Scribd Logo
Cargar

¡Te damos la bienvenida a Scribd!

  • Vulnerabilidad CSIRT

    Cargado por

    Paulette Muñoz
    56 vistas11 páginas

    Derechos de autor

    © © All Rights Reserved

    Formatos disponibles

    DOCX, PDF, TXT o lea en línea desde Scribd

    ¿Le pareció útil este documento?

    ¿Este contenido es inapropiado?

    Denunciar este documento

    Copyright:

    © All Rights Reserved
    Descargue como DOCX, PDF, TXT o lea en línea desde Scribd
    Marcar por contenido inapropiado
    56 vistas11 páginas

    Vulnerabilidad CSIRT

    Cargado por

    Paulette Muñoz

    Copyright:

    © All Rights Reserved
    Descargue como DOCX, PDF, TXT o lea en línea desde Scribd
    Marcar por contenido inapropiado
    de 11

    Facultad de Ingeniería, Ciencia y Tecnología

    Escuela de Computación e Informática

    Curso diseño y auditoría en ciberseguridad

    Unidad 1, Clase 2: Hacking Ético


    Vulnerabilidades

    Alexander Cerón

    Fernando Ríos

    Carlos Sanhueza

    Profesor: Miguel Castillo Leiva

    Agosto 2021

    Introducción
    En el presente informe se dará a conocer casos de vulnerabilidades registradas en
    la plataforma de CSIRT Chile. El CSIRT es el equipo de respuesta a ataques
    informáticos en la Red de Conectividad del Estado. En Chile funciona desde 2015,
    sin embargo, recién en 2018 y después de los graves ciberataques que sufrió la
    banca chilena, se estableció como un departamento de la Subsecretaría del Interior,
    dependiente de la División de Redes y Seguridad Informática. La vulnerabilidad que
    presentaremos en este informe, fue registrada en el CSIRT, llamada “9VSA21-
    00419-01” en el cual, CSIRT advirtió de varias vulnerabilidades en productos Cisco.
    Pero, ¿Qué es Cisco?

    Cisco es una empresa de origen estadounidense fabricante de dispositivos para


    redes locales y externas, también presta el servicio de soluciones de red, su objetivo
    es conectar a todos y demostrar las cosas asombrosas que se pueden lograr con
    una visión clara del futuro.

    Adicionalmente, se dará a conocer el concepto de CISO, que juega un rol muy


    importante dentro de una organización. Se explicará qué es el hacking ético, para
    qué sirve, organizaciones dentro de Chile que prestan servicios como hacking ético
    y finalmente, las habilidades y requisitos que buscan las organizaciones para las
    personas que se dedican o se quieren dedicar al hacking ético.

    Presentada esta introducción, pasemos al desarrollo del informe.


    Desarrollo
    ¿Qué es un CISO?

    Es el director de seguridad de la información sus siglas en inglés CISO ( Chief


    information security officer) es el ejecutivo responsable de la seguridad de la
    información y los datos de una organización. Si bien en el pasado el rol se ha
    definido de manera bastante estricta en ese sentido, en la actualidad el título se usa
    indistintamente con CSO y VP de seguridad, lo que indica un rol más amplio en la
    organización.

    ¿Qué hace un CISO en la empresa?

    Según Stephen Katz, quien fue pionero en el rol de CISO en Citigroup en los años
    90, definió las funciones de un CISO de esta manera:

    Operaciones de seguridad: análisis en tiempo real de amenazas inmediatas y


    clasificación cuando algo sale mal

    Riesgo cibernético e inteligencia cibernética: mantenerse al tanto del desarrollo


    de amenazas de seguridad y ayudar a la junta a comprender los posibles problemas
    de seguridad que puedan surgir de adquisiciones u otros movimientos de grandes
    empresas

    Prevención de la pérdida de datos y el fraude: Asegurarse de que el personal


    interno no haga un mal uso o robo de datos

    Arquitectura de seguridad: planificar, comprar e implementar hardware y software


    de seguridad, y asegurarse de que la infraestructura de red y de TI esté diseñada
    teniendo en cuenta las mejores prácticas de seguridad.

    Gestión de identidad y acceso: garantizar que solo las personas autorizadas tengan
    acceso a datos y sistemas restringidos

    Gestión de programas: adelantarse a las necesidades de seguridad mediante la


    implementación de programas o proyectos que mitigan los riesgos; por ejemplo,
    parches regulares del sistema

    Investigaciones y análisis forense: determinar qué salió mal en una infracción,


    tratar con los responsables si son internos y planificar para evitar que se repita la
    misma crisis

    Gobernanza: asegurarse de que todas las iniciativas anteriores funcionen sin


    problemas y obtengan la financiación que necesitan, y que el liderazgo empresarial
    comprenda su importancia.
    ¿Qué es el hacking ético?

    El Hacking ético implica un intento autorizado de obtener acceso no autorizado a un


    sistema informático, una aplicación o datos. Realizar un hackeo ético implica
    duplicar estrategias y acciones de atacantes malintencionados. Esta práctica ayuda
    a identificar las vulnerabilidades de seguridad que luego pueden resolverse antes de
    que un atacante malintencionado tenga la oportunidad de explotarlas.

