Una de las formas más efectivas para que los profesionales de tecnología de la información (TI) descubran las debilidades de una empresa antes de que lo hagan los malos son las pruebas de penetración. Al simular ataques cibernéticos del mundo real, las pruebas de penetración, a veces llamadas pentests, brindan información valiosa sobre la postura de seguridad de una organización, revelando debilidades que podrían conducir potencialmente a violaciones de datos u otros incidentes de seguridad.
Vonahi Security, los creadores de vPenTest, una plataforma automatizada de pruebas de penetración de redes, acaban de publicar su informe anual: “Los 10 principales hallazgos críticos del Pentest 2024.” En este informe, Vonahi Security realizó más de 10 000 pentests de red automatizados, descubriendo los 10 principales hallazgos de pentest de red interna en más de 1200 organizaciones.
Profundicemos en cada uno de estos hallazgos críticos para comprender mejor las vulnerabilidades explotables comunes que enfrentan las organizaciones y cómo abordarlas de manera efectiva.
Los 10 principales hallazgos y recomendaciones de Pentest
1. Suplantación de DNS de multidifusión (MDNS)
DNS de multidifusión (mDNS) es un protocolo utilizado en redes pequeñas para resolver nombres DNS sin un servidor DNS local. Envía consultas a la subred local, permitiendo que cualquier sistema responda con la dirección IP solicitada. Esto puede ser aprovechado por atacantes que pueden responder con la dirección IP de su propio sistema.
Recomendaciones:
El método más eficaz para prevenir la explotación es desactivar mDNS por completo si no se está utilizando. Dependiendo de la implementación, esto se puede lograr desactivando el servicio Apple Bonjour o avahi-daemon.
2. Falsificación del servicio de nombres NetBIOS (NBNS)
El servicio de nombres NetBIOS (NBNS) es un protocolo utilizado en redes internas para resolver nombres DNS cuando un servidor DNS no está disponible. Transmite consultas a través de la red y cualquier sistema puede responder con la dirección IP solicitada. Esto puede ser aprovechado por atacantes que pueden responder con la dirección IP de su propio sistema.
Recomendaciones:
Las siguientes son algunas estrategias para prevenir el uso de NBNS en un entorno Windows o reducir el impacto de los ataques de NBNS Spoofing:
- Configure la clave de registro UseDnsOnlyForNameResolutions para evitar que los sistemas utilicen consultas NBNS (parámetros de configuración de NetBIOS sobre TCP/IP). Establezca el registro DWORD en
- Deshabilite el servicio NetBIOS para todos los hosts de Windows en la red interna. Esto se puede hacer a través de las opciones de DHCP, la configuración del adaptador de red o una clave de registro.
3. Falsificación de resolución de nombres de multidifusión local de enlace (LLMNR)
La resolución de nombres de multidifusión local de enlace (LLMNR) es un protocolo utilizado en redes internas para resolver nombres DNS cuando un servidor DNS no está disponible. Transmite consultas a través de la red, lo que permite que cualquier sistema responda con la dirección IP solicitada. Esto puede ser aprovechado por atacantes que pueden responder con la dirección IP de su propio sistema.
Recomendaciones:
El método más eficaz para evitar la explotación es configurar la clave de registro de resolución de nombres de multidifusión para evitar que los sistemas utilicen consultas LLMNR.
- Uso de la directiva de grupo: Configuración del equipoPlantillas administrativasRedCliente DNS Desactivar resolución de nombre de multidifusión = Habilitado (para administrar un DC de Windows 2003, use las herramientas de administración remota del servidor para Windows 7)
- Usando el Registro solo para Windows Vista/7/10 Home Edition: HKEY_LOCAL_MACHINESOFTWAREPoliciesMicrosoft Windows NTDNSClient EnableMulticast
4. Suplantación de DNS IPV6
La suplantación de DNS de IPv6 ocurre cuando se implementa un servidor DHCPv6 no autorizado en una red. Dado que los sistemas Windows prefieren IPv6 a IPv4, los clientes habilitados para IPv6 utilizarán el servidor DHCPv6 si está disponible. Durante un ataque, se asigna un servidor DNS IPv6 a estos clientes, mientras mantienen sus configuraciones IPv4. Esto permite al atacante interceptar solicitudes de DNS reconfigurando los clientes para que utilicen el sistema del atacante como servidor DNS.
