Las diez vulnerabilidades de seguridad en Internet más críticas

Informe original del
SANS Institute

Posted with permission of the Sans Institute
Publicado con permiso del Sans Institute

Cómo eliminar las diez vulnerabilidades de seguridad en Internet más críticas

El consenso de los expertos

Versión 1.32 - 18 de enero de 2001
Copyright, 2000, The SANS Institute

¡Detener los accesos no autorizados!


La mayoría de los ataques con éxito a ordenadores mediante Internet se pueden agrupar como la utilización de un reducido número de vulnerabilidades.  La mayor parte de los ordenadores comprometidos durante el incidente conocido como ”Solar Sunrise Pentagon” fueron atacados mediante una vulnerabilidad concreta.  Una vulnerabilidad similar a esa fue la que se utilizó para controlar la mayor parte de los ordenadores que posteriormente se utilizaron masivamente en los ataques distribuidos de negación de servicio.  De la misma forma, los recientes accesos ilegales a servidores web basados en Windows NT están asociados a la utilización de una vulnerabilidad sobradamente conocida.  Otra vulnerabilidad, todavía, suficientemente estudiada  para ser la causa de permitir el control ilegal de más de 30.000 sistemas Linux.

Actualizaciones

v. 1.32 -18/01/01

Curso, en inglés, sobre esta recopilación de vulnerabilidades. El curso incluye una presentación (en formato .PDF) y la explicación (en formato .MP3).
 

v. 1.31 -28/12/00

Enlace a una guía que explica, paso a paso, a los administradores de sistemas como determinar el impacto de estas diez vulnerabilidades de seguridad en sus sistemas (Solaris y BSDI).
 

v. 1.30 -19/11/00

Corrección del título de la sección sobre sendmail.
 

v. 1.29 -19/11/00

Actualización de los sistemas afectados por vulnerabilidades en bind.
 

v. 1.28 -08/11/00

Más información en el Apéndice B.
 

v. 1.27 -12/09/00

Actualización del Apéndice B.
 

Downloads

Documento en formato .PDF


Con sólo algunas vulnerabilidades, en definitiva, se realizan la mayor parte de los ataques con éxito debido, en gran parte a que los atacantes son oportunistas – utilizan la vía más fácil y conveniente. Utilizan las brechas mejor conocidas mediante el uso de diversas herramientas de ataques muy efectivas y ampliamente difundidas. Se aprovechan de aquellas organizaciones que no aplican los parches para resolver los problemas, realizando habitualmente ataques de forma indiscriminada, rastreando en Internet por la existencia de sistemas vulnerables.

La mayor parte de los administradores de sistemas afirman que no han solucionado estas brechas de seguridad por la simple razón que desconocen cuales de los 500 problemas potenciales son los más peligrosos y carecen del tiempo necesario para poder corregirlos todos. Hemos preparado una guía que explica, paso a paso, como los administradores de sistemas pueden determinar el impacto de estas vulnerabilidades.

La comunidad de profesionales de la seguridad informática desea resolver este problema identificando las áreas de seguridad en Internet más críticas – el grupo de vulnerabilidades que los administradores de sistemas deben eliminar de forma inmediata. Esta lista consensuada, a la que denominaremos Top Ten, es un ejemplo sin precedentes de cooperación activa entre la industria, los organismos públicos y las instituciones educativas.  Los participantes provienen de las agencias federales con mayor conciencia en temas de seguridad, de los principales distribuidores de productos de seguridad, de consultoras especializadas; de diversas universidades con programas especializados en seguridad y  del CERT/CC y el SANS Institute.  Al final del articulo incluimos la relación completa de participantes.

Esta es la lista de los 10 problemas de seguridad en Internet más frecuentemente utilizados, con la relación de acciones que deben tomarse para proteger los sistemas de las mismas.

Tres notas para el lector:

Nota 1. Este es un documento en constante evolución.  Incluye las instrucciones iniciales, paso a paso y direcciones para solucionar los defectos.  Iremos actualizando las instrucciones a medida que vayamos identificando cuales son los pasos más convenientes; se agradecerán los comentarios del lector al respecto.  Este documento es un consenso de la comunidad –su experiencia en la eliminación de las vulnerabilidades puede ayudar a los que vengan detrás. Para enviar sus sugerencias, envíe un mensaje a <barcelona@selseg.com> utilizando “Comentarios al Top Ten” como tema del mismo. Para obtener la versión más actualizada de estas instrucciones, envíe un mensaje a <barcelona@selseg.com> con el tema “ Documento Top Ten”.

Nota 2. Encontrará referencia a registros CVE – los números de referencia de las Vulnerabilidades y Exposiciones más Habituales, que se corresponden con una vulnerabilidad.  Los números CAN corresponden a propuestas de CVE que no han sido totalmente verificadas.  Para información adicional sobre el proyecto CVE, visite http://cve.mitre.org.

Nota 3. Al final de la lista, encontrará una sección extra con una relación de los puertos utilizados por los servicios habitualmente sondeados y atacados. Bloqueando el tráfico a dichos puertos en su cortafuegos u otro dispositivo de protección perimetral, obtendrá un nivel extra de defensa que le ayuda a protegerse de los errores de configuración.

Contenido

  1. Debilidades de BIND: nxt, qinv e in.named permiten comprometer la cuenta de root inmediatamente.
     
  2. Programas CGI y extensiones de aplicación (por ejemplo, ColdFusion) instalados en servidores web.
     
  3. Debilidades en las llamadas de procedimiento remoto (RPC) de rpc.ttdbserverd (ToolTalk), rpc.cmsd (Calendar Manager) y rpc.statd que permiten la obtención inmediata de privilegio de root.
     
  4. Agujero de seguridad RDS en Microsoft Internet Information Server (IIS).
     
  5. Debilidad por desbordamiento de buffer en sendmail; ataques mediante áreas de interconexión de memoria y MIMEbo; todas ellas permiten comprometer la cuenta de root inmediatamente.
     
  7. Compartición de archivos global y compartición de información inapropiada mediante NetBIOS y los puertos 135 -> 139 en Windows NT (445 en Windows 2000), exports de NFS en Unix (puerto 2049), compartición vía web en Macintosh y Appleshare/IP en puertos 80, 427 y 548.
     
  8. Cuentas de usuario, especialmente la de root o administrador, sin contraseña o con contraseña poco segura.
     
  9. Vulnerabilidades de desbordamiento de buffer o configuración incorrecta en IMAP y POP3.
     
  10. Nombres de comunidad SNMP por omisión (‘public’ y ‘private’).
     

Información adicional

  • Un punto prioritario para los usuarios y/o administradores de Windows: varios agujeros de script en Internet Explorer y Office 2000.
     
  • Protección perimetral para una línea adicional de defensa
     
  • Información de soporte de los diversos fabricantes de Unix
     
  • Guía, para administradores de sistemas, que ayuda a los administradores de sistemas a verificar el impacto de estas vulnerabilidades en sus sistemas (Solaris y BSDI).
     
  • Curso, en inglés, sobre el material de este informe.

[Página Inicial] [Soluciones] [Socios] [Informes] [Ofertas de Empleo] [Contacto]

© Copyright The Sans Institute, 2000-2001
© Copyright 2000-2001 de la traducción, Selesta Seguridad Informática

Declaración de privacidad