bitcoin prize

“Routersploit y el peligro en las puertas denlace”

“Routersploit y el peligro en las puertas denlace”

Reading Add Comment

“Routersploit y el peligro en las puertas de enlace”



Hoy dia existen multitud de herramientas para efectuar diversos escaneos de seguridad cibernetica,  como son los escaneos a redes y a sistemas especificos, pero tambien existen herramientas enfocadas a un dispositivo en particular como lo son los routers o las puertas de enlace que son las encargadas de los flujos de conexion entre internet y nuestra intranet de nuestro hogar, empresa u oficina,   sea cual fuere el objetivo inicial  y de las distintas indoles, la herramienta que hablaremos en este articulo resulta util para esos casos en los cuales ya hemos efectuado todos los vectores de ataque y necesitaremos probar la seguridad de la puerta de enlace para saltarnos a otra red lo que comunmente en la jerga del pentesting se le conoce como pivotear en una red o un host,   la herramienta se llama routersploit el nombre proviene de router y -sploit que significa exploit lo que hace esta herramienta es buscar diversas vulnerabilidades en un router para poder entrar sin autorizacion,  pero antes mencionaremos las caracteristicas de la herramienta:

Características Principales de Routersploit:

Identificación de Vulnerabilidades: Routersploit escanea la red en busca de dispositivos de red y realiza un análisis de vulnerabilidades para identificar posibles puntos débiles en los routers y otros dispositivos.

Explotación Automatizada: Una vez identificadas las vulnerabilidades, Routersploit puede automatizar el proceso de explotación, utilizando exploits específicamente diseñados para aprovechar las vulnerabilidades detectadas.

Brute-Force de Credenciales: Routersploit también puede realizar ataques de fuerza bruta contra las credenciales de acceso a los routers, intentando adivinar combinaciones de nombre de usuario y contraseña para obtener acceso no autorizado.

Interfaz de Usuario Amigable: Routersploit cuenta con una interfaz de usuario intuitiva y fácil de usar que permite a los usuarios ejecutar comandos y realizar acciones sin necesidad de conocimientos avanzados en hacking o programación.


las caracteristicas anteriores son las que cuenta routersploit,  sin duda es una herramienta inigualable,  la interfaz que vemos inicialmente cuando instalamos la herramienta cuestion que no abordaremos en este articulo por cuestiones de que ya existe en internet mucho material acerca de como hacer la instalacion, la configuracion y demas cuestiones iniciales,  aqui abordaremos una perspectiva de uso y de como puede afectar a nuestras redes si esta herramienta es usada por personas malintencionadas o ciber-atacantes,  veamos la imagen para darle un vistazo a la interfaz inicial asi como los comandos que podremos usar para desplegar las diversas caracteristicas con las que cuenta la herramienta.



    Podemos apreciar en la imagen anterior que el aspecto visual es muy similar a lo que es la herramienta metasploit de offensive security,  vemos que  tiene un conteo de scripts que se utilizan para escanear solamente y vectorizar objetivos o targtes, ademas de ataques a credenciales , payloads y encoders para codificar codigo malicioso en la evasion de AV y sustemas de deteccion de seguridad,   vemos que con el comando show podemos ver todoo lo que hay disponible para nosotros dentro de  la herramienta como un primer uso.




vemos como con show option podremos desplegar las opciones de algun exploit que hayamos elegido ,  reiterar de que este no es un articulo de tutorial o algun estilo para eso hay mucha documentacion en internet y en canales diversos de seguridad inforamtica como en la plataforma youtube,  haciendo enfasis en el objetivo del articulo y volviendo a nuestro objetivo podemos ver que la herramienta tiene multiples opciones y casi el 90% de los comandos que se utilizan en primera intancia son de metaspoit, de hecho esta es una herramienta basada en metasploit inicialmente o que toma como inspiracion el menu interactivo de metasploit,   ahora en la imagen mas abajo de a continuacion podemos ver como se efectua una respuesta en base a los criterios de busqueda de las vulnerabilidades existentes y como escanea esta herramienta,  en primer lugar se procede a realizar un escaneo para ver  que tipo de fallo de seguridad o que factores de IOC indicadores de compromiso pudieran darse en dicha puerta de enlace a investigar,  tenemos multiples variedad de vectores que se pueden encontrar a lo largo de esta herramienta como son los que se mecnionaron mas arriba, uno de ellos es crackeadores de passwords, asi que si tenemos por defecto las credenciales de nuestro router (cosa muy habitual, tratandose del 94% de redes de hogar u oficina simples).