Recomendaciones:
Deshabilite IPv6 a menos que sea necesario para operaciones comerciales. Como deshabilitar IPv6 podría causar una interrupción en los servicios de red, se recomienda encarecidamente probar esta configuración antes de realizar una implementación masiva. Una solución alternativa sería implementar protección DHCPv6 en los conmutadores de red. Básicamente, DHCPv6 Guard garantiza que sólo una lista autorizada de servidores DHCP pueda asignar concesiones a clientes.
5. Sistemas Microsoft Windows obsoletos
Un sistema Microsoft Windows obsoleto es vulnerable a ataques porque ya no recibe actualizaciones de seguridad. Esto lo convierte en un objetivo fácil para los atacantes, que pueden explotar sus debilidades y potencialmente recurrir a otros sistemas y recursos de la red.
Recomendaciones:
Reemplace las versiones obsoletas de Microsoft Windows con sistemas operativos actualizados y compatibles con el fabricante.
6. Omisión de autenticación IPMI
La interfaz de gestión de plataforma inteligente (IPMI) permite a los administradores gestionar servidores de forma centralizada. Sin embargo, algunos servidores tienen vulnerabilidades que permiten a los atacantes eludir la autenticación y extraer hashes de contraseñas. Si la contraseña es predeterminada o débil, los atacantes pueden obtener la contraseña en texto sin cifrar y obtener acceso remoto.
Recomendaciones:
Dado que no hay ningún parche disponible para esta vulnerabilidad en particular, se recomienda realizar una o más de las siguientes acciones.
- Restrinja el acceso de IPMI a una cantidad limitada de sistemas: sistemas que requieren acceso con fines administrativos.
- Deshabilite el servicio IPMI si no es necesario para las operaciones comerciales.
- Cambie la contraseña de administrador predeterminada por una que sea segura y compleja.
- Utilice únicamente protocolos seguros, como HTTPS y SSH, en el servicio para limitar las posibilidades de que un atacante obtenga con éxito esta contraseña en un ataque de intermediario.
7. Microsoft Windows RCE (BlueKeep)
Durante las pruebas se identificaron sistemas vulnerables a CVE-2019-0708 (BlueKeep). Esta vulnerabilidad de Microsoft Windows es altamente explotable debido a las herramientas y el código disponibles, lo que permite a los atacantes obtener control total sobre los sistemas afectados.
Recomendaciones:
Se recomienda aplicar actualizaciones de seguridad en el sistema afectado. Además, la organización debe evaluar su programa de gestión de parches para determinar el motivo de la falta de actualizaciones de seguridad. Como esta vulnerabilidad es una vulnerabilidad comúnmente explotada y podría resultar en un acceso significativo, debe remediarse de inmediato.
8. Reutilización de la contraseña del administrador local
Durante la prueba de penetración interna, se descubrió que muchos sistemas compartían la misma contraseña de administrador local. Poner en peligro una cuenta de administrador local proporcionaba acceso a múltiples sistemas, lo que aumentaba significativamente el riesgo de un compromiso generalizado dentro de la organización.
Recomendaciones:
Utilice una solución como la Solución de contraseña de administrador local de Microsoft (LDAPS) para garantizar que la contraseña del administrador local en varios sistemas no sea coherente.
9. Microsoft Windows RCE (EternalBlue)
Durante las pruebas se identificaron sistemas vulnerables a MS17-010 (EternalBlue). Esta vulnerabilidad de Windows es altamente explotable debido a las herramientas y el código disponibles, lo que permite a los atacantes obtener control total sobre los sistemas afectados.
