Estoy seguro que todos los profesionales y aficionados a la seguridad informática, hemos oido hablar (o convenientemente utilizado alguna vez), de Metasploit, el framework de herramientas de seguridad o en realidad su colección de exploits ya preparados. Resulta cuanto menos paradójico que la propia ubicación que alberga la imagen web de Metasploit haya sido víctima de un ataque (en realidad un DoS).
Así fue, allá por Junio del 2008, el servidor web para las descargas de Metasploit, dejó de responder. En su lugar se podía ver una web que decía en modo jocoso: "hacked by sunwear ! just for fun".
¿Cómo sucedió? Según HD Moore, el creador de Metasploit, el servidor en concreto nunca llegó a ser comprometido de forma directa. Es decir, que los paquetes no fueron alterados ni troyanizados como se llegó a sospechar inicialmente. Para llegar a efectuar el DoS, los atacantes lograron penetrar en otra máquina de la misma red (en el mismo ISP). De esta manera, fueron capaces de generar un ataque de ARP Spoofing contra todos los servidores de esa subred, incluido el de Metasploit, de manera que envenenaban su caché ARP a la hora de definir el gateway por defecto. Así, todas las peticiones, no sólo hacia Metasploit, sino hacia todos los servidores que estaban en la misma red, se redirigían a una página china con el contenido de "Hacked by Sunwear!" mediante un Man in The Middle que se encargaba de hacer el defacement.
Según explica HD Moore, el problema se solucionó añadiendo de forma estática una entrada con la correspondencia IP/MAC reales del gateway por defecto y por supuesto notificando al ISP del problema.
Mis dudas ante este incidente son: ¿cómo logró HD Moore en su máquina de forma remota si su servidor resolvía mal la ruta de vuelta? Es decir, a todos los que hemos tenido que adminsitrar máquinas remotamente nos ha pasado alguna vez (me incluyo), a la hora de hacer alguna labor de cambio de dirección IP o de gateway, o de instalación de software cortafuegos, etc,... que hemos perdido la conectividad con la máquina en remoto. Las únicas soluciones para acceder a tu máquina es ir en modo consola y conseguir de nuevo la conectividad con tu red para poder seguir trabajando remotamente con la máquina, esto es pidiendo a la gente del ISP que te añada la entrada ARP válida. Otra opción posible es que HD Moore tuviera acceso a un switch KVM y que desde ahí pudiera estar ya dentro de la red interna. De esta manera, el ARP spoofing no le afectaría y podría hacer las modificaciones oportunas en su servidor.
Según explica HD Moore, el problema se solucionó añadiendo de forma estática una entrada con la correspondencia IP/MAC reales del gateway por defecto y por supuesto notificando al ISP del problema.
Mis dudas ante este incidente son: ¿cómo logró HD Moore en su máquina de forma remota si su servidor resolvía mal la ruta de vuelta? Es decir, a todos los que hemos tenido que adminsitrar máquinas remotamente nos ha pasado alguna vez (me incluyo), a la hora de hacer alguna labor de cambio de dirección IP o de gateway, o de instalación de software cortafuegos, etc,... que hemos perdido la conectividad con la máquina en remoto. Las únicas soluciones para acceder a tu máquina es ir en modo consola y conseguir de nuevo la conectividad con tu red para poder seguir trabajando remotamente con la máquina, esto es pidiendo a la gente del ISP que te añada la entrada ARP válida. Otra opción posible es que HD Moore tuviera acceso a un switch KVM y que desde ahí pudiera estar ya dentro de la red interna. De esta manera, el ARP spoofing no le afectaría y podría hacer las modificaciones oportunas en su servidor.
Saludos
Dr.White
No hay comentarios:
Publicar un comentario