Miles de sistemas integrados sin protección en Internet
En los últimos años, los investigadores han demostrado en repetidas ocasiones la facilidad con que los servicios de Web Server son insertados en dispositivos tales como impresoras multifuncionales y sistemas de VoIP y pueden ser rastreados a través de Internet.
En la Conferencia RSA, Michael Sutton de la empresa Zscaler ha proporcionado nuevas pruebas de que muchos servidores Web integrados (EWS) pueden ser accedidos fácilmente por terceros desde internet. En lo que se refiere a impresoras multifunción o sistemas de videoconferencia, esto puede causar graves fugas de datos.
EL objetivo de Sutton fue para escanear un millón de servidores web y crear un catálogo de todos los servidores web integrados que se encuentran. Sus primeros ensayos involucraron Nmap y la base de datos de Google Hacking (GHDB). Sin embargo, Nmap no demostró ser muy exitosa, ya que no detecta las huellas necesarias de los dispositivos buscados y Google no permite consultas a través de scripting y habría requerido mucho tiempo de análisis manual.
El investigador de seguridad terminó utilizando el escáner en línea Shodan. Sutton explicó que Shodan tiene una enorme base de datos que contiene información del encabezado HTTP de los sistemas, permitiendo identificar los dispositivos con exactitud. El investigador ha introducido cadenas de caracteres típicos de las páginas web de los servidores Web integradas. Para automatizar el proceso, Sutton utiliza un script en Perl que sólo envían las consultas de las cabeceras a Shodan.
El análisis logró examinar un millón de servidores web en poco tiempo y acercó los siguientes resultados: muchos miles de dispositivos multi-función (más de 3.000 dispositivos de Canon, 1.200 fotocopiadoras Xerox, 20.000 dispositivos de Ricoh, entre otros), 8.000 dispositivos IOS de Cisco y cerca de 10.000 sistemas de VoIP no requieren ningún tipo de autenticación de inicio de sesión. Este último incluye 1.100 dispositivos por el fabricante alemán de Snom.
La mayoría de los dispositivos detectados no estaban protegidos por contraseñas, dijo Sutton. Esto significa que cualquier usuario de Internet puede acceder a su interfaz web a través de un navegador y ver los documentos que se almacenan en estas fotocopiadoras e impresoras, faxes entrantes a un número externo, o trabajos de exploración de registros. Con los dispositivos de HP, tales intrusiones pueden ser llevadas a cabo por un script que, cada segundo, llama a una URL, cuya única variable es el tiempo en formato UNIX.
La exploración de Sutton identificó más de 9.000 sistemas de video conferencia de Polycom y Tandberg (ahora Cisco). La razón más probable por la cual estos dispositivos son de acceso libre es que todos ellos utilizan el protocolo H.323 y requieren numerosos puertos para ser abierto en el firewall. El experto en seguridad utilizó un video para demostrar cómo se las arregló para controlar las salas de conferencias dirigidas a través de un sistema de videoconferencia accesible, que proporcionaba tanto el sonido como las imágenes.
La empresa de Sutton proporciona ahora el escáner brEWS de forma gratuita, que se especializa en la detección de servidores Web integrados. Para evitar poner el arma en las manos de los criminales, los análisis sólo se puede ejecutar en una subred / 24.
Fuente: H-Online
En la Conferencia RSA, Michael Sutton de la empresa Zscaler ha proporcionado nuevas pruebas de que muchos servidores Web integrados (EWS) pueden ser accedidos fácilmente por terceros desde internet. En lo que se refiere a impresoras multifunción o sistemas de videoconferencia, esto puede causar graves fugas de datos.
EL objetivo de Sutton fue para escanear un millón de servidores web y crear un catálogo de todos los servidores web integrados que se encuentran. Sus primeros ensayos involucraron Nmap y la base de datos de Google Hacking (GHDB). Sin embargo, Nmap no demostró ser muy exitosa, ya que no detecta las huellas necesarias de los dispositivos buscados y Google no permite consultas a través de scripting y habría requerido mucho tiempo de análisis manual.
El investigador de seguridad terminó utilizando el escáner en línea Shodan. Sutton explicó que Shodan tiene una enorme base de datos que contiene información del encabezado HTTP de los sistemas, permitiendo identificar los dispositivos con exactitud. El investigador ha introducido cadenas de caracteres típicos de las páginas web de los servidores Web integradas. Para automatizar el proceso, Sutton utiliza un script en Perl que sólo envían las consultas de las cabeceras a Shodan.
El análisis logró examinar un millón de servidores web en poco tiempo y acercó los siguientes resultados: muchos miles de dispositivos multi-función (más de 3.000 dispositivos de Canon, 1.200 fotocopiadoras Xerox, 20.000 dispositivos de Ricoh, entre otros), 8.000 dispositivos IOS de Cisco y cerca de 10.000 sistemas de VoIP no requieren ningún tipo de autenticación de inicio de sesión. Este último incluye 1.100 dispositivos por el fabricante alemán de Snom.
La mayoría de los dispositivos detectados no estaban protegidos por contraseñas, dijo Sutton. Esto significa que cualquier usuario de Internet puede acceder a su interfaz web a través de un navegador y ver los documentos que se almacenan en estas fotocopiadoras e impresoras, faxes entrantes a un número externo, o trabajos de exploración de registros. Con los dispositivos de HP, tales intrusiones pueden ser llevadas a cabo por un script que, cada segundo, llama a una URL, cuya única variable es el tiempo en formato UNIX.
La exploración de Sutton identificó más de 9.000 sistemas de video conferencia de Polycom y Tandberg (ahora Cisco). La razón más probable por la cual estos dispositivos son de acceso libre es que todos ellos utilizan el protocolo H.323 y requieren numerosos puertos para ser abierto en el firewall. El experto en seguridad utilizó un video para demostrar cómo se las arregló para controlar las salas de conferencias dirigidas a través de un sistema de videoconferencia accesible, que proporcionaba tanto el sonido como las imágenes.
La empresa de Sutton proporciona ahora el escáner brEWS de forma gratuita, que se especializa en la detección de servidores Web integrados. Para evitar poner el arma en las manos de los criminales, los análisis sólo se puede ejecutar en una subred / 24.
Fuente: H-Online
0 Comments:
Publicar un comentario
Gracias por dejar un comentario en Segu-Info.
Gracias por comentar!