Recomendaciones:
Se recomienda aplicar actualizaciones de seguridad en el sistema afectado. Además, la organización debe evaluar su programa de gestión de parches para determinar el motivo de la falta de actualizaciones de seguridad. Como esta vulnerabilidad es una vulnerabilidad comúnmente explotada y podría resultar en un acceso significativo, debe remediarse de inmediato.
10. Inyección CGI Dell EMC IDRAC 7/8 (CVE-2018-1207)
Las versiones de Dell EMC iDRAC7/iDRAC8 anteriores a la 2.52.52.52 son vulnerables a CVE-2018-1207, un problema de inyección de comandos. Esto permite a atacantes no autenticados ejecutar comandos con privilegios de root, dándoles control total sobre el dispositivo iDRAC.
Recomendaciones:
Actualice el firmware a la última versión posible.
Causas comunes de hallazgos críticos del Pentest
Si bien cada uno de estos hallazgos surgió de un exploit diferente, hay algunas cosas que muchos de ellos tienen en común. Las causas fundamentales de muchos de los principales hallazgos críticos del pentest siguen siendo las debilidades de configuración y las deficiencias de parches.
Debilidades de configuración
Las debilidades de configuración generalmente se deben a servicios reforzados incorrectamente dentro de los sistemas implementados por los administradores y contienen problemas como credenciales débiles o predeterminadas, servicios innecesariamente expuestos o permisos de usuario excesivos. Aunque algunas de las debilidades de la configuración pueden explotarse en circunstancias limitadas, el impacto potencial de un ataque exitoso será relativamente alto.
Deficiencias de parcheo
Las deficiencias en la aplicación de parches siguen siendo un problema importante para las organizaciones y normalmente se deben a motivos como la compatibilidad y, a menudo, problemas de configuración dentro de la solución de gestión de parches.
Estos dos problemas principales por sí solos demuestran la necesidad de realizar pruebas de penetración frecuentes. Si bien las pruebas una vez al año han sido el enfoque habitual para las pruebas de penetración, las pruebas continuas proporcionan una cantidad significativa de valor para identificar brechas significativas más cercanas al contexto en tiempo real de cómo los riesgos de seguridad pueden conducir a compromisos importantes. Por ejemplo, el escáner Nessus de Tenable podría identificar LLMNR pero solo como informativo. Las pruebas de penetración de red trimestrales o mensuales con vPenTest de Vonahi no sólo resaltan estos problemas sino que también explican su impacto potencial.
¿Qué es vPenTest?
vPenTest es una plataforma líder de pruebas de penetración de redes totalmente automatizada que ayuda de forma proactiva a reducir los riesgos de seguridad y las infracciones en todo el entorno de TI de una organización. Elimina las molestias de encontrar un probador de penetración de redes calificado y proporciona resultados de calidad que comunican qué vulnerabilidades se identificaron, qué riesgo presentan para la organización y cómo remediar esas vulnerabilidades desde un punto de vista técnico y estratégico. Lo mejor de todo es que puede ayudar a reforzar las capacidades de gestión del cumplimiento de la organización.
vPenTest: características y beneficios clave
- Evaluaciones integrales: Ejecute pruebas internas y externas para examinar minuciosamente todos los puntos de entrada potenciales en su red.
- Simulación del mundo real: Simule amenazas cibernéticas del mundo real para obtener información valiosa sobre su postura de seguridad.
- Informes oportunos y procesables: Reciba informes detallados y fáciles de entender con vulnerabilidades, sus impactos y acciones recomendadas.
- Pruebas en curso: Establezca intervalos de prueba mensuales para garantizar medidas de seguridad proactivas y receptivas.
- Respuesta eficiente a incidentes: Identifique las vulnerabilidades con antelación para prepararse eficazmente para posibles incidentes de seguridad.
- Alineación de cumplimiento: Cumpla con los requisitos de cumplimiento normativo, como SOC2, PCI DSS, HIPAA, ISO 27001 y requisitos de seguros cibernéticos.
Obtenga una prueba gratuita hoy y vea lo fácil que es utilizar vPenTest para identificar de forma proactiva sus riesgos de ciberataques en tiempo real.