Una de las formas m\u00e1s efectivas para que los profesionales de tecnolog\u00eda de la informaci\u00f3n (TI) descubran las debilidades de una empresa antes de que lo hagan los malos son las pruebas de penetraci\u00f3n. Al simular ataques cibern\u00e9ticos del mundo real, las pruebas de penetraci\u00f3n, a veces llamadas pentests, brindan informaci\u00f3n valiosa sobre la postura de seguridad de una organizaci\u00f3n, revelando debilidades que podr\u00edan conducir potencialmente a violaciones de datos u otros incidentes de seguridad. <\/p>\n
Vonahi Security, los creadores de vPenTest, una plataforma automatizada de pruebas de penetraci\u00f3n de redes, acaban de publicar su informe anual: “Los 10 principales hallazgos cr\u00edticos del Pentest 2024<\/a>.” En este informe, Vonahi Security realiz\u00f3 m\u00e1s de 10\u00a0000 pentests de red automatizados, descubriendo los 10 principales hallazgos de pentest de red interna en m\u00e1s de 1200 organizaciones.<\/p>\n Profundicemos en cada uno de estos hallazgos cr\u00edticos para comprender mejor las vulnerabilidades explotables comunes que enfrentan las organizaciones y c\u00f3mo abordarlas de manera efectiva.<\/p>\n DNS de multidifusi\u00f3n (mDNS) es un protocolo utilizado en redes peque\u00f1as para resolver nombres DNS sin un servidor DNS local. Env\u00eda consultas a la subred local, permitiendo que cualquier sistema responda con la direcci\u00f3n IP solicitada. Esto puede ser aprovechado por atacantes que pueden responder con la direcci\u00f3n IP de su propio sistema.<\/p>\n Recomendaciones:<\/strong><\/p>\n El m\u00e9todo m\u00e1s eficaz para prevenir la explotaci\u00f3n es desactivar mDNS por completo si no se est\u00e1 utilizando. Dependiendo de la implementaci\u00f3n, esto se puede lograr desactivando el servicio Apple Bonjour o avahi-daemon.<\/p><\/blockquote>\n El servicio de nombres NetBIOS (NBNS) es un protocolo utilizado en redes internas para resolver nombres DNS cuando un servidor DNS no est\u00e1 disponible. Transmite consultas a trav\u00e9s de la red y cualquier sistema puede responder con la direcci\u00f3n IP solicitada. Esto puede ser aprovechado por atacantes que pueden responder con la direcci\u00f3n IP de su propio sistema. <\/p>\n Recomendaciones:<\/strong><\/p>\n Las siguientes son algunas estrategias para prevenir el uso de NBNS en un entorno Windows o reducir el impacto de los ataques de NBNS Spoofing: <\/p>\n La resoluci\u00f3n de nombres de multidifusi\u00f3n local de enlace (LLMNR) es un protocolo utilizado en redes internas para resolver nombres DNS cuando un servidor DNS no est\u00e1 disponible. Transmite consultas a trav\u00e9s de la red, lo que permite que cualquier sistema responda con la direcci\u00f3n IP solicitada. Esto puede ser aprovechado por atacantes que pueden responder con la direcci\u00f3n IP de su propio sistema.<\/p>\n Recomendaciones:<\/strong><\/p>\n El m\u00e9todo m\u00e1s eficaz para evitar la explotaci\u00f3n es configurar la clave de registro de resoluci\u00f3n de nombres de multidifusi\u00f3n para evitar que los sistemas utilicen consultas LLMNR. <\/p>\n La suplantaci\u00f3n de DNS de IPv6 ocurre cuando se implementa un servidor DHCPv6 no autorizado en una red. Dado que los sistemas Windows prefieren IPv6 a IPv4, los clientes habilitados para IPv6 utilizar\u00e1n el servidor DHCPv6 si est\u00e1 disponible. Durante un ataque, se asigna un servidor DNS IPv6 a estos clientes, mientras mantienen sus configuraciones IPv4. Esto permite al atacante interceptar solicitudes de DNS reconfigurando los clientes para que utilicen el sistema del atacante como servidor DNS.<\/p>\n Recomendaciones:<\/strong><\/p>\n Deshabilite IPv6 a menos que sea necesario para operaciones comerciales. Como deshabilitar IPv6 podr\u00eda causar una interrupci\u00f3n en los servicios de red, se recomienda encarecidamente probar esta configuraci\u00f3n antes de realizar una implementaci\u00f3n masiva. Una soluci\u00f3n alternativa ser\u00eda implementar protecci\u00f3n DHCPv6 en los conmutadores de red. B\u00e1sicamente, DHCPv6 Guard garantiza que s\u00f3lo una lista autorizada de servidores DHCP pueda asignar concesiones a clientes.