Exploit505: 2020

SolarWinds - FireEye | El hackeo mas grande de los últimos años y el como afecta a las organizaciones en Nicaragua.

FireEye es una compañía top a nivel mundial en seguridad informática, especialistas en el reconocimiento de malware, mitigación de ataques informáticos y más, dando servicio a entidades gubernamentales en Estados Unidos y organizaciones a nivel mundial.

Hace una semana (12-08-20) se reportó que FireEye había sido víctima de un ciberataque muy sofisticado que supera todo lo antes visto...

Kevin Mandia - CEO | FireEye:

Basándome en mis 25 años en ciberseguridad, he llegado a la conclusión de que estamos presenciando un ataque perpetrado por un estado-nación con capacidades ofensivas de primer nivel.

Este ataque es diferente a los miles de incidentes a los que hemos respondido a lo largo de los años. Los atacantes adaptaron sus capacidades de clase mundial específicamente para apuntar y atacar a FireEye.

Están altamente capacitados en seguridad operacional y se ejecutan con disciplina y enfoque, operaron clandestinamente utilizando métodos que contrarrestan las herramientas de seguridad y el examen forense.

Utilizaron una combinación novedosa de técnicas que no habíamos visto nosotros ni nuestros socios en el pasado.

Los atacantes se apropiaron de +300 herramientas de penetración especialmente diseñadas para emular el comportamiento de diferentes amenazas cibernéticas, que son utilizadas en sus clientes para mejorar la seguridad de sus sistemas.

FireEye informó que los piratas informáticos insertaron código malicioso en actualizaciones de software legítimas para el software SolarWinds Orion, que permiten a un atacante acceder de forma remota al entorno de la víctima y que han encontrado indicios de compromiso que se remontan a marzo de 2020.

Leer: Investigación de FireEye sobre el ataque!

¿Qué es SolarWinds Orion?

SolarWinds Orion se describe como una plataforma de administración y monitoreo de infraestructura de red de una organización, potente y escalable diseñada para simplificar la administración de TI en entornos locales, híbridos y de software como servicio (SaaS) en un solo panel.

Anteriormente, en noviembre de 2019, un investigador de seguridad informó a SolarWinds que su servidor FTP no era seguro y advirtió que cualquier pirata informático podría cargar archivos maliciosos que luego se distribuirían a los clientes de SolarWinds.

Was reading about a sophisticated attack on FireEye leveraging Solarwinds. Hmmm how that would happened?🤔. Then realized their password was *****123 🤣 #FireEye #SolarWinds pic.twitter.com/foGzEOdytG
— Vinoth Kumar (@vinodsparrow) December 14, 2020

Continuando con la cadena de eventos, SolarWinds emite un comunicado (12-16-20) en donde informa sobre un sofisticado ataque a su infraestructura que permitió introducir el malware SUNBURST en una actualización de su software SolarWinds Orion, malware que afecta a mas de 18 mil clientes de la compañía incluyendo agencias gubernamentales en Estados Unidos y otros países en los que se utiliza el software SolarWinds Orion.

Comunicado sobre el hackeo departe de SolarWinds Inc.

Leer: Investigación de SolarWinds sobre el ataque!

Según las investigaciones de de FireEye, todo hace indicar que el threat actor es APT28, un grupo hacker elite vinculado a la inteligencia Rusa, reconocidos por su alta eficacia y técnicas super avanzadas de penetración y ataques.

Segun McAfee Security, las herramientas que fueron robadas (Red Team Tools) de FireEye han sido detectadas siendo utilizadas en paises como Estados Unidos, Alemania, India, Italia y otros a como muestra el grafico de seguimiento propiedad de McFee.

Nicaragua no es la excepción de la utilización de SolardWinds Orion, aunque no hay algún incidente que se haya reportado hasta ahora, Shodan muestra una serie de dispositivos con el Framework SolarWinds Orion en funcionamiento y con acceso desde Internet.

Hay que esperar que estos dispositivos sean actualizados inmediatamente e implementar las medidas que son recomendadas por FireEye y SolarWinds para contrarrestar cualquier intento de ataque.

Twitter: NCAIntelligence

Facebook: NCAIntelligence

Sistemas de video vigilancia... ¿Quién vigila a quién?

Tiempo Promedio de Lectura: 3.33 Min.

Los sistemas de video vigilancia (CCTV) son un arma efectiva para controlar áreas en las cuales no existe alcance ocular, y no solo se limita a eso, permite tener una visión de movimientos en el entorno en tiempo real, pueden ser vistas dentro y fuera de la red, algunas con visión nocturna, horas de grabación contínua y muchas más características.