    Estos hackers también conocidos como "sombreros blancos", los hackers éticos son
    expertos en seguridad que realizan estas evaluaciones. El trabajo proactivo que
    realizan ayuda a mejorar la postura de seguridad de una organización. Con la
    aprobación previa de la organización o el propietario del activo de TI, la misión del
    Hacking ético es opuesta al hacking malicioso.

    Los hackers ético siguen cuatro conceptos claves:

    Mantenerse legal: Obtienen la aprobación adecuada antes de acceder y realizar


    una evaluación de seguridad.

    Define el alcance: Determina el alcance de la evaluación para que el trabajo del


    hacker ético siga siendo legal y dentro de los límites aprobados por la organización.

    Informar vulnerabilidades: Notifica a la organización de todas las vulnerabilidades


    descubiertas durante la evaluación. Brinda consejos de remediación para resolver
    estas vulnerabilidades.

    Respetar la sensibilidad de los datos: Dependiendo de la sensibilidad de los


    datos, los hackers éticos pueden tener que aceptar un acuerdo de no divulgación,
    además de otros términos y condiciones requeridos por la organización evaluada.
    ¿Qué empresa presta este servicio en Chile?

    Makros Cyber Security Expert

    Es una empresa con más de 15 años de trayectoria, con una basta experiencia en
    soluciones de ciberseguridad

    Tienen servicios de Red Teaming permiten probar la mayoría de los controles de


    seguridad de una empresa y descubrir como un verdadero atacante podría tomar el
    control de los sistemas e información.

    Sus servicios son:

    Aplicaciones Mobile:Revisan las aplicaciones mobile Android/IOS en busca de


    vulnerabilidades frontend/backend.

    Aplicaciones Web: Utilizan las mismas técnicas y herramientas que los hackers
    para encontrar vulnerabilidades.

    Equipos de Comunicación:Descubren versiones desactualizadas, contraseñas


    adivinables, problemas de configuración, etc.

    Redes WIFI:Descubre qué tan expuesta se encuentran las redes y tus usuarios en
    las redes WIFI corporativas.

    Redes Industriales:Descubren vulnerabilidades que podrían afectar la seguridad de


    la producción y los empleados.
    Habilidades y Conocimientos requeridos a un profesional de Hacking
    Ético

    Dentro de las ofertas de trabajo de un hacker ético, principalmente requieren ser


    Ingeniero Civil o en Ejecución en Informática. Junto con experiencia en ejecución en
    Ethical Hacking, Pentesting, Detección y respuesta ante vulnerabilidades y riesgos
    de ciberseguridad, Certificaciones (CEH, OSCP, OSCE, CISSP, CISM, entre otras),
    Conocimientos en plataformas Cloud (i.e AWS, Azure, GCP), Conocimientos de
    herramientas tales como Burp Suite, OWASP ZAP, SQLmap, Metasploit, Mobile
    Security Framework (MobSF), Android Debug Bridge, QARK, Frida Framework o
    similares.

    Sin embargo, hay empresas que tienen requisitos deseables dependiendo del rubro
    de esta. Algunos ejemplos que se pueden identificar son: Experiencia con Python,
    Javascript, Java, Kotlin, Swift, Objective-C o lenguajes similares. Posees
    conocimiento en pruebas de penetración en ambientes web, Conocimientos en
    Herramientas: F5 VPN BIG IP, FW CheckPoint, Proxy McAfee, HES TrendMicro,
    DLP, Inflobox, Normas ISO 27001 y 22301, Conocimientos en nmap, dnsrecon, dig,
    burp suite, Mobsf, Nessus, openvas, Linux, normas PCI-DSS, ISO 27001-2, SANS,
    CMMI, ITIL, Cobit.
    Vulnerabilidades

    En este informe desarrollado por el Equipo de Respuesta ante Incidentes de


    Seguridad Informática, CSIRT de Gobierno, comparte información recopilada sobre
    vulnerabilidades en distintos productos de Cisco.

    Las vulnerabilidades están registradas en la página del CVE (https://cve.mitre.org/) y


    estas son:

    ● CVE-2021-3449
    ● CVE-2021-3450
    ● CVE-2021-1137
    ● CVE-2021-1479
    ● CVE-2021-1480
    ● CVE-2021-1459
    ● CVE-2021-1472
    ● CVE-2021-1473
    ● CVE-2021-1251
    ● CVE-2021-1308
    ● CVE-2021-1309
    ● CVE-2021-1362
    ● CVE-2021-1386
    ● CVE-2021-1485
    ● CVE-2021-1467
    ● CVE-2021-1420
    ● CVE-2021-1474
    ● CVE-2021-1475
    ● CVE-2021-1413
    ● CVE-2021-1414
    ● CVE-2021-1415
    ● CVE-2021-1463
    ● CVE-2021-1380
    ● CVE-2021-1407
    ● CVE-2021-1408
    ● CVE-2021-1399
    ● CVE-2021-1406

    Sin embargo entre estas vulnerabilidades solo existen 7 consideradas como


    vulnerabilidades de riesgo crítico estas son:
    Como vulnerabilidades de riesgo crítico son calificadas las siguientes:
    CVE-2021-1137, CVE-2021-1479, CVE-2021-1480 afectan al Cisco SD-WAN
    vManage Software. Estas vulnerabilidades podrían permitir a un atacante remoto no
    autenticado ejecutar código arbitrario o permitir a un atacante local, autenticado,
    escalar privilegios en un sistema afectado.