podemos observar que en la anterior imagen se ha escaneado y efectuado un ataque de fuerza bruta para intentar acceder al servicio ssh que se encuentra abierto dentro de la puerta de enlace en la que se esta atacando o realizando el vector de ataque,  por eso siempre os he mencionado de la importancia de crear passwords seguras que ncluyan caracteres especiales, asteriscos,  o numeros entre medio de las palabras que intentamos componer para nuestras passwords.

Otra cuestion a abordar es la necesidad de tener nuestras redes en especial las puertas de enlace mediante con firewalls o seguridad defensiva y perimetral enfrente de estas mismas , ya que sin este tipo de seguridad para nuestras redes,  simplemente estamos vulnerables frente a este tipo de ataques , con un cortafuegos bien establecido , con politicas de seguridad bien  reglamentadas y con respectivas actualizaciones a nuestro firmware de neustras puertas de enlace, podremos parar este tipo de ataques, si bien existen ciertos ataques 0days que podrian aprovecharse de nuestro router,  con cortafuegos que detecten este tipo de amenazas o FWNG (firewalls de nueva generacion) asi como SIEMS y recolectores de eventos podriamos estar monitoreando constantemente que es lo que esta ocurriendo en nuestra red y paralizar el ataque antes que los atacantes logren penetrar en las demas redes de nuestra empresa u hogar,   dependiendo de las zonas que estemos asegurando o de donde nos encontramos  son las medidas defensivas que podremos implementar pero aqui son las reglas generales que se pueden seguir para parar este tipo de ataques con routersploit o algun 0day que algun atacante pudiera lanzar en contra de nosotros,  aqui la regla de 10 de las medidas defensivas para nuestra red sea cual fuere las medidas de nuestra red en cuanto a infraestructura:


  1. Implementar medidas de FW o FWNG delante de las puertas de enlace y en cualquier zona que el atacante pudiera entrar (esto es muy similar a dejar las puertas abiertas de tu casa abiertas sin ningun candado o llave de seguridad)
  2. Implementar monitoreo constante en relacion a eventos de seguridad, de trafico de red,  de modificacion de archivos en S.O, etc lo que comunmente llamamaos SIEM o administrador de eventos de sistemas
  3. Implementar o tener una politica de implementacion para la generacion de passwords en las cuentas de los sistemas operativos asi como politicas de seguridad en el acceso a las cuentas y a los dispositivos de red que en este caso son los cortafuegos,  IDS, IPS , etc
  4. Tener una matriz de riesgos y amenazas dependiendo de los estandares internacionales para en dado caso de la materializacion de una amenaza o riesgo esta misma pueda mitigarse facilmente y con un plan de accion inmediato
  5. Tener bastionada correctamente la red ya sea esta intranet o extranet, dependiendo de cual fuere el caso,   contar con dmz en caso de contar con servidores externos con servicios de cara a internet para no comprometer toda la red en caso de sufrir un ataque o un ataque intencionado que tenga el objetivo de llegar mas alla de nuestras puertas de enlace
  6. Investigar en bases de datos de vulnerabilidades los CVE correspondientes a los fallos de seguridad escaneados en nuestro router antes que un atacante logre aprovecharse de estos ultimos.
  7. Tener politicas y entrenamiento en seguridad informatica asi como en ingenieria social con proposito de entrenar a los empleados de la corporacion para evitar fugas de informacion en caso de un ataque de seguridad o  evitar proporcionar credenciales de acceso en servidores y puertas de enlace
  8. Buscar constantemente o dentro de planes establecidos la actualizacion del firmware de nuestras puertas de enlace de lo contrario algun atacante pudiera investigar esto con fines maliciosos y encontrar el cve vulnerable para nuestro router asi como lanzarle algun exploit
  9. Checar constantemente (solo en caso de no contar con algun SIEM o medida defensiva anterior)  los logs de nuestras puertas de enlace o algun agente recolector que envie los logs a algun servidor (en caso de que el router cuente con esta caracteristica)  
  10. Contar con una buena seguridad perimetral,  un correcto bastionado de red,  dmz bien configuradas  y buenas implementaciones en las configuraciones

