5 de les grans exposicions de dades descobertes a través de Shodan

En l’era digital actual, les organitzacions connecten cada cop més dispositius a Internet. Si ho fa, pot obtenir un avantatge empresarial per a una empresa racionalitzant processos crítics i posant a la seva disposició serveis importants de forma remota.

Però també pot revelar un tresor d’informació sobre el dispositiu connectat i, per extensió, de dades sensibles que pugui tractar.

Shodan destaca per destacar aquesta exposició inadvertida d’informació per part dels propietaris de dispositius. Llançat pel programador John Matherly el 2009, Shodan és un motor de cerca que permet als usuaris buscar el web per càmeres web, encaminadors i altres productes intel·ligents connectables.

Opera les 24 hores del dia amb l’ajuda de servidors web situats a tot el món, proporcionant el 56 per cent de les empreses Fortune 100 i més d’un miler d’universitats amb la intel·ligència per descobrir i fer un seguiment dels seus dispositius connectats a Internet. Aquelles organitzacions poden utilitzar aquesta informació per dur a terme estudis de mercat empírics per intentar avançar la seva marca i el seu negoci.

Per descomptat, Shodan té altres usos a més d’ajudar a les empreses a guanyar avantatges competitius. Sovint, els investigadors utilitzen el “motor de cerca més escarpat a Internet” localitzar riscos de seguretat potencials. Per exemple, Matherly i altres usuaris de Shodan van trobar “nombres no comptats” de sistemes de control industrials oberts i potencialment explotables (ICS) el 2012.

Al mateix temps, Bob Radvanovsky i Jacob Brodsky, de consultoria de seguretat InfraCritical, van destapar 500.000 ordinadors que supervisen les centrals nuclears i altres serveis a través del control del servei. Departament de Seguretat Nacional dels Estats Units va tenir aquesta llista, la va restringir fins a 7.200 objectius importants i es va posar en contacte amb els propietaris per deixar-los constància de la importància de garantir el seu dispositiu connectat a la web.s.

Els usuaris han realitzat notables descobriments fent cerques a través dels servidors de Shodan, incloent-hi incidències sobre l’exposició d’informació sensible. A continuació, es mostren algunes de les majors revelacions per fer titulars dels darrers anys.

Base de dades de 560 milions de credencials prèviament compromeses

Durant una auditoria regular de seguretat de Shodan, els investigadors del Centre de seguretat Kromtech van trobar 313 grans bases de dades amb més d’1 gigabyte i en alguns casos diversos terabytes de dades. Una d’aquestes bases de dades era una instància MongoDB amb la configuració predeterminada habilitada, per tant permetent als investigadors veure el seu contingut. Quan van observar l’interior, van descobrir més de 560 milions d’adreces de correu electrònic i contrasenyes recollides d’altres fonts.

El centre de seguretat de Kromtech va comunicar a la base de dades Troy Hunt de Has I been Pwned, al moment de la descoberta, es va allotjar en una IP basada en núvol. En executar un conjunt de mostres per al seu servei, Hunt va identificar 243.692.899 correus electrònics únics. Gairebé tots ja estaven a Have I been Pwned a causa de “mega-incompliments” com LinkedIn i Dropbox.

No se sap qui era el propietari de la base de dades vulnerable. Utilitzant un nom que es troba a les credencials de la base de dades, Kromtech diu que pertanyia a algú anomenat “Eddie”.

13 milions de credencials del compte d’usuaris potencialment exposats

Parlant de Kromtech, L’investigador en seguretat Chris Vickery va preguntar a Shodan per instàncies vulnerables de MongoDB que escoltaven el port 27101 per a les connexions entrants. Després va agafar aquesta informació i la va publicar a MongoVue, una eina per navegar en bases de dades.

En fer-ho, es va trobar amb un problema de seguretat als servidors web de MacKeeper, programari desenvolupat per Kromtech. La debilitat descoberta per Vickery va permetre a qualsevol persona visualitzar la informació continguda a les bases de dades sense cap autenticació.

Segons va informar Krebs sobre Seguretat, una revisió a les bases de dades va revelar 21 gigabytes de dades incloent-hi els noms, les contrasenyes i altra informació del compte per a 13 milions d’usuaris MacKeeper..

Després que Vickery informés el problema a l’empresa tecnològica, Kromtech va publicar una declaració agraint a Vickery el seu descobriment i explicant les seves polítiques d’emmagatzematge de dades:

Les úniques dades del client que conservem són el nom, els productes ordenats, la informació de la llicència, l’adreça IP pública i les seves credencials d’usuari, com ara els noms d’usuari específics del producte, els hash de contrasenya del compte d’administració web del client on poden gestionar subscripcions, assistència i llicències de producte..

