Especialistas listam vulnerabilidades mais comuns em testes de redes

Manchetes de redes invadidas e campanhas de ataques levam empresas a se perguntar como os invasores conseguem entrar e sair tão facilmente. Quais os erros comuns em tantas empresas diferentes que estão sendo atacadas? Quais são as maiores vulnerabilidades exploradas?

Assine a Newsletter do IT Web

Siga o IT Web no Twitter

Curta, no Facebook, a Fan Page do IT Web

Questionamos vários profissionais em testes de penetração (método que avalia a segurança de um sistema ou rede, simulando um ataque de uma fonte maliciosa; N. da. T) – alguns trabalhando em universidades e ambientes de empresas e outros como consultores de segurança que desempenham testes de penetração toda a semana para clientes de todos os gêneros – sobre quais brechas eles conseguem explorar.

Quase todos têm uma lista parecida de vulnerabilidades. Acima de todas as listas está a injeção SQL, cross site scripting (XSS) ou sites inseguros. Surpreendente? Não. Muitas vezes, o método de entrada que ouvimos das explorações do grupo Anonymous é por injeção SQL. Uma vez que o servidor de rede e o servidor de base de dados subjacente estejam comprometidos, é relativamente fácil explorar a relação dos dois para pegar senhas e outros alvos.

Christian von Kleist, analista sênior de segurança da Include Security, afirmou que os servidores de rede são tipicamente o que ele nota primeiro durante um teste. “Muito dos meus exames tiveram sucesso apenas porque consegui explorar aplicativos inseguros em redes que, de outra forma, seriam muito seguras”.

Quando o questionamos sobre o porquê de tanta brecha nesses programas,  ele disse que é por conta da desconexão entre as pessoas que criam o software e aqueles que têm que segurar a rede. “Eles trabalham isoladamente, com a segurança tendo pouco envolvimento até que seja muito tarde e a vulnerabilidade já tenha sido implantada dentro da produção”.

Ainda na lista, estão as interfaces expostas de administração e gerenciamento para servidores de aplicativos; dispositivos de rede e sistemas de conteúdo de gerenciamento; informações vazadas por impressoras e sistemas de videoconferências; software desatualizado e/ ou sem suporte, muitas vezes com padrões de configuração inseguros; e serviços de rede expostos.

“Geralmente descobrimos que interfaces administrativas ou de gerenciamentos estão disponíveis para um ataque externo”, afirmou Kevin Johnson, consultor sênior de segurança na Secure Ideas. Alguns dos exemplos citados incluem interfaces de gerenciamento de rede da JBoss, Tomcat e Coldfusion, e serviços de administração como o Secure Shell (SSH) e o Protocolo Simples de Gerência de Rede (Simple Network Management Protocol, ou SNMP).

Johnson afirmou que pacotes de software que incluem servidores ColdFusion ou JBoss são instalados sem atenção ao fato de que eles contêm consoles administrativos. “Esses consoles geralmente têm credenciais padrão ou vulnerabilidades”, acrescentou.

Dispositivos de rede

Além das interfaces de gerenciamentos, os profissionais em testes de penetração também percebem vazamento por meio de dispositivos de rede. Algumas dessas exposições incluem impressoras e sistemas de videoconferência. Com credenciais padrão ou sem senha ajustada nesses sistemas, os invasores podem roubar nomes de usuários, senhas e endereços internos de IP, e até mesmo lançar ataques a sistemas internos.

No ano passado, HD Moore, que é CSO da Rapid7, demonstrou como os sistemas de videoconferência podem ser facilmente identificados por meio do escaneamento da rede para escutar as salas de reuniões. Ele descobriu cinco mil sistemas na internet esperando para aceitar chamadas. Em alguns deles, conseguiu “escutar conversas e gravar vídeos do som ambiente – mesmo ler e-mails de uma tela de laptop e senhas de um bilhete que estava a alguns metros de distâncias”.

Johnson, da Secure Ideas, disse que uma das piores coisas que sua equipe vê é a exposição de serviços de rede ou negócios e pontos.

“Esses serviços são muitas vezes usados por parceiros de negócios ou aplicativos, como aplicativos móveis usados pelo departamento de marketing. Já que esses terminais são projetados para se comunicar usando aplicativos de clientes, em vez de diretamente para usuários, os desenvolvedores acham que precisam de pouco controle já que ele é confiável”.

Preocupação embasada

Por que tanta preocupação com serviços de rede expostos? Johnson afirmou que a falta de controle de segurança dá a possibilidade de um grande ponto de entrada para determinados invasores. Durante seus testes de penetração, eles podem demonstrar qual impacto terá na empresa caso seja comprometida.

A grande dúvida, claro, é como uma empresa usa essas informações para que não se torne apenas estatística? Em quase todos os casos, saber o que está na rede é fundamental. Equipes de segurança devem realizar varreduras regulares na rede para identificar novos sistemas e serviços assim que eles fiquem online.

Uma área comum onde as empresas falham é saber o que é acessível por meio externo. As habilidades precisam estar ajustadas para que a empresa possa escanear os endereços IP externos para novos hosts e serviços além da varredura regular das vulnerabilidades já discutidas. Além das varreduras regulares, a segurança precisa estar mais envolvida no desenvolvimento, aquisição e implantação de aplicativos de rede. Mas todos nós sabemos que é muito mais fácil falar do que fazer.

Tradução: Alba Milena, especial para o IT Web | Revisão: Adriele Marchesini