Ya finalizando alguno de los últimos trabajos de auditoría de ciberseguridad este 2022, una vez más nos encontramos en la revisión en lo que a acceso se refiere:
• muy buenas prácticas: contraseñas robustas, MFA, captchas, etc.
• y otra muy malas: Las credenciales predeterminadas proporcionadas para la autenticación y la configuración iniciales nunca se modificaron.
Este riesgo de seguridad ocupa la posición 7 en el OWASP top ten en su versión 2021 (A07:2021 – Identification and Authentication Failures)
Encontrar listados con credenciales por defecto en internet es muy fácil y rápido (por ejemplo: https://cirt.net/passwords) sumado a lo fácil que es encontrar sistemas expuestos en internet utilizando SHODAN (por ejemplo: https://www.shodan.io/search?query=iDRAC ), por lo que al encontrar algún formulario de inicio de sesión en la revisión, uno en el papel de atacante, las primeras pruebas manuales que realizamos es intentar ingresar de esta forma.
Cabe mencionar que el sistema en cuestión con las credenciales por defecto era un iDRAC , que una vez dentro nos permitía: ver volúmenes, modificarlos, borrarlos, apagar el sistema, etc. Impactando confidencialidad, integridad y disponibilidad.
Es importante identificar el software y los sistemas que probablemente utilicen contraseñas predeterminadas. La siguiente lista incluye software, sistemas y servicios que comúnmente usan contraseñas predeterminadas:
Ejecutar un escáner de vulnerabilidades en la red puede identificar dichos sistemas y servicios que están utilizando las mencionadas credenciales por defecto.
Luego de identificados, modificar la configuración para que no se permita el acceso con esas combinaciones de usuario y contraseña y realizar revisiones periódicas al respecto.