<\/p><\/blockquote>\n Un sistema Microsoft Windows obsoleto es vulnerable a ataques porque ya no recibe actualizaciones de seguridad. Esto lo convierte en un objetivo f\u00e1cil para los atacantes, que pueden explotar sus debilidades y potencialmente recurrir a otros sistemas y recursos de la red.<\/p>\n Recomendaciones:<\/strong><\/p>\n Reemplace las versiones obsoletas de Microsoft Windows con sistemas operativos actualizados y compatibles con el fabricante.<\/p><\/blockquote>\n La interfaz de gesti\u00f3n de plataforma inteligente (IPMI) permite a los administradores gestionar servidores de forma centralizada. Sin embargo, algunos servidores tienen vulnerabilidades que permiten a los atacantes eludir la autenticaci\u00f3n y extraer hashes de contrase\u00f1as. Si la contrase\u00f1a es predeterminada o d\u00e9bil, los atacantes pueden obtener la contrase\u00f1a en texto sin cifrar y obtener acceso remoto.<\/p>\n Recomendaciones:<\/strong><\/p>\n Dado que no hay ning\u00fan parche disponible para esta vulnerabilidad en particular, se recomienda realizar una o m\u00e1s de las siguientes acciones.<\/p>\n Durante las pruebas se identificaron sistemas vulnerables a CVE-2019-0708 (BlueKeep). Esta vulnerabilidad de Microsoft Windows es altamente explotable debido a las herramientas y el c\u00f3digo disponibles, lo que permite a los atacantes obtener control total sobre los sistemas afectados.<\/p>\n Recomendaciones:<\/strong><\/p>\n Se recomienda aplicar actualizaciones de seguridad en el sistema afectado. Adem\u00e1s, la organizaci\u00f3n debe evaluar su programa de gesti\u00f3n de parches para determinar el motivo de la falta de actualizaciones de seguridad. Como esta vulnerabilidad es una vulnerabilidad com\u00fanmente explotada y podr\u00eda resultar en un acceso significativo, debe remediarse de inmediato.<\/p><\/blockquote>\n Durante la prueba de penetraci\u00f3n interna, se descubri\u00f3 que muchos sistemas compart\u00edan la misma contrase\u00f1a de administrador local. Poner en peligro una cuenta de administrador local proporcionaba acceso a m\u00faltiples sistemas, lo que aumentaba significativamente el riesgo de un compromiso generalizado dentro de la organizaci\u00f3n.<\/p>\n Recomendaciones:<\/strong><\/p>\n Utilice una soluci\u00f3n como la Soluci\u00f3n de contrase\u00f1a de administrador local de Microsoft (LDAPS) para garantizar que la contrase\u00f1a del administrador local en varios sistemas no sea coherente.<\/p><\/blockquote>\n Durante las pruebas se identificaron sistemas vulnerables a MS17-010 (EternalBlue). Esta vulnerabilidad de Windows es altamente explotable debido a las herramientas y el c\u00f3digo disponibles, lo que permite a los atacantes obtener control total sobre los sistemas afectados.<\/p>\n Recomendaciones:<\/strong><\/p>\n Se recomienda aplicar actualizaciones de seguridad en el sistema afectado. Adem\u00e1s, la organizaci\u00f3n debe evaluar su programa de gesti\u00f3n de parches para determinar el motivo de la falta de actualizaciones de seguridad. Como esta vulnerabilidad es una vulnerabilidad com\u00fanmente explotada y podr\u00eda resultar en un acceso significativo, debe remediarse de inmediato.<\/p><\/blockquote>\n Las versiones de Dell EMC iDRAC7\/iDRAC8 anteriores a la 2.52.52.52 son vulnerables a CVE-2018-1207, un problema de inyecci\u00f3n de comandos. Esto permite a atacantes no autenticados ejecutar comandos con privilegios de root, d\u00e1ndoles control total sobre el dispositivo iDRAC.<\/p>\n Recomendaciones:<\/strong><\/p>\n Actualice el firmware a la \u00faltima versi\u00f3n posible.