Contar con las anteriores medidas de seguridad mitigara en una buena medida que suframos algun ataque por parte de algun ciber-criminal que tenga por objetivo a nuestra puerta de enlace de cara a internet o alguna extranet.

vemos la imagen siguiente que tan letal pudiera ser esta herramienta en las manos de los ciber-malhechores ,  al igual que metasploit esta herramienta tiene la particularidad de contar con una ametralladora de exploits como en la jerga se le conoce como "autopwn" que prueba a uno a uno todos los exploits existentes en la herramienta, si bien es cierto que este tipo de ataque provoca mucho ruido dentro de los sitemas de seguridad asi como los eventos de logs ,  dependiendo de la habilidad del atacante este ultimo pudiera realizar un script para borrar todos los logs ya sea de manera local o remota.

en la imagen siguiente podemos ver un ejemplo de este tipo de autopwn en la herramienta:


Podemos apreciar que detecto una vulnerabilidad en funcion tambien del fabricante del dispositivo,  en este caso podemos ver que es un asmax , si investigamos un poco en caso de no conocer el fabricante podemos apreciar lo siguiente:


Investigando un poco mas podriamos llegar a la pagina routerpwn donde se nos da mucha informacion util acerca del fallo de seguridad con el que cuente tal dispositivo de red,  en dicha pagina se nos brinda toda la informacion con enlaces y referencias con las que podemmos documentrnos acerca del fallo de seguridad en cuestion o los fallos de seguridad.


Podemos analizar en elnace principal 1337day que es donde se encuentra el principal exploit,  asi como el autor que lo ha descubierto y la fecha indicada de su descubrimiento, una vez que conocemos como funciona inicialmente el fallo de seguridad,  ya procederemos a protegernos o en caso de que nosotros estemos realizando una auditoria o de hacking etico del equipo rojo,  o en caso de que formeos parte de los dos equipos o lo llamado "purple team" podemos defender a la corporacion y asi tomar medidas de mitigacion.


CONCLUSIONES:

Parece que la unica medida defensiva 100% defensiva es que no existe,  si bien pudiera parecer objetivo todo lo que hablamos en este post o articulo pero no existe alguna medida que te pudiera proteger al 100% si bien pudieramos establecer todo lo relacionado en este post nunca existira una medida defensivfa al 100% pudieramos mitigar al 60% o hasta el 80% pero siempre existira algun atacante en el mundo habilidoso que pudiera detectar algun 0day en nuestra red mas bien en el router y lanzarlo contra los objetivos concretos,  hoy en la actualidad existen grupos APT financiados por grupos terroristas internacionales o  estados-naciones que se mueven en busca de objetivos concretos y buscando y explotando 0days muchas veces sin darnos cuenta de que se estaba atacando a x organizacion hasta pasados meses o mcho tiempo despues,  una forma de contra-rrestrar este tipo de ataques es tomando medidas preventivas para tratar de disminuir el riesgo o las afectaciones que este tipo de amenazas pudieran presentar,  ademas de tener un plan de recuperacion o de seguridad bien documentado y establecido.



Referencias y Enlaces Tecnicos:

https://www.kali.org/tools/routersploit/

http://routerpwn.com/

0 comments:

Publicar un comentario

Suscribirse a: Enviar comentarios ( Atom )

My Instagram

Uso cookies para darte un mejor servicio.
Mi sitio web utiliza cookies para mejorar tu experiencia. Acepto Leer más