REPORTE ETHICAL HACKING

Alumno: Fabián Acevedo Ormeño

Profesor Guía: Sebastián Veliz Donoso

Santiago, 2021
Nota
La información consignada en el presente informe es producto del análisis de múltiples
fuentes, de terceras partes e investigación propia del equipo CSIRT de la institución. La
información contenida en los informes o comunicados está afecta a actualizaciones.
El informe que usted tiene es su poder ha sido clasificado como TLP ROJO. Solo usted ha
sido autorizado para ver esta información, por lo tanto, USTED NO PUEDE DIVULGAR
ESTA INFORMACIÓN CON NINGÚN TERCERO.
Contenido
RESUMEN EJECUTIVO ..................................................................................................................... 4
EVALUACIÓN DEL INCIDENTE ......................................................................................................... 4
POTENCIAL IMPACTO ..................................................................................................................... 4
RECOMENDACIONES. ..................................................................................................................... 4
VULNERABILIDADES DETECTADAS. ................................................................................................ 5
ANÁLISIS DE LOGS......................................................................................................................... 11
RESUMEN EJECUTIVO

El Equipo de Respuesta ante Incidentes de Seguridad Informática CSIRT de la institución, en

conjunto con el Red Team, han detectado múltiples vulnerabilidades de seguridad en un servidor
corporativo el cual puede comprometer gravemente la confidencialidad, integridad y
disponibilidad de la información. por lo que el presente informe entregara la evidencia
correspondiente para subsanar cada una de las vulnerabilidades detectadas buscando minimizar
los riesgos en la seguridad de la información.

EVALUACIÓN DEL INCIDENTE

Servicio Comprometido Servidor Web institucional

Evaluación del incidente Grave
Compromiso Control de Infraestructura

POTENCIAL IMPACTO

 Atacantes maliciosos pueden tomar control total del servidor de la institución y luego
utilizarlo para realizar otro tipo de ataques, tales como campañas de phishing contra
terceros, ingresar hacia la red interna para atacar a sus funcionarios, filtrar cualquier dato
sensible en el servidor y/o alterar o modificar el contenido de los sitios con el objetivo de
atacar a sus visitantes.

 De filtrarse información o de suceder algún tipo de ataque utilizando este servidor,

surgirían una serie de cuestionamientos públicos sobre la seguridad cibernética, el cuidado
de los datos confidenciales, personales y la gestión de la compañía.

RECOMENDACIONES.

 Realizar un análisis en todos los equipos de la red del servidor a fin de determinar los
posibles impactos de la explotación de estas vulnerabilidades.
 Aplicar parches y/o actualizaciones de Sistema Operativo de todos los servidores y
estaciones de trabajo de la compañía.
 Revisar política o procedimientos de Hardening en toda la infraestructura tecnológica de la
institución.
 Realizar respaldos periódicos de las plataformas críticas.
 Realizar Pentesting periódicos de los servicios tantos internos como externos de la
empresa.
VULNERABILIDADES DETECTADAS.

Como primera instancia se realiza la actualización de la BD de NMAP para mejores resultados

en el escaneo de vulnerabilidades:

Luego se realiza escaneo de vulnerabilidades hacia el servidor institucional comprometido:

Se proceden a explotar los siguientes servicios:

 VSFTP
 SAMBA
 SSH
 APACHE
El servicio VSFTP posee la versión 2.3.4 la cual es vulnerable según el CVE-2011-0762,
por lo que se procede a su explotación:

Además, se logra la explotación del protocolo SAMBA en el puerto 445 permitiendo

acceder a la Shell de la maquina Linux vulnerable:
Se realiza ataque de fuerza bruta para conexiones SSH detectando contraseñas por
defecto en el servidor afectado (msfadmin:msfadmin):
Vulnerabilidad APACHE versión 2.2.8 utilizando Twiki estableciendo conexión al servidor remoto
mediante Netcat:
ANÁLISIS DE LOGS

Se realiza análisis de los logs entregados por la compañía deduciendo que:

 La IP publica 54.38.143.246 tiene una cantidad excesiva de eventos hacia el sitio web de la
compañía.
 La reputación de la IP publica con ubicación en Warsaw Polonia, se encuentra en listas
negras en variadas plataformas de Ciberseguridad tales como Talos, Barracuda y
Proofpoint, catalogándose de alto riesgo sobre todo por el masivo envío de correos
maliciosos.
 Se detectan escaneo de vulnerabilidades mediante la plataforma Nikto (CVE-2014-6278)
 Intentos de inyección de Código (PHP, SQL Injection)
 Ataques continuos al phpMyAdmin del sitio.

IP Publicas Cantidad Eventos

54.38.143.246 8737
75.109.111.18 189
193.90.12.122 73
190.20.218.21 25