<\/p><\/blockquote>\n Si bien cada uno de estos hallazgos surgi\u00f3 de un exploit diferente, hay algunas cosas que muchos de ellos tienen en com\u00fan. Las causas fundamentales de muchos de los principales hallazgos cr\u00edticos del pentest siguen siendo las debilidades de configuraci\u00f3n y las deficiencias de parches. <\/p>\n Las debilidades de configuraci\u00f3n generalmente se deben a servicios reforzados incorrectamente dentro de los sistemas implementados por los administradores y contienen problemas como credenciales d\u00e9biles o predeterminadas, servicios innecesariamente expuestos o permisos de usuario excesivos. Aunque algunas de las debilidades de la configuraci\u00f3n pueden explotarse en circunstancias limitadas, el impacto potencial de un ataque exitoso ser\u00e1 relativamente alto.<\/p>\n Las deficiencias en la aplicaci\u00f3n de parches siguen siendo un problema importante para las organizaciones y normalmente se deben a motivos como la compatibilidad y, a menudo, problemas de configuraci\u00f3n dentro de la soluci\u00f3n de gesti\u00f3n de parches. <\/p>\n Estos dos problemas principales por s\u00ed solos demuestran la necesidad de realizar pruebas de penetraci\u00f3n frecuentes. Si bien las pruebas una vez al a\u00f1o han sido el enfoque habitual para las pruebas de penetraci\u00f3n, las pruebas continuas proporcionan una cantidad significativa de valor para identificar brechas significativas m\u00e1s cercanas al contexto en tiempo real de c\u00f3mo los riesgos de seguridad pueden conducir a compromisos importantes. Por ejemplo, el esc\u00e1ner Nessus de Tenable podr\u00eda identificar LLMNR pero solo como informativo. Las pruebas de penetraci\u00f3n de red trimestrales o mensuales con vPenTest de Vonahi no s\u00f3lo resaltan estos problemas sino que tambi\u00e9n explican su impacto potencial.<\/p>\n vPenTest es una plataforma l\u00edder de pruebas de penetraci\u00f3n de redes totalmente automatizada que ayuda de forma proactiva a reducir los riesgos de seguridad y las infracciones en todo el entorno de TI de una organizaci\u00f3n. Elimina las molestias de encontrar un probador de penetraci\u00f3n de redes calificado y proporciona resultados de calidad que comunican qu\u00e9 vulnerabilidades se identificaron, qu\u00e9 riesgo presentan para la organizaci\u00f3n y c\u00f3mo remediar esas vulnerabilidades desde un punto de vista t\u00e9cnico y estrat\u00e9gico. Lo mejor de todo es que puede ayudar a reforzar las capacidades de gesti\u00f3n del cumplimiento de la organizaci\u00f3n.<\/p>\n Obtenga una prueba gratuita hoy y vea lo f\u00e1cil que es utilizar vPenTest para identificar de forma proactiva sus riesgos de ciberataques en tiempo real. <\/p>\n \u00a1Pruebe vPenTest gratis!<\/a><\/p>\n <\/p>\nLos 10 principales hallazgos y recomendaciones de Pentest<\/strong><\/h2>\n
1. Suplantaci\u00f3n de DNS de multidifusi\u00f3n (MDNS)<\/strong><\/h3>\n
2. Falsificaci\u00f3n del servicio de nombres NetBIOS (NBNS)<\/strong><\/h3>\n
\n
\n
3. Falsificaci\u00f3n de resoluci\u00f3n de nombres de multidifusi\u00f3n local de enlace (LLMNR)<\/strong><\/h3>\n
\n
\n
4. Suplantaci\u00f3n de DNS IPV6<\/strong><\/h3>\n
5. Sistemas Microsoft Windows obsoletos<\/strong><\/h3>\n
6. Omisi\u00f3n de autenticaci\u00f3n IPMI<\/strong><\/h3>\n
\n
\n
7. Microsoft Windows RCE (BlueKeep)<\/strong><\/h3>\n
8. Reutilizaci\u00f3n de la contrase\u00f1a del administrador local<\/strong><\/h3>\n
9. Microsoft Windows RCE (EternalBlue)<\/strong><\/h3>\n
10. Inyecci\u00f3n CGI Dell EMC IDRAC 7\/8 (CVE-2018-1207)<\/strong><\/h3>\n
Causas comunes de hallazgos cr\u00edticos del Pentest<\/strong><\/h2>\n
Debilidades de configuraci\u00f3n <\/strong><\/h3>\n
Deficiencias de parcheo <\/strong><\/h3>\n
\u00bfQu\u00e9 es vPenTest?<\/strong><\/h2>\n
![\"vPenTest\"](\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2024\/06\/Los-10-principales-hallazgos-criticos-del-Pentest-2024-lo-que.png\" "\\"vPenTest\\"\/")
<\/a><\/div>\nvPenTest: caracter\u00edsticas y beneficios clave<\/strong><\/h3>\n
\n