Default password

Todos los fabricantes intentan que la instalación y mantenimiento de sus productos sea lo más simple posible para los administradores e integradores, de esta manera cada uno de nosotros podemos desplegar soluciones de forma fácil y rápida para probar sus funcionalidades y en definitiva comprobar la potencia que nos puede ofrecer una determinada solución a nuestra infraestructura IT. Sin embargo, esta rapidez y facilidad en la implantación de cualquier producto, junto con el “si funciona mejor no tocar”, puede tener connotaciones negativas para la organización si no se lee detalladamente las guías de instalación y configuración, ya que podemos dejar expuesta configuraciones por defecto o incluso contraseñas por defecto sin saberlo.

Una de las primeras cosas que se realizan al implantar cualquier producto es cambiar la contraseña de administrador de la solución que se está implantando, sin embargo por desconocimiento podemos dejar las credenciales por defecto del acceso en modo lectura o incluso permitir la gestión remota por defecto mediante HTTP, Telnet y/o SNMP. Dándome una “vuelta” por Internet, he podido encontrar multitud de equipos balanceadores Alteon con las credenciales por defecto del usuario “user”. Usuario que tan solo tiene permisos de lectura:

Radware Alteon

 

Algunos pensarán que un atacante poco puede hacer con un usuario en modo lectura, sin embargo obtendremos información relevante para la fase de enumeración del ataque, como por ejemplo:

• Obtener el fichero de configuración del balanceador.
• Conocer el direccionamiento interno de los servidores.
• Conocer el número de sesiones concurrentes del servicio balanceado, de esta manera además de detectar cuándo se producen los picos de red podemos determinar cuáles pueden ser los servicios más críticos para la organización.
• Saber los servicios publicados por cada servidor real.
• Averiguar el firmware instalado en el balanceador para comprobar si hay vulnerabilidades publicadas.
• Examinar la capacidad del equipo en cuanto a CPU, memoria RAM, interfaces, etc lo cual puede ser útil si el atacante trata de realizar un ataque DoS.
• Analizar los logs del equipo.

Nortel Alteon

Así que deberíamos revisar las configuraciones por defecto, cambiar las contraseñas por otras más robustas, limitar el acceso únicamente desde la red de gestión, es decir, no publicar la gestión remota del equipo desde todas las redes incluido Internet. Además de monitorizar los accesos a los equipos y aplicar las actualizaciones para corregir bugs y vulnerabilidades. Así que para la instalación de cualquier solución es importante contar con integradores especializados en el producto a implantar si queremos disponer de una instalación y configuración profesional.

Sin embargo, poco podremos hacer contra los fabricantes que instalan puertas traseras para “gestionar” remotamente los equipos ante alguna incidencia o fabricantes que incluyen puertas traseras pagadas por la NSA. Como vengo diciendo, creo que estamos vendidos por la escasa tecnología fabricada en España y por tanto tan solo nos queda confiar en la tecnología desarrollada fuera de nuestras fronteras.

Hasta luego compañeros.