Sans Institute publica un documento en el que se describen los diez
problemas de seguridad más críticos y habituales en Internet
-actualmente-, con el fin de que los administradores de sistemas
cierren los problemas más comunes y más habitualmente utilizados.
El documento, en inglés (aunque existe una traducción al castellano),
se actualiza con relativa frecuencia y debería ser revisado a menudo.
Además de la vulnerabilidades en sí, se ofrecen consejos y
recomendaciones para reducir riesgos.
Las diez vulnerabilidades más comunes son:
1. BIND (named)
Es el servidor de nombres más popular de Internet, pero las
versiones anteriores a la 8.2.2patch5 son vulnerables a numerosos
ataques capaces de proporcionar nivel “root” al atacante.
2. CGIs y extensiones en los servidores web
Hay que auditar cuidadosamente todos los CGIs accesibles en los
servidores web, incluyendo los CGIs que vienen por defecto.
Adicionalmente, extensiones como FrontPage y ColdFusion pueden
ser inseguros por sí mismos, o contener ejemplos atacables.
3. Vulnerabilidades en sistemas de llamada a procedimiento remoto
(RPC), tipo rpc.ttdbserverd, rpc.cmsd y rpc.statd
Aunque son conocidos desde hace tiempo, estos fallos siguen
presentes en numerosos equipos.
4. Vulnerabilidad RDS en el servidor web de Microsoft (IIS)
Diversos errores de seguridad en el Remote Data Services (RDS)
permiten a un atacante el ejecutar comandos con privilegios de
administrador.
5. Sendmail
Sendmail es el servidor de correo (MTA) más utilizado en el mundo
UNIX. Los administradores de dichos sistemas deberían mantener
el servidor permanentemente actualizado.
6. sadmind y mountd
Estos procesos, si no han sido actualizados, contienen errores que
permiten la ejecución de código arbitrario como “root”.
7. Compartición de discos e información vía NetBIOS, NFS y AppleShare
– Deben compartirse sólo los directorios imprescindibles, y sólo
desde las máquinas imprescindibles.
– El acceso por red a dichas máquinas debe ser el imprescindible.
– Las claves empleadas deben ser robustas.
– El control de acceso no debe basarse en información DNS, sino
en direcciones IP.
8. Cuentas sin clave o con claves de baja calidad
Esto es espcialmente grave cuando las cuentas en cuestión tienen
privilegios especiales.
9. Vulnerabilidades en los servidores IMAP/POP
Estos servicios gestionan los buzones de los usuarios y les
proporcionan acceso a su contenido. Normalmente no están protegidos
por cortafuegos, ya que suele ser necesario proporcionar el servicio
a usuarios desplazados fuera de la red local.
10. “Comunidades” (claves) SNMP por defecto
Numerosos equipos con capacidades de administración y monitorización
remota vía SNMP (Simple Network Management Protocol) son desplegados
sin modificar las claves (comunidades) por defecto.
Más información:
How To Eliminate The Ten Most Critical Internet Security Threats
The Experts’ Consensus
http://www.sans.org/topten.htm
Cómo eliminar las diez vulnerabilidades de
seguridad en Internet más críticas
http://www.selseg.com/sans_top10/
17-9-1999 – Máquinas con fallos archiconocidos pueblan el ciberespacio
http://www.hispasec.com/unaaldia.asp?id=325
6-11-1999 – Seis problemas de seguridad en el BIND
http://www.hispasec.com/unaaldia.asp?id=375
29-12-1998 – Vulnerabilidades en BIND
http://www.hispasec.com/unaaldia.asp?id=63
16-10-1999 – Cuatro Vulnerabilidades en el Common Desktop Environment
http://www.hispasec.com/unaaldia.asp?id=354
27-12-1999 – Desbordamiento de búffer en el
demonio Sun Solstice AdminSuite “sadmind”
http://www.hispasec.com/unaaldia.asp?id=426
30-04-2000 – Nueva vulnerabilidad en NetBIOS de Windows 9x
http://www.hispasec.com/unaaldia.asp?id=551
28-11-1999 – Grave compromiso de seguridad en el servidor POP3 de
Qualcomm
http://www.hispasec.com/unaaldia.asp?id=397
1-12-1999 – Otro problema de seguridad en el servidor POP3 de
Qualcomm, solucionado
http://www.hispasec.com/unaaldia.asp?id=400
jcea@hispasec.com
Deja un comentario