En el contexto actual de ciberseguridad, uno de los métodos más eficaces para descubrir las vulnerabilidades de una empresa antes de que sean explotadas por ciberdelincuentes son las pruebas de penetración, conocidas comúnmente como pentests. Al simular ataques cibernéticos reales, estas pruebas ofrecen una visión valiosa sobre la postura de seguridad de una organización, permitiendo identificar debilidades que podrían resultar en brechas de datos o incidentes de seguridad significativos.
Vonahi Security, la compañía detrás de la plataforma automatizada de pruebas de penetración de redes vPenTest, ha publicado recientemente su informe anual titulado «Los 10 Principales Hallazgos Críticos de Pentest 2024». En este informe, Vonahi Security llevó a cabo más de 10,000 pentests automatizados en redes internas de más de 1,200 organizaciones, destacando las diez principales vulnerabilidades descubiertas y ofreciendo recomendaciones para mitigarlas de manera efectiva.
Entre las vulnerabilidades más comunes se encuentra la Suplantación de Multicast DNS (mDNS). Este protocolo, usado en redes para resolver nombres DNS sin un servidor, puede ser aprovechado por atacantes que respondan con la dirección IP de su propio sistema. La recomendación principal es desactivar mDNS si no se utiliza, deshabilitando servicios como Apple Bonjour o avahi-daemon.
Otra vulnerabilidad crítica es la Suplantación del Servicio de Nombres NetBIOS (NBNS). Este servicio es común en redes internas y puede ser explotado por atacantes de manera similar. Para prevenir estos ataques, se sugiere configurar la clave de registro UseDnsOnlyForNameResolutions y desactivar el servicio NetBIOS en los hosts de Windows.
El protocolo de Resolución de Nombres Multicast de Enlace Local (LLMNR) también resulta ser un blanco fácil para los atacantes. Las principales recomendaciones son configurar claves de registro específicas y utilizar Políticas de Grupo para desactivar LLMNR.
Otro hallazgo importante es la Suplantación de DNS IPv6, donde los atacantes despliegan servidores DHCPv6 falsos en la red. La recomendación aquí es deshabilitar IPv6 a menos que sea absolutamente necesario y implementar guardias DHCPv6 en los switches de red.
La actualización de sistemas también juega un papel crucial en la protección contra ataques. Los sistemas Microsoft Windows desactualizados son especialmente vulnerables, y se aconseja reemplazarlos con sistemas operativos actualizados y soportados.
El Interfaz de Administración de Plataforma Inteligente (IPMI) presenta otro riesgo significativo debido a vulnerabilidades que permiten la omisión de autenticación. Restringir el acceso a IPMI, desactivar el servicio si no es necesario, y cambiar las contraseñas predeterminadas son medidas recomendadas.
Además, se identificaron vulnerabilidades específicas como BlueKeep (CVE-2019-0708) y EternalBlue (MS17-010), ambas explotables en sistemas Windows desactualizados. Las organizaciones deben aplicar actualizaciones de seguridad lo antes posible para estas vulnerabilidades.
La reutilización de contraseñas de administrador local es otra práctica arriesgada descubierta durante los pentests. Para mitigar este riesgo, se sugiere el uso de soluciones como Microsoft Local Administrator Password Solution (LDAPS) para asegurar que las contraseñas sean únicas y seguras.
Por último, la inyección CGI en Dell EMC IDRAC 7/8 (CVE-2018-1207) podía permitir a los atacantes ejecutar comandos con privilegios de root. La actualización del firmware a la versión más reciente es la medida preventiva recomendada.
Este informe subraya la importancia de realizar pruebas de penetración de manera regular para mantener una postura de seguridad robusta frente a los constantes y crecientes desafíos en el ámbito de la ciberseguridad.
