22 junio 2009

Hackeos Memorables: Metasploit

Estoy seguro que todos los profesionales y aficionados a la seguridad informática, hemos oido hablar (o convenientemente utilizado alguna vez), de Metasploit, el framework de herramientas de seguridad o en realidad su colección de exploits ya preparados. Resulta cuanto menos paradójico que la propia ubicación que alberga la imagen web de Metasploit haya sido víctima de un ataque (en realidad un DoS).

Así fue, allá por Junio del 2008, el servidor web para las descargas de Metasploit, dejó de responder. En su lugar se podía ver una web que decía en modo jocoso: "hacked by sunwear ! just for fun".

¿Cómo sucedió? Según HD Moore, el creador de Metasploit, el servidor en concreto nunca llegó a ser comprometido de forma directa. Es decir, que los paquetes no fueron alterados ni troyanizados como se llegó a sospechar inicialmente. Para llegar a efectuar el DoS, los atacantes lograron penetrar en otra máquina de la misma red (en el mismo ISP). De esta manera, fueron capaces de generar un ataque de ARP Spoofing contra todos los servidores de esa subred, incluido el de Metasploit, de manera que envenenaban su caché ARP a la hora de definir el gateway por defecto. Así, todas las peticiones, no sólo hacia Metasploit, sino hacia todos los servidores que estaban en la misma red, se redirigían a una página china con el contenido de "Hacked by Sunwear!" mediante un Man in The Middle que se encargaba de hacer el defacement.

Según explica HD Moore, el problema se solucionó añadiendo de forma estática una entrada con la correspondencia IP/MAC reales del gateway por defecto y por supuesto notificando al ISP del problema.

Mis dudas ante este incidente son: ¿cómo logró HD Moore entrar en su máquina de forma remota si su servidor resolvía mal la ruta de vuelta? Es decir, a todos los que hemos tenido que administrar máquinas remotamente nos ha pasado alguna vez (me incluyo), a la hora de hacer alguna labor de cambio de dirección IP o de gateway, o de instalación de software cortafuegos, etc,... que hemos perdido la conectividad con la máquina en remoto. Las únicas soluciones para acceder a tu máquina es ir en modo consola y conseguir de nuevo la conectividad con tu red para poder seguir trabajando remotamente con la máquina, esto es pidiendo a la gente del ISP que te añada la entrada ARP válida. Otra opción posible es que HD Moore tuviera acceso a un switch KVM y que desde ahí pudiera estar ya dentro de la red interna. De esta manera, el ARP spoofing no le afectaría y podría hacer las modificaciones oportunas en su servidor.


10 comments :

juanma dijo...

Cabe la posibilidad de que accediera por una interfaz de gestión, conectada a otra red, por ejemplo conectada a un RAS, pensada para realizar este tipo de gestiones y además no tener que abrir puertos de administración por la IP de publicación.
Saludos,
Juanma

Lorenzo Martínez dijo...

@Juanma -> un KVM actuaría de esta misma forma que describes tú. Un interfaz de gestión accesible mediante una red con un direccionamiento IP no comprometido o un acceso RAS con o sin mecanismo de callback...

Jubjub dijo...

Suizas una llamadita al soporte (vale, es algo improbable :P )

juanma dijo...

@Lorenzo -> Sé lo que es un KVM y no coincido contigo, seguramente me he quedado antiguado pero para mi es un simple switch de teclado, vídeo y ratón. Es común tenerlos en datacenters para operar todos tus servidores localmente con un único teclado ratón y monitor, pero si hospedas tu sitio en otro continente lo que usas para gestionar el servidor ya no sería un KVM (según lo que yo entiendo). Pero bueno.. con los avances no me extrañaría que existan virtual KVMs o algo por el estilo :-)
Saludos!

Lorenzo Martínez dijo...

@Juanma -> Para mí hasta hace tiempo un KVM era como bien apuntas un switch de monitores y teclados (de hecho tengo uno muy sencillito en casa). Sin embargo, desde hace tiempo ya, existe lo que se llama KVM over IP (en servidores HP existe otras tecnlogías como interfaces ILO) que te dan funciones de consola pero vía IP.
Te dejo este enlace de uno de los fabricantes más populares de estos "cacharros" :D
http://www.avocent.com/Learnmore/Default.aspx?id=1088

No es por dar publicidad a unos o a otros, pero son los primeros que me han venido a la cabeza.

juanma dijo...

Si es que lo inventan todo... :-) No los conocía, muchas gracias por la info. Ya he aprendido algo nuevo.

eduardo abril dijo...

Este tipo de consolas que comentáis (KVM) son muy comunes hoy en día. No hace falta levantarse del sitio e ir físicamente hasta el servidor para cambiar su configuración de red.

Todos los "grandes" (dell, ibm, hitachi, ...) las tienen.

Saludos,
Eduardo.

Anónimo dijo...

No tengo yo tan claro que un ISP te deje acceder a sus máquinas via interfaz ILO o una red separada para la gestión. Lo más probable es que se notificara al soporte el incidente.

deltonos77 dijo...

Pues me parece que si, que algunos ISP te dejan acceder a el interfaz de administración de tu servidor "dedicado" previo paso por caja, porque als opciones por default que lleva no pasan de un simple reset de la maquina (cuantos kernel panic al actualizar...)

Saludos

P.D Lorenzo & Yago, próxima : Seguridad en dispositivos KVM "virtuales"...

jorge dijo...

Un hosting o un data center un poco grande permitirá el acceso mediante vpn a tu red de gestión. Es simple de montar, de gestionar y de monitorizar. Un buen firewall, un tacacs, y un syslog, harán confiable esta conexión.
Por supuesto no es barato.