Con Bemburn hemos identificado +18,000 dispositivos conectados a internet en Nicaragua, entre los cuales se identificó 58 servicios de videovigilancia activos:

Hikvision IPCam - 21
Hikvision Network Video Recorder - 14
Avtech AVN801 Network Camera - 4
Panasonic AW-HE50 HD Integrated Camera - 4
Axis M1114 Network Camera - 3
Netwave Webcam - 3
D-Link DCS-2121 Webcam - 2
Axis M1054 or P3364 Network Camera - 2
Hikvision DVR UI 2
Netwave IP Camera - 1
Axis P1364 Network Camera - 1
Axis M1124 Network Camera - 1

Un punto fundamental de éstos servicios de videovigilancia es la seguridad de sus accesos, muchos administradores los configuran con el passwords por default o uno fácil de recordar, de ese tema existe un post en el blog NCA, pero en los módem de acceso a internet de Claro en Nicaragua.

Leer: "Modems de Claro Nicaragua, vistos en Internet y con Password por Default!"

Durante los estudios realizados por el equipo de NCA, se encontró que en 38 sistemas de videovigilancia Hikvision, el 15% de éstos contenían claves por default en sus accesos administrativos, como por ejemplo "admin:admin" o "admin:12345", entre las organizaciones encontradas y reportadas están los sistemas de videovigilancia de:

Canal 4 de Televisión
John May industrial
Kinder Montessori Las Colinas
Parque Industrial de Zonas Francas
Optica O&M Managua
Casas Residenciales
Más...

Los sistemas a los que tuvimos accesos fueron reportados inmediatamente, representaban un peligro a éstas organizaciones, se podía tener acceso absolutamente a todas las áreas monitoreadas y también podíamos crear métricas de las personas que laboran, la cantidad, el tiempo, los horarios, activos visibles, inventarios, equipo rodante y de trabajo... en fin, un sin número de información que en modo terrorista podría causar daños grandes e irreversibles, ésto por la cantidad de información sensible que estaba expuesta!

Si utilizas sistemas de videovigilancia a los que accedes desde fuera de la red, verifica que tus claves de acceso no sean por default y tampoco claves simples, representa un riesgo para los activos personales, familiares y económicos que se buscan salvaguardar, el mismo sistema que se utiliza para "resguardo" se vuelve el arma letal contra ti, veamos un ejemplo en un hecho del día primero de abril 2020:

Leer:"Asaltan microfinanciera FINCA en Managua"

"Los asaltantes se hicieron pasar por clientes, y con el rostro tapado por unas mascarillas no tuvieron problemas para realizar el atraco." Cita la nota de tn8.tv.

Con lo de la "pandemia mundial" del COVID-19 "afectando al país", los asaltantes aprovecharon las mascarillas anti-contagios que prácticamente te cubre el rostro y de manera rápida y eficaz se llevaron un botín de +600 mil córdobas entre otras cosas... que luego fueron "recuperados".

Los sistemas de video vigilancia permitieron brindar información vital para identificar a los asaltantes, pero hagamos un análisis con ésta vulnerabilidad de password por default en juego:

Si los asaltantes toman en cuenta el sistema de videovigilancia antes del atraco, hay muchas probabilidades que su clave de acceso sea débil o sea la clave por default del sistema, esto les hubiese permitido con anticipación detener el estado de grabación del sistema DVR, con éste punto en concreto, muy probablemente le hubiese tomado más tiempo a las autoridades identificarlos o quizás ni eso y habría más posibilidades de que el asalto tuviese éxito.

La seguridad no es un juego, y en Nicaragua lo que hay es una incompetencia de quién instala más sistemas de videovigilancia sin seguir los protocolos de seguridad mínimos para evitar caer en ojos de algún personaje que explote esa vulnerabilidad, empresas, organizaciónes, casas residenciales y muchos otros son los casos vulnerables actualmente a este proceso que debe ser básico en todo servicio de acceso por usuario y contraseña.

Un detalle claro es, la mayoría de administradores de sistemas arriezgan la seguridad de las compañias y demás solo por mantener una clave que sea "fácil" de no olvidar, porque ni recordar quieren ahora.

Puedes seguir el proyecto Bemburn en su redes sociales. Facebook: Bemburn | Twitter: Bemburn

Síguenos en Twitter: @HackersNCA
BTC Wallet: 1LJsktpT9mANqUaeuwgMxq2wb1UavDinUo

Bemburn, el ojo que todo lo ve en la internet de Nicaragua.

