para
incorrecto de paquetes en Windows 2003, Vista, 2008,
un servidor windows. 7, 2008 R2, 8, 2012, 8.1 y
2012 R2.

Nivel Alto:

Elemento de la Impacto Recomendación

vulnerabilidad

Certificados SSL Robo de credenciales de actualizar servicio SSL a su

autenticación por medio de última versión o
ataque de intermediario, reemplazarlo por TLS, que
suplantando a un cliente o es un servicio de seguridad
un servicio afectado. a nivel de capa de
transporte

Microsoft Server Message Divulgación de información utilizar parches lanzados por

Block confidencial por parte del
atacante, aprovechando una
vulnerabilidad de manejo
inadecuado de solicitudes,
con el envío de paquetes,
Microsfot para las siguientes
versiones Vista, 2008, 7,
2008 R2, 2012, 8.1, RT 8.1.
También se encuentran
disponibles para versiones
 esto lo realiza sin no soportadas.
autenticación.
No utilizar SMBv1 y
versiones anteriores, que
carecen de funciones de
seguridad.

Se recomienda bloquear el
puerto TCP 445 en todos los
dispositivos de red y los
puertos TCP y UDP 137/139
en la API de NetBIOS.

Servidor Apache Evasión de autenticación Actualizar a Apache versión

por parte del atacante 2.2.34 o posterior.
aprovechando una
vulnerabilidad en la función
ap_get_basic_auth_pw () y
realización de ataque de
denegación de servicio por
vulnerabilidad de
desreferencia de puntero
nulo, al utilizar función
mod_ssl
ap_hook_process_connectio
n () durante la solicitud http
a un puerto https

Nivel Medio:

Elemento de la Impacto Recomendación

vulnerabilidad

SSL Robo de credenciales de Obtener certificado firmado

autenticación en un entorno por una autoridad
de producción por uso de reconocida.
certificado autofirmado, que
permite fácilmente al
atacante suplantar un
dominio que ofrece un
servicio al cliente. esta
vulnerabilidad es
encontrada en las dos
máquinas vulnerables.

Métodos TRACE / TRACK Conocimiento por parte del Deshabilitar estos métodos
atacante de los dominios a HTTP.
los que acceden los
 usuarios y el tipo de
información que solicitan
con el envío de una cookie.

TLS versión 1.0 Aprovechamiento de Habilite la compatibilidad

defectos de diseño con TLS 1.2 y 1.3 y
criptográfico, con los cuales desactive la compatibilidad
se pueden interceptar con TLS 1.0.
información enviada por
formulario, correos y otro
tipo de información entre
cliente y servidor.

Nivel Bajo:

Los componentes de vulnerabilidad encontrados en este nivel están relacionados con la

forma en que se configuran para realizar el cifrado.

Elemento de la Impacto Recomendación

vulnerabilidad

Modulos diffie-hellman El host remoto permite Configurar el servicio para

conexiones SSL / TLS con utilizar un módulo Diffie-
uno o más módulos Diffie- Hellman único de 2048 bits
Hellman menores o iguales o más.
a 1024 bits, segun los
recursos del atacante y el
tamaño del módulo, este
puede violar la integridad de
las conexiiones o recuperar
texto sin formato.

Mediante el análisis se pudo determinar la versión exacta del sistema operativo junto con su
última actualización aprovechando fallas de seguridad que no han sido solucionadas con
parches en versiones anteriores. El atacante puede usar información CVE de versiones
anteriores del sistema operativo y de esta manera aprovechar las vulnerabilidades de dicha
versión.

En PHP debido a una versión antigua ya no recibe actualizaciones de seguridad, un servicio

montado en este servidor puede ser afectado ya que permite saltarse una serie de
restricciones lo cual pone en riesgo la información almacenada en bases de datos, vulnera
métodos de cifrado, obteniendo el codigo fuente del servicio php, siendo esto lo más
afectado en php aunque aún hay más errores de carácter prioritario que pueden poner en
riesgo el servidor.

Lo más recomendable es realizar una actualización php cambiando credenciales de acceso

a las bases de datos y métodos de cifrado junto con el acceso a demas servicios
En algunas aplicaciones se permite ejecutar código de manera remota por ejemplo el
atacante puede enviar un script con un archivo php, con dicho archivo puede crear una
especie de puerta trasera, obteniendo aún más el control del sistema, gracias a esto puede
hacer ataques de ransomware cifrando sus archivos.

Análisis de Kali Linux y Windows Server

Durante el análisis se pudo observar que en las máquinas Kali Linux 2020 y Windows
Server 2016 no se encontraron vulnerabilidades, pues además de ser máquinas
implementadas recientemente, una de ellas está tiene un sistema operativo pensado para
hacer pentest, por lo tanto debe tener soporte para obtener de manera rápida parches que
cubren de manera eficiente sus vulnerabilidades y un servidor de Windows está configurado
por defecto para ser lo más restringido posible.

Kali Linux - IP 192.168.0.13

Windows Server 2012 - 192.168.0.14
Gracias al análisis realizado, se pueden identificar activos importantes a proteger en una
organización, como los servidores de datos, que contienen contienen las bases para la
gestión de estos y pueden tener información clasificada como interna (esta puede ser
compartida por todo el personal de la organización), restringida y altamente restringida
(datos confidenciales de la organización y sensibles de los clientes), si no se aplican
medidas para proteger adecuadamente estos recursos, estaría en juego la credibilidad de la
compañía. Otro recurso a identificar son los servidores web, de los cuales se puede obtener
código fuente.

Para proteger adecuadamente estos activos, se debe hacer las actualizaciones de los
servicios y realizar configuraciones a estos para ofrecer el nivel de seguridad más eficiente
posible, de manera que el atacante no pueda vulnerar los servidores tomando el control
remotamente mediante un shell o archivos JSP a un servidor vulnerable que permita su
almacenamiento, aprovechando las vulnerabilidades en algunas funciones de una versión
antigua de un lenguaje de programación o interceptando la comunicación cliente-servidor o
servidor a servidor con ataques de intermediario o denegación de servicio por mecanismos
de encriptación ineficientes o la no obtención de certificados SSL por una entidad
reconocida.

Una forma de poder detectar un acceso no autorizado sería mediante una auditoría por
medio de logs, que indique las IPs de los equipos que han ingresado a cierto dominio y
comprobar si la ip y su dirección MAC se encuentran registradas en el firewall y una
denegación de servicio puede ser identificada por la ocupación del tráfico de red.

teniendo en cuenta las vulnerabilidades reportadas en las máquinas analizadas, es

importante que un empleado que cumpla la función de primer respondiente informe sobre el
aprovechamiento de estas vulnerabilidades por parte de los atacantes a otras
organizaciones y que estas otras informen sobre ataques que se hayan realizado a sus
sistemas, de tal manera que se trabaje de en equipo para reducir cada vez más el riesgo
que se pueda generar.

En caso de recibir ataques por estas mismas fallas expuestas o de otro tipo, sería
recomendable registrarlas en una base de datos, con el fin de crear un plan de mejora y
establecer nuevas medidas de seguridad defensiva y ofensiva.