Sans Institute publica un documento en el que se describen los diez problemas de seguridad más críticos y habituales en Internet -actualmente-, con el fin de que los administradores de sistemas cierren los problemas más comunes y más habitualmente utilizados.
El documento, en inglés (aunque existe una traducción al castellano), se actualiza con relativa frecuencia y debería ser revisado a menudo. Además de la vulnerabilidades en sí, se ofrecen consejos y recomendaciones para reducir riesgos.
Las diez vulnerabilidades más comunes son:
1. BIND (named)
Es el servidor de nombres más popular de Internet, pero las versiones anteriores a la 8.2.2patch5 son vulnerables a numerosos ataques capaces de proporcionar nivel «root» al atacante.
2. CGIs y extensiones en los servidores web
Hay que auditar cuidadosamente todos los CGIs accesibles en los servidores web, incluyendo los CGIs que vienen por defecto.
Adicionalmente, extensiones como FrontPage y ColdFusion pueden ser inseguros por s¡ mismos, o contener ejemplos atacables.
3. Vulnerabilidades en sistemas de llamada a procedimiento remoto (RPC), tipo rpc.ttdbserverd, rpc.cmsd y rpc.statd
Aunque son conocidos desde hace tiempo, estos fallos siguen presentes en numerosos equipos.
4. Vulnerabilidad RDS en el servidor web de Microsoft (IIS)
Diversos errores de seguridad en el Remote Data Services (RDS) permiten a un atacante el ejecutar comandos con privilegios de administrador.
5. Sendmail
Sendmail es el servidor de correo (MTA) m s utilizado en el mundo UNIX. Los administradores de dichos sistemas deber¡an mantener el servidor permanentemente actualizado.
6. sadmind y mountd
Estos procesos, si no han sido actualizados, contienen errores que permiten la ejecuci¢n de c¢digo arbitrario como «root».
7. Compartici¢n de discos e informaci¢n v¡a NetBIOS, NFS y AppleShare
– Deben compartirse s¢lo los directorios imprescindibles, y s¢lo desde las m quinas imprescindibles.
– El acceso por red a dichas m quinas debe ser el imprescindible.
– Las claves empleadas deben ser robustas.
– El control de acceso no debe basarse en informaci¢n DNS, sino en direcciones IP.
8. Cuentas sin clave o con claves de baja calidad
Esto es espcialmente grave cuando las cuentas en cuesti¢n tienen privilegios especiales.
9. Vulnerabilidades en los servidores IMAP/POP
Estos servicios gestionan los buzones de los usuarios y les proporcionan acceso a su contenido. Normalmente no est n protegidos por cortafuegos, ya que suele ser necesario proporcionar el servicio a usuarios desplazados fuera de la red local.
10. «Comunidades» (claves) SNMP por defecto
Numerosos equipos con capacidades de administraci¢n y monitorizaci¢n remota v¡a SNMP (Simple Network Management Protocol) son desplegados sin modificar las claves (comunidades) por defecto.
M s informaci¢n:
How To Eliminate The Ten Most Critical Internet Security Threats
The Experts’ Consensus
http://www.sans.org/topten.htm
C¢mo eliminar las diez vulnerabilidades de seguridad en Internet m s cr¡ticas
http://www.selseg.com/sans_top10/
17-9-1999 – M quinas con fallos archiconocidos pueblan el ciberespacio
http://www.hispasec.com/unaaldia.asp?id=325
6-11-1999 – Seis problemas de seguridad en el BIND
http://www.hispasec.com/unaaldia.asp?id=375
29-12-1998 – Vulnerabilidades en BIND
http://www.hispasec.com/unaaldia.asp?id=63
16-10-1999 – Cuatro Vulnerabilidades en el Common Desktop Environment
http://www.hispasec.com/unaaldia.asp?id=354
27-12-1999 – Desbordamiento de boffer en el demonio Sun Solstice AdminSuite «sadmind»
http://www.hispasec.com/unaaldia.asp?id=426
30-04-2000 – Nueva vulnerabilidad en NetBIOS de Windows 9x
http://www.hispasec.com/unaaldia.asp?id=551
28-11-1999 – Grave compromiso de seguridad en el servidor POP3 de Qualcomm
http://www.hispasec.com/unaaldia.asp?id=397
1-12-1999 – Otro problema de seguridad en el servidor POP3 de Qualcomm, solucionado
http://www.hispasec.com/unaaldia.asp?id=400
Jesos Cea Avi¢n
jcea@hispasec.com