Bemburn es un motor de búsqueda de servicios activos conectados y expuestos a internet.

Página de inicio de Bemburn

Fue presentado el 28 de Noviembre de 2019 a través de la plataforma Nicaragua Emprende en Canal 8, bemburn permite conocer sobre la infraestructura de cada organización, compañía, dispositivos IoT y más servicios conectados a internet en Nicaragua, entre los cuales:

- Páginas webs alojadas en servidores nacionales
- Servidores de correo electrónico
- Sistemas de video vigilancia
- Módems y Routers Hogar/Industria/Organización
- Sistemas de Control Industrial
- Sistemas de audio y televisión inteligente
- Dispositivos para métricas
- Sistemas SCADA
- Servidores FTP
- Servidores SSH
- Sistemas de Bases de Datos
- Sistemas de Gestión Remota

Página principál de búsquedas en bemburn

Durante el proceso de desarrollo de bemburn se hicieron diferentes estudios de datos y metadatos a gran escala:

- IPv4 asignadas a Nicaragua

Es importante conocer la cantidad de IPv4 asignadas a Niaragua y conocer como estan distribuidos los rangos de direcciones IPv4 a nivel de Organizacion, aquí se hizo una comparación entre información recopilada desde diferentes sitios en internet, incluidos LANCNIC e INCANN. Con ésto finalizado, logramos determinar con exactitud la cantidad de direcciones IPv4 que están asignadas a cada organización en Nicaragua y mucha más información.

- Reconocimiento de estado de cada IPv4

Con los rangos en IPv4 asignados a Nicaragua listos, se creó una sonda en Python3 para verificar el estado de cada dirección, si el estado es activo, se realiza un escaneo al Host, de ser inactivo se procesa como fuera de línea, con esto llegamos a verificar +479,000 direcciones IPv4 en Nicaragua.

- Análisis e identificación de datos y metadatos

Si el estado es activo, se procede a identificar los servicios del Host y con eso maximizar el Scripting Engine en Python3 con NMAP, aquí se procede a recopilar datos que permiten identificar el servicio, vulnerabilidades, versiones, productos y muchísimo más datos y metadatos.

- Posicionamiento Global mediante API externa

Mediante la dirección IPv4 de cada Host, determinamos su posición global, longitud, latitud, país, departamento, proveedores de servicio de internet, Información adicional del AS Number, información de la organización y más datos a través de API’s externas de análisis y geolocalización de IPv4, llegando a ubicar cada Host activo a nivel Nacional.

Resultados en búsqueda por puertos activos (port:443)

Los datos se recopilaron y dan como resultado una vista completa de todo el sistema de internet expuesto en Nicaragua y además, datos globales como:

+18,000 dispositivos activos
+9,000 vulnerabilidades

+72,000 servicios activos

+189 productos diferentes

+21 sistemas operativos

El sistema permite mostrar información global y general sobre los diferentes tipos de dispositivos, esto permite tener una visión sobre los servicios de cada compañia con salída a internet.

Resultados por Host o Dispositivo con una IPv4 activa

Bemburn da como resultado los servicios, el estado del puerto donde ejecuta el servicio, tipo de producto, vulnerabilidades, detalles como nombre de dominio y más información de relevancia que permite evaluar el estado del servicio y proceder con los protocolos en caso de ser necesario.

Cuenta con la opción de realizar escaneos en tiempo real y comparar resultados, así como también brindar información más completa sobre un dispositivo.

Fue desarrollado por BlackHill - Project Developers con las tecnologías:

- Python3

- Javascript

- HTML5

- MySQL

Para mayor información sobre bemburn y como puedes implementarlo, sígue el proyecto através de las redes sociales: Facebook: Bemburn | Twitter: Bemburn

Síguenos en Twitter: @HackersNCA
BTC Wallet: 1LJsktpT9mANqUaeuwgMxq2wb1UavDinUo

Módems de Claro Nicaragua, vistos en Internet y con Password por Default!

Para nadie es una novedad que la seguridad informática en Nicaragua no es el fuerte de muchos, y es por esa razón que cuando hablamos de "Hacker" o hackeos se imaginan un broder tipo "Elliot Alderson" en la serie Mr. Robot, el Neo de la Matrix... es realidad y ficción al mismo tiempo.

Los errores que son explotados en Nicaragua se dan por falta de interés en la seguridad informática de parte de las compañías y organizaciones, esto trae malas prácticas en programación, configuración y mantenimiento que puede ser causa de explotación masiva y filtración de información sensible.

