Caso: Explorando la DMZ de una red (Firewall SonicWall)

[LUK]

Aprovechando que en este tiempo atrás he podido estar en algún país en los que la legislación era mucho más laxa con las intrusiones en redes, y teniendo en cuenta que no iba a cometer ningún delito bajo la legislación vigente de ellos, decidí darme un paseo por la DMZ de una empresa para ver qué medidas de seguridad tenían en la red interna, y en la DMZ.

Hay que tener presente que cuando se realiza una auditoría de seguridad a una aplicación web o a un servidor publicado en Internet, este puede llegar a ser comprometido, y por lo tanto todos los servidores de la DMZ pasan a convertirse en potenciales objetivos.

Esta fortificación de la DMZ normalmente se suele evaluar por medio de auditorías de seguridad de red internas, en las que se evalúa cual es el grado de exposición y riesgo de cada uno de los servidores de la organización desde cada uno de los puntos de red de equipos de dentro de la organización, teniendo como base la premisa de que un usuario de la propia compañía pueda ser el atacante, o que un atacante controle remotamente esa máquina.

En este caso concreto, yo he querido hacerlo desde un equipo publicando una aplicación Citrix, en la que es posible hacer el jailbreak. Es decir, que permite llegar al sistema operativo con un usuario poco privilegiado.

En este entorno, con una máquina en la red interna podría haber intentado meter algún software para sniffar la red y pillas passwords, intentar la elevación a system para controlar la máquina y acceder al Active Directory con la cuenta de la máquina o robar las passwords locales, pero como no quería ser brusco, me limité a buscar los servidores publicados sólo en la Intranet. Es decir, buscar qué había dentro de la red, y cuál era el nivel de protección allí.

Descubriendo el entorno

Para comenzar a descubrir los servidores internos bata con averiguar la dirección IP de nuestra máquina y la de los servidores utilizados como Gateway y DNS. Todos estaban en el mismo rango IPv4, por lo que a partir de ese punto, lo único que hice fue buscando a ver qué me encontraba en ellos, utilizando sólo los servicios web. Esto es lo que fui descubriendo.

192.168.X.1 El firewall de Sonic Wall

Como default gateway me encontré con un Firewall Sonic Wall, con una consolo en la que no se estaba haciendo uso de Http-s lo que es malo para la seguridad de la red. Sin embargo, mis expectativas de poder acceder por medio de una contraseña por defecto al firewall se esfumaron.

Figura 1: Portal de login en Sonic Wall

El firewall pide una contraseña durante el proceso de instalación, y las más comunes de los productos Sonic Wall no funcionaron. Así que, me quedé sin poder ver la política de seguridad perimetral. Mala suerte, aunque le apuntamos un negativo por tener la consola por Http.

192.168.X. 2 El Switch de Dell

En el segundo intento topé con la dirección IP de administración del switch, en este caso de Dell, y también sin uso de Http-s para evitar el sniffing de la contraseña. Tras el fracaso anterior mis expectativas de que tuvieran la contraseña por defecto no eran muy altas....

Figura 2: Portal de login en Switch Dell

... pero resultó que sí, y llegamos al panel de administración del switch.

Figura 3: Panel de administración de Switch DELL

Una vez allí, además de descubrir información de la organización, se me ocurrió que podía mirar la dirección MAC de mi equipo - es decir, del servidor Citrix - y configurar el puerto del switch en el que está conectado como puerto mirror. De esta forma me garantizaría que me llegaría todo el tráfico de red y podría sniffar la password del firewall... pero preferí no hacer ningún cambio, que no queremos hacer nada malo.

192.168.X.4 Under Construction

En la dirección IPv4 de la red me topé con un servidor web por Http, pero fui incapaz de descubrir el nombre de los dominios publicados o los archivos a invocar.

Figura 4: El sitio web "under construction"

Probé por Http-s, busqué en el fichero hosts, pregunté por los registros PTR a los servidores DNS, miré a ver si había un fichero robots.txt y miré el historial de navegación de los navegadores de mi equipo pero... agua. Supongo que la solución al misterio la tendría o en el firewall, en algún otro puerto, o en el nombre de un fichero que sólo conocen ellos. Eso, o de verdad está en construcción. En cualquier caso no pensaba dedicarle más tiempo con todo el rango de direcciones que aún tengo por delante.

192.168.X.10 El software de Citrix

En esta dirección me encontré con un servidor web que estaba publicando el software de Citrix, para poder ser utilizado internamente en la distribución del mismo en nuevas instalaciones, supongo.

Figura 5: Compartiendo el software vía http

Algo no muy descabellado, si pensamos en lo útiles que son, y lo que se encuentra, en los servicios de compartición de ficheros basados en Http.

En las 10 primeras posiciones han aparecido algunos servidores web, pero aún quedan muchos por salir en este segmento. Ya os hablaré de ellos en el resto del artículo.


Saludos Malignos!

[LUK]

Continuando con el paseo curioso por la DMZ era previsible que acabase apareciendo todo lo necesario para que funcione normalmente una compañía, así que lo siguiente que encontré fue:

192.168.X.7: Impresora multifunción RICOH Aficio AP4510

No conozco ninguna empresa sin impresoras, pero el que esté configurada en la DMZ deja claro que en ésta en concreto, no hay segmentación entre los servidores de la DMZ y el resto de los equipos de la red, algo que es muy peligroso, ya que también estarán los equipos por aquí.

