Ing. Jesús Ramírez Pichardo (PMP, GCFA, GCFE, OPST, OPSA e ISO27001 Lead Auditor)

En Twitter: @whitexploit

Third-Party Software… ¿Aliados de los hackers? ¿Enemigos de los sistemas?

Antes de comenzar…

“Las opiniones expresadas en esta presentación son personales y no representan la política o posición oficial de mi empleador.”

Agenda

El socio i có odo

Problemática

Caso de estudio

Conclusiones y Recomendaciones

El “socio” incómodo

Third-Party Software:

“Es un programa desarrollado por un “tercero” que se instala en un sistema “base” para ampliar su funcionalidad estándar”.

Los sistemas “base”…

El “socio” incómodo:

Podríamos entender que un Third-Party Software es un “socio” de los sistemas “base”.

Pero…

Vulnerabilidades críticas en…Java:

(http://www.forbes.com/sites/eliseackerman/2013/01/11/us-department-of-homeland-security-calls-on-computer-users-to-disable-java/)

Vulnerabilidades críticas en…Flash Player:

(http://www.computerworld.com/article/2504180/mac-os-x/apple-patches-safari--blocks-outdated-flash-player.html)

Vulnerabilidades críticas en…Plugins de WP:

(http://www.zdnet.com/wordpress-plugin-vulns-affect-over-20-million-downloads-7000031703/or_update.html)

Vulnerabilidades críticas en…OpenSSL:

(http://www.pcworld.com/article/2140920/heartbleed-bug-in-openssl-puts-encrypted-communications-at-risk.html)

Problemática

Thirty Party Software responsable del 76% de vulnerabilidades en equipos de cómputo:

(http://secunia.com/vulnerability-review/vendor_update.html)

Java y Adobe: los “más vulnerables”:

(http://www.av-test.org/es/noticias/news-single-view/adobe-java-hacen-que-windows-sea-inseguro/)

Sistemas operativos son más inseguros por el software de “terceros”:

(http://computerhoy.com/noticias/software/windows-8-es-windows-mas-vulnerable-culpa-flash-9652)

Vulnerabilidades en WordPress:

(https://wpvulndb.com/statistics)

Top 10 de plugins WP más vulnerables:

(https://wpvulndb.com/statistics)

¿Y los parches apa?...

Los “Pros” del Third-Party Software:

Es un hecho que los Third-Party Software han abierto un mundo de posibilidades.

Han hecho que los sistemas “base” sean más versátiles

y cubran un sinnúmero de nuevas necesidades de los usuarios.

Los “Contras” del Third-Party Software:

Sin embargo, también han abierto las puertas a los hackers, quienes desde hace un par de años aprovechan sus vulnerabilidades como uno de los principales vectores de ataque para violentar los sistemas “base”.

Aun cuando dichos sistemas “base” cuenten con un

robusto nivel de seguridad informática.

Caso de estudio

WordPress Slideshow Gallery 1.4.6 Shell Upload

(http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2014-5460)

WordPress Slideshow Gallery 1.4.6 Shell Upload

Video demostración del ataque CVE-2014-5460:

https://www.youtube.com/watch?v=FuVr9YaUrbE

WordPress Slideshow Gallery 1.4.6 Shell Upload

1. Un atacante carga en WP un “web backdoor” a través del plugin vulnerable:

WordPress Slideshow Gallery 1.4.6 Shell Upload

2. El “web backdoor” está localizado en http://VICTIM/wordpress/wp-content/uploads/slideshow-gallery/backdoor.php:

WordPress Slideshow Gallery 1.4.6 Shell Upload

3. El atacante utiliza un cliente para comunicarse con el “web backdoor”. Ahora el atacante tiene una consola tipo “telnet”:

WordPress Slideshow Gallery 1.4.6 Shell Upload

4. Finalmente, el atacante tiene el control remoto del sitio web:

Conclusiones y Recomendaciones

¿Medida drástica?

Recomendaciones (1/4):

1. Instalar/habilitar el Third Party Software estrictamente NECESARIO.

2. Robustecer la configuración de seguridad del sistema “base” y de cada uno de sus “socios”.

Recomendaciones (2/4):

3. Actualizar responsablemente tanto el sistema “base” y sus “socios”.

Recomendaciones (3/4):

4. Complementar la protección de los equipos de cómputo con mecanismos preventivos y detectivos (antivirus, antispyware, antispam, firewall, control de contenido web, detector de intrusos, control de aplicaciones por “lista blanca”, entre otros).

Recomendaciones (4/4):

5. Retar continuamente su seguridad informática por medio de PenTest para determinar el impacto real de una vulnerabilidad.

“Pensar como un Hacker” y aprovechar los conocimientos de los mismos para evaluar la

seguridad de servicios críticos e identificar los "eslabones más débiles" que los atacantes del "mundo real" podrían aprovechar para dañar a la organización.

GRACIAS POR TU ATENCIÓN

Preguntas

Contáctame: jesus.ramirez.pichardo@gmail.com Twitter: @whitexploit http://whitexploit.blogspot.mx https://www.youtube.com/user/whitexploit