Un hacker no pierde tiempo "hackeandote" a ti... eso ya lo hacen las botnets automatizadas, una computadora programada para explotar lo que esté a su alcance y en internet... y por una mala configuración, tus equipos o dispositivos IOT pueden llegar a formar parte de una botnet y todo es posible cuando tienes miles de computadoras haciendo trizas a todo lo que encuentra mal configurado.

Luego del intro bien bestial, nos vamos al ojo que todo lo ve en internet de Nicaragua... Bemburn. En el estudio, identificamos +58 dispositivos conectados a internet en Nicaragua con interfaz de módem ZXHN H108N V2.5 de la compañía ZTE que instala Claro Nicaragua cuando vende su servicio, en su mayoría, hay dispositivos que exponen su interfaz de acceso, no es algo extraño ya que una contraseña segura y verificada con un segundo método de autenticación, puede mantener todo bien, el detalle está en lo masivo del servicio y el interés de quien hace el trabajo de instalación, que debe garantizar el no utilizar claves por default.

Interfaz de módem residencial y empresarial

Varios de esos dispositivos y otros tipos de dispositivos pueden ser vistos y configurados si se obtiene el usuario y contraseña respectiva.

Ventana de bienvenida cuando se tiene acceso al módem

Las claves por default "c1@r0" y "Cl@r0" como por ejemplo, funcionan en prácticamente todos los módems ZTE de ésta compañía y existen dispositivos que aún poseen sus claves por default y se puede acceder desde internet.

SSID del módem de Guapollón, sucursal Villa Miguel Gutiérrez

Aquí vemos un ejemplo "Claro" en la compañía Guapollón, que seguramente no tienen una sola idea que su módem puede ser visto desde internet y que además, está con claves por default... se puede modificar los DNS y muchos otros truquitos más
!

Tengo mi teoría para éste detalle de módems vistos desde internet, muy probablemente tienen y sistema que necesita IP estática para ser visto por el servidor o sistema central en cada sucursal, pues Guapollón son 6 los servicios expuestos y con claves de acceso por default, eso no es casualidad.

Asignación de direcciones IPv4 en módem expuesto con clave por default

Considero que Guapollón tiene alguna relación con Tip-Top en la teoría del sistema, ya que tambien 3 o más módems de Restaurantes Tip-Top que estan expuestos a ser administrados con claves por default, por eso mi teoría toma fuerza.

Fin.

Síguenos en Twitter: @HackersNCA
BTC Wallet: 1LJsktpT9mANqUaeuwgMxq2wb1UavDinUo

Hackeando WiFi de Claro Nicaragua

El WiFi de tu casa o compañía nunca ha estado tan en riesgo como ahora donde el poder de las nuevas tecnologías van en aumento, es posible nada más mediante una aplicación explotar diferentes vulnerabilidades como la que voy a explicar aquí...

El Wi-Fi Protected Setup (WPS) proporciona un mecanismo externo de intercambio de PIN para autenticación, eso lo hace susceptible a ataques de fuerza bruta y con ello obtener acceso a la red Wi-Fi cifrada.

Por default, los módem que está instalando Claro de Nicaragua (Casualidad siempre Claro de Nicaragua) para hogar y corporativo vienen con autenticación WPS activa, esto significa que un usuario puede con una aplicación de autentificación WPS, utilizar PIN por default o realizar un ataque de fuerza bruta y anclarse a la red inalámbrica en si, donde el PIN en concreto es "12345670" por defecto para todos los módem Technicolor modelo CGA0112.


Módem Technicolor con WPS activado y AccessPoint PIN.

En Play Store de Google podemos encontrar una variedad de aplicaciones que permiten realizar autenticación WPS y ataques mediante fuerza bruta.

Aplicaciones para autenticación de red con WPS activo.

WPSApp es una aplicación para iniciar sesión en redes WiFi con autenticación WPS, la WPSApp cuenta con mas de 50 millones de descargas.

WPSApp realiza un scan y muestra las WiFi con WPS activo, seleccionando la red que se desea accesar, se puede usar un PIN default "12345670" o un ataque de fuerza bruta utilizando varios PIN por hasta dar con el que permita accesar a la red WiFi

En el siguiente video, es una muestra real sobre una red WiFi con WPS activo y PIN por default "12345670", módem Technicolor modelo CGA0112.

Los accesos con claves por default es una de las vulnerabilidades más comunes y en especial cuando los servicios son masivos, es importante checar tu módem y verificar si estas con el WiFi con WPS, de ser así, en el panel de administración del módem podrás desactivar la opción de autenticación WPS.