Gran parte de nuestro día a día implica auditar sistemas de nuestros clientes, y una de las herramientas que utilizamos para esta tarea es Nessus. Recientemente, uno de nuestros compañeros, Pedro Navas, hizo un descubrimiento significativo en el servidor Nessus de Tenable: una vulnerabilidad SMTP Passback.
Nessus es una conocida herramienta de escaneo de vulnerabilidades de red y evaluación de seguridad. Su principal objetivo es ayudar a las organizaciones a identificar debilidades y vulnerabilidades en sus sistemas informáticos, dispositivos de red y aplicaciones. Es ampliamente utilizado por profesionales de seguridad informática y pentesters para evaluar la robustez de la infraestructura de TI.
Mientras exploraba alguna de las funcionalidades que Nessus ofrece, nuestro compañero Pedro descubrió que el servidor podía ser vulnerable a SMTP Passback. Esta vulnerabilidad permitía la configuración de una cuenta de correo electrónico para enviar automáticamente los resultados de los informes generados por Nessus, una característica que despertó el interés de nuestro compañero.
Este descubrimiento no era aislado; pues Pedro ya había encontrado vulnerabilidades «pass-back» en otros protocolos durante auditorías anteriores, lo que lo motivó a investigar más a fondo si Nessus también era vulnerable a este tipo de ataques a través del protocolo SMTP. Realizó diversas pruebas para verificar la vulnerabilidad y confirmó que, efectivamente, el servidor Nessus estaba expuesto a esta amenaza, así que tomó la decisión de informar sobre el hallazgo a través del programa VDP (Vulnerability Disclosure Program) de Tenable. Esta acción marcó el inicio de un proceso que ayudaría a garantizar la seguridad de las organizaciones que confían en Nessus para proteger sus sistemas informáticos y datos confidenciales.
Para ilustrar la vulnerabilidad descubierta, nuestro compañero proporcionó una prueba de concepto (PoC) que demuestra cómo un atacante podría explotarla.
Los pasos clave en esta demostración son los siguientes:
- Iniciar sesión en el servidor Nessus de destino.
- Navegar a la configuración del servidor SMTP en https://nessus.instance.tld/#/settings/smtp-server.
- Si el servidor ha sido previamente configurado para enviar informes por correo electrónico, se mostrará un menú con información correspondiente y la contraseña oculta.
- Lanzar un servidor SMTP falso (rogue SMTP server). En este caso, se utilizó MITMsmtp en el servidor del atacante para la PoC:
MITMsmpt --server_name $servername- Modificar el formulario cambiando el servidor de destino al servidor SMTP falso. (Importante: en lugar de guardar los cambios, utilizar la función «Enviar correo de prueba» para evitar la eliminación accidental de la información.)
- Introducir una dirección de prueba en la ventana emergente y hacer clic en «Enviar».
- En el momento en que el servidor Nessus intenta enviar el correo electrónico, las credenciales se enviarán al servidor SMTP falso, permitiendo el acceso no autorizado.
La seguridad es un esfuerzo continuo, y es fundamental remediar las vulnerabilidades tan pronto como se descubren. En este caso, para mitigar el riesgo de seguridad planteado por la vulnerabilidad (catalogada como CVE-2023–3251), se recomienda actualizar Nessus Server a la versión 10.6.0.
Más información:
- https://medium.com/@cybertrinchera/cve-2023-3251-smtp-pass-back-on-tenable-nessus-adae0b5c5ac0
- https://twitter.com/srbleu
- https://www.tenable.com/security/tns-2023-29
- https://nvd.nist.gov/vuln/detail/CVE-2023-3251