    CVE-2021-1459 afecta a las interfaces de administración de los routers Cisco Small


    Business RV110W, RV130, RV130W, and RV215W. Esta vulnerabilidad podría
    permitir a un atacante remoto no autenticado el ejecutar código arbitrario en un
    aparato afectado.

    Como vulnerabilidades de riesgo alto son calificadas las siguientes:

    CVE-2021-1472 y CVE-2021-1473 afectan a la interfaz web de los routers Cisco


    Small Business RV Series. Un atacante remoto podría ejecutar comandos arbitrarios
    o evadir la autenticación y subir archivos a un aparato afectado.

    CVE-2021-1251, CVE-2021-1308 y CVE-2021-1309 son vulnerabilidades existentes


    en la implementación del Link Layer Discovery Protocol (LLDP) de los routers Cisco
    Small Business RV Series. Un atacante adyacente no autenticado podría ejecutar
    código arbitrario o causar fuga de memoria a un router afectado, provocando una
    condición de denegación de servicio (DoS).

    CVE-2021-1362 afecta al endpoint SOAP API de distintos productos Cisco Unified


    Communications: Cisco Unified Communications Manager Session Management
    Edition, Cisco Unified Communications Manager IM & Presence Service, Cisco Unity
    Connection y Cisco Prime License Manager. La vulnerabilidad podría permitir a un
    atacante remoto ejecutar código arbitrario en un aparato afectado.
    CVE-2021-1386 afecta al mecanismo de carga de biblioteca de enlace dinámico
    (DLL) en Cisco Advance Malware Protection (AMP) para los endpoints Windows
    Connector, ClamAV para Windows e Immunet. La vulnerabilidad podría permitir a un
    atacante local autenticado realizar un ataque de secuestro DLL en un sistema
    Windows afectado.

    CVE-2021-3449 y CVE-2021-3450 son vulnerabilidades en Open SSL que también


    afectan a productos de Cisco. Estas vulnerabilidades fueron detalladas ya en el
    siguiente informe del CSIRT de Gobierno: https://www.csirt.gob.cl/noticias/alerta-
    ante-vulnerabilidades-en-openssl/.

    El resto de las vulnerabilidades listadas en el presente informe son caracterizadas


    como de riesgo medio.

    Productos Afectados

    ● Cisco SD-WAN vManage Software.


    ● Cisco Small Business RV110W, RV130, RV130W, and RV215W Routers
    Management Interface.
    ● Cisco Small Business RV Series.
    ● Cisco Unified Communications Products.
    ● Cisco Unified Communications Manager Session Management Edition.
    ● Cisco Unified Communications Manager IM & Presence Service.
    ● Cisco Unity Connection.
    ● Cisco Prime License Manager.
    ● Cisco IOS XR Software Command.
    ● Cisco Webex Meetings para Android.
    ● Cisco Webex Meetings.
    ● Cisco Umbrella.
    ● Cisco RV340, RV340W, RV345, y RV345P Dual WAN Gigabit VPN.
    ● Cisco Unified Intelligence Center.

    Mitigación

    Instalar las respectivas actualizaciones desde el sitio web del proveedor.


    Conclusión
    El hacking ético nace como medida para combatir a los piratas informáticos con
    malas intenciones. Las empresas contratan a estos profesionales porque necesitan
    probar su seguridad. Al otorgar su permiso, efectivamente cubren sus ojos y oídos
    corporativos mientras se llevan a cabo estas pruebas. Además de que se debe
    mantener en alto la seguridad debido a las diversas vulnerabilidades conocidas, y
    las nuevas que vayan apareciendo. Mantener a un profesional en el puesto de
    ciberseguridad que esté muy bien capacitado, con experiencia y respuesta ante
    ataques, es lo que las organizaciones están buscando.
    Bibliografía
    Fruhlinger, J., 2021. What is a CISO? Responsibilities and requirements for this vital
    role. [online] CSO Online.Disponible en:
    <https://www.csoonline.com/article/3332026/what-is-a-ciso-responsibilities-and-
    requirements-for-this-vital-leadership-role.html> [Recuperado el 29 de Agosto de
    2021].

    n.d. [online] .Disponible en: : <https://www.makros.cl/solutions/ethical-hacking>


    Recuperado el 29 de agosto de 2021].

    Synopsys.com. n.d. What Is Ethical Hacking and How Does It Work? | Synopsys.
    [online] .Disponible en: : <https://www.synopsys.com/glossary/what-is-ethical-
    hacking.html> [Recuperado el 29 de agosto de 2021].

    También podría gustarte