Un análisis realizado por el equipo de Rapid7 sobre los puertos expuestos a Internet, ha revelado algunos datos interesantes que nos sirven para evaluar esta información y los posibles vectores de ataques que se pueden emplear, para causar algún daño en los sistemas.
Se conoció que actualmente hay casi 10 millones de dispositivos en el mundo con el puerto 23 (TELNET) abierto, los cuales pueden ser posibles targets para ataques de fuerza bruta y ataques de MitM.
Otro dato interesante es que hay 7,2 millones de dispositivos con puertos RDP expuestos en línea, un canal favorito para propagar ransomware y otros programas maliciosos. Un ejemplo de esto puedes verlo en unos de nuestros artículos anteriores “Vulnerabilidades épicas: Windows RDP CVE-2012–0002”.
Este informe también determinó cual es el “país más expuesto” teniendo en cuenta el número total de direcciones IPv4 asignadas y el número de puertos expuestos. La lista de los 10 primeros países expuestos, está conformada por Zimbabwe, Hong Kong, Samoa, Congo, Tayikistán, Rumanía, Irlanda, Lituania, Australia y Estonia.
Partiendo de este análisis, en Guayoyo Labs investigamos un poco sobre cuales serían los puertos o servicios más expuestos a Internet en los países de América del Sur.
A continuación les mostramos una tabla con los puertos “no cifrados y cifrados” que más exponen estos países.
Servicios no cifrados:
Servicios cifrados:
La idea de estos análisis, es que podamos conocer los puertos que se exponen sin protocolos cifrados y también los que se exponen cifrados, de esta forma impulsar a los usuarios a que comiencen a utilizar sus dispositivos y servidores con SSH en lugar de Telnet, IMAPS en lugar de IMAP, POP3S en lugar de POP3 o SMTPS en lugar de SMTP.
En el caso de los dispositivos con puerto 23 TELNET abierto, sabemos que no todos son vulnerables, ya que muchos están protegidos por contraseñas fuertes, pero los investigadores de Rapid7 se plantean “si es inteligente ejecutar Telnet, 23 años después de la existencia de SSH”.
Otra recomendación importante a tomar en cuenta, incluso si se usan protocolos cifrados como SSH en dispositivos sensibles y que son susceptibles a ataques de fuerza bruta, deben colocarse detrás de firewalls y acceder sólo a través de VPN. Si no es posible, los dispositivos deben estar protegidos con contraseñas seguras y no usar credenciales predeterminados.