Kromtech també va confirmar que havia assegurat les bases de dades.

Es divulguen 750 MB de milers de servidors etc

L’investigador Giovanni Collazo va realitzar una simple cerca de Shodan preguntant “etcd” un tipus de base de dades que emmagatzema contrasenyes, configuració de configuració i altra informació sensible en un clúster de màquines. La cerca va generar 2.284 servidors etcd oberts a la web en què el seu mecanisme d’autenticació estava desactivat de manera predeterminada. Això significava que les credencials emmagatzemades de cada servidor es podien veure públicament.

Per tenir una idea real de l’exposició, Collazo va passar uns minuts escrivint un guió dissenyat per retornar totes les credencials emmagatzemades en un format que puguin utilitzar els pirates informàtics. En última instància, el guió va recopilar 750 MB de dades de prop de 1.500 servidors incloent prop de 9.000 contrasenyes, 650 claus d’accés per a actius d’Amazon Web Services (AWS), 23 claus secretes i vuit claus privades..

L’investigador no va provar cap credencial que va trobar. Però donada la gran quantitat de credencials descobertes, Collazo sospita que almenys alguns d’ells haurien funcionat.

Desenes de milers d’ordinadors infectats per DOUBLEPULSAR

A l’abril del 2017, el grup Shadow Brokers va publicar una descàrrega de documents interns de la NSA que contenien gestions, eines de pirateria i codi d’atac. Entre els recursos filtrats hi havia DOUBLEPULSAR, una porta del darrere caiguda per explotacions com EternalBlue, EternalChampion, EternalSynerg i EternalRomance en màquines vulnerables. La porta del darrere permet als atacants executar codi maliciós addicional en màquines compromeses.

Diversos scripts de detecció escrits poc després de la publicació de dades de Shadow Brokers va descobrir que DOUBLEPULSAR ja estava actiu en fins a 50.000 màquines. Va dir en aquell moment que els números podrien ser molt més alts.

“Actualment, Shodan ha indexat més de 2 milions d’IPs que utilitzen un servei públic de SMB al port 445. El 0,04 per cent dels serveis SMB que observem al nostre firehose de dades són susceptibles a DOUBLEPULSAR, la qual cosa resulta en una projecció de ~ 100.000 dispositius a Internet que estan afectats “, va escriure Matherly en un missatge de correu electrònic, tal i com cita CyberScoop. “Fins ara, Shodan ja ha indexat 45k [infeccions]”.

Una exploració realitzada per la companyia de seguretat Lower0Day al mateix temps va detectar 35.000 infeccions per DOUBLEPULSAR.

5.12 PETABYTES de dades descobertes

Una anàlisi realitzada per Shodan va descobrir prop de 4.500 servidors amb el Sistema d’arxius distribuïts Hadoop (HDFS). Molt menys dels 47.820 servidors MongoDB detectats en línia. Però mentre que les instàncies de MongoDB exposaven 25 terabytes de dades, els servidors HDFS han compromès els 5.120 terabytes.. Es tracta de 5.12 petabytes d’informació.

La majoria dels servidors HDFS configurats de manera inseparable es van localitzar als Estats Units (1.900) i a la Xina (1.426). Algunes estaven basades a Alemanya i Corea del Sud a 129 i 115, respectivament. La majoria dels servidors es van allotjar al núvol amb 1.059 instàncies d’Amazon i 507 d’Alibaba.

El doble ús de Shodan

És evident, Els investigadors de seguretat utilitzen rutinàriament Shodan per detectar possibles fonts d’exposició de dades en línia. Però no són els únics que busquen dispositius connectats a Internet al web. Tampoc no estan sols en el seu ús de Shodan.

Per exemple, els actors dolents han sortit scripts que exploraran el servei per a IP de servidors Memcached vulnerables. Els malfactors poden utilitzar aquests actius insegurs per llançar atacs de denegació de servei (DDoS) distribuïts contra un objectiu. També estan disponibles eines com Autosploit, un matrimoni de Shodan i Metasploit que permet als usuaris piratejar dispositius Internet of Things (IoT) protegits de manera inadequada segons les consultes de cerca específiques de la plataforma.

Tenint en compte aquests abusos, és important que els investigadors en seguretat que utilitzin Shodan notifiquin als propietaris de dispositius la seva exposició. No poden obligar les organitzacions a assegurar els seus productes IoT i altres actius vulnerables. Però poden conscienciar sobre aquests problemes i promoure, de manera més general, les millors pràctiques de seguretat per a dispositius.

Kim Martin
Kim Martin Administrator
Sorry! The Author has not filled his profile.
follow me