Figura 6: Panel de Administración de Impresora

Tocó buscar la contraseña por defecto de este modelo, y resultó que funcionó. Así que ahora habrá que repasar la charla de nighterman de la RootedCON para ver cómo se podría sacar más provecho a este cacharro...

Figura 7: Administración de la impresora

192.168.X.20: SonicWall CDP

Continuando con el paseo topé con este producto de SonicWall, que he de decir que no conocía al principio. Buscando información por Internet descubrí que es una solución en appliance destinada a realizar copias de seguridad, es decir, en él se encuentran los datos de la empresa.

Figura 8: Panel de Administración de SonicWall CDP

Como os podéis imaginar, lo único que hice fue buscar la contraseña por defecto de estos productos para comprobar que... funcionaba.

Figura 9: Administración de SonicWall CDP

Una vez dentro, me decepcionó un poco, ya que no fui capaz de acceder con esta herramienta a ningún dato, aunque se podía realizar una ataque de Purga de Datos, que como se explica en la pantalla que se ve en la figura siguiente, no son recuperables.

Figura 10: Purga de datos en el Appliance SonicWall CDP

No era mi intención romper nada, pero me había quedado un mal sabor de boca al no haber podido acceder a los datos del appliance. ¿Cómo se podría acceder a ellos? Mirando la consola por arriba y por abajo, volví a caer en la pantalla de Login donde me fije en el hipervínculo a unas herramientas clientes... ¿Estarán instaladas en algún sitio?

Me puse a revisar el equipo local en que estaba conectado, por si hubiera suerte y estuvieran instaladas, ya que con una cuenta de usuario no creía que pudiera instalarlas yo... y resultó que allí estaban.

Figura 11: Herramientas de administración de SonicWall CDP

Ya tenía las herramientas y la contraseña por defecto funciona, ¿qué habrá allí?


Saludos Malignos!

[LUK]

La herramienta de administración de Sonicwall CDP

Tras arrancar la aplicación instalada, la herramienta ya está configurada para conectarse al appliance de copias de seguridad, con lo que sólo se solicita una contraseña. Usando la password por defecto de estos dispositivos, como era de esperar se permite el acceso.

Figura 12: Herramienta de administración de SonicWall CDP

No sabía lo que allí me iba a encontrar, pero parece que está absolutamente todo el corazón de la empresa, ya que en este servidor se hace backup de Active Directory, las bases de datos MS SQL Server y las bases de datos de servidores de correo MS Exchange Server. Vamos, creo que los datos más valiosos de la infraestructura de la compañía.

Figura 13: Backups de Active Directory, MS SQL Server y MS Exchange Server

Tenerlos protegidos sólo con la contraseña por defecto es una autentica temeridad y si hubiera tenido delante al administrador le hubiera mordido una oreja por luser. La herramienta permite hacer restore de datos a cualquier sitio, y por lo tanto se podría acceder a todo. Sin embargo, esto no acaba aquí, ya que también se realizan copias de seguridad de carpetas compartidas, y desde la aplicación se pueden consultar todos los ficheros, y restaurarlos.

Figura 14: Buscando ficheros en el backup de datos

Todos los datos de una empresa sólo controlados por una contraseña por defecto es una autentica temeridad. Espero que todos vosotros hayáis cambiado las passwords por defecto de todos vuestros equipos de la red.

192.168.X.150: Otra impresora

Y también con la contraseña por defecto. Lo curioso es que con esta se puede acceder a ver qué usuarios han mandado a imprimir qué documentos, con lo cual se puede extraer un poco más de información. Lo cierto es que tras poder acceder al backup del Active Directory deja de tener importancia este resquicio de datos.

Figura 15: Otra impresora, con su password por defecto

Como curiosidad, quise comprobar a ver si tenía una shell que permitiera sacar algo de allí, pero lo cierto es que la consola msh que trae estaba bastante limitada.

Figura 16: La consola msh con password por defecto

Locahost: El servidor web público

Encontré alguna impresora más - sí, también con la password por defecto - pero ya era suficiente, así que revisé mi equipo para terminar, y como era de esperar, allí estaba el servidor web publicado en Internet con el acceso a los servicios Citrix.

Figura 17: El servidor web local con Citrix

Como estaba en ese equipo, miré a ver si podría haber metido una webshell en el servidor para poder acceder siempre al equipo. Allí estaba InetPub, y no estaba protegido, por lo que se podría meter un fichero con la webshell para perpetuar el acceso y control a la red.

Figura 18: El directorio InetPub y una rara aplicación llamada keygen

Conclusión

Tener un firewall no es una garantía de protección. Si estás publicando servicios en Internet audítalos. Si estos servicios están en una DMZ, audítala como si los servidores hubieran sido comprometidos. Si tienes dispositivos en tu red.... ¡cambia ahora mismo las passwords por defecto de todos ellos!

Saludos!

Fuente de los contenidos:
- Explorando la DMZ de una red (1 de 3)
- Explorando la DMZ de una red (2 de 3)
- Explorando la DMZ de una red (3 de 3)