Third-Party Software… ¿Aliados de los · Ing. Jesús Ramírez Pichardo (PMP, GCFA, GCFE, OPST,...
Transcript of Third-Party Software… ¿Aliados de los · Ing. Jesús Ramírez Pichardo (PMP, GCFA, GCFE, OPST,...
![Page 1: Third-Party Software… ¿Aliados de los · Ing. Jesús Ramírez Pichardo (PMP, GCFA, GCFE, OPST, OPSA e ISO27001 Lead Auditor) En Twitter: @whitexploit Third-Party Software… ¿Aliados](https://reader030.fdocuments.net/reader030/viewer/2022020304/5bafc9dd09d3f2d16a8d6827/html5/thumbnails/1.jpg)
Ing. Jesús Ramírez Pichardo (PMP, GCFA, GCFE, OPST, OPSA e ISO27001 Lead Auditor)
En Twitter: @whitexploit
Third-Party Software… ¿Aliados de los hackers? ¿Enemigos de los sistemas?
![Page 2: Third-Party Software… ¿Aliados de los · Ing. Jesús Ramírez Pichardo (PMP, GCFA, GCFE, OPST, OPSA e ISO27001 Lead Auditor) En Twitter: @whitexploit Third-Party Software… ¿Aliados](https://reader030.fdocuments.net/reader030/viewer/2022020304/5bafc9dd09d3f2d16a8d6827/html5/thumbnails/2.jpg)
Antes de comenzar…
“Las opiniones expresadas en esta presentación son personales y no representan la política o posición oficial de mi empleador.”
![Page 3: Third-Party Software… ¿Aliados de los · Ing. Jesús Ramírez Pichardo (PMP, GCFA, GCFE, OPST, OPSA e ISO27001 Lead Auditor) En Twitter: @whitexploit Third-Party Software… ¿Aliados](https://reader030.fdocuments.net/reader030/viewer/2022020304/5bafc9dd09d3f2d16a8d6827/html5/thumbnails/3.jpg)
Agenda
El socio i có odo
Problemática
Caso de estudio
Conclusiones y Recomendaciones
![Page 4: Third-Party Software… ¿Aliados de los · Ing. Jesús Ramírez Pichardo (PMP, GCFA, GCFE, OPST, OPSA e ISO27001 Lead Auditor) En Twitter: @whitexploit Third-Party Software… ¿Aliados](https://reader030.fdocuments.net/reader030/viewer/2022020304/5bafc9dd09d3f2d16a8d6827/html5/thumbnails/4.jpg)
El “socio” incómodo
![Page 5: Third-Party Software… ¿Aliados de los · Ing. Jesús Ramírez Pichardo (PMP, GCFA, GCFE, OPST, OPSA e ISO27001 Lead Auditor) En Twitter: @whitexploit Third-Party Software… ¿Aliados](https://reader030.fdocuments.net/reader030/viewer/2022020304/5bafc9dd09d3f2d16a8d6827/html5/thumbnails/5.jpg)
Third-Party Software:
“Es un programa desarrollado por un “tercero” que se instala en un sistema “base” para ampliar su funcionalidad estándar”.
![Page 6: Third-Party Software… ¿Aliados de los · Ing. Jesús Ramírez Pichardo (PMP, GCFA, GCFE, OPST, OPSA e ISO27001 Lead Auditor) En Twitter: @whitexploit Third-Party Software… ¿Aliados](https://reader030.fdocuments.net/reader030/viewer/2022020304/5bafc9dd09d3f2d16a8d6827/html5/thumbnails/6.jpg)
Los sistemas “base”…
![Page 7: Third-Party Software… ¿Aliados de los · Ing. Jesús Ramírez Pichardo (PMP, GCFA, GCFE, OPST, OPSA e ISO27001 Lead Auditor) En Twitter: @whitexploit Third-Party Software… ¿Aliados](https://reader030.fdocuments.net/reader030/viewer/2022020304/5bafc9dd09d3f2d16a8d6827/html5/thumbnails/7.jpg)
El “socio” incómodo:
Podríamos entender que un Third-Party Software es un “socio” de los sistemas “base”.
Pero…
![Page 8: Third-Party Software… ¿Aliados de los · Ing. Jesús Ramírez Pichardo (PMP, GCFA, GCFE, OPST, OPSA e ISO27001 Lead Auditor) En Twitter: @whitexploit Third-Party Software… ¿Aliados](https://reader030.fdocuments.net/reader030/viewer/2022020304/5bafc9dd09d3f2d16a8d6827/html5/thumbnails/8.jpg)
Vulnerabilidades críticas en…Java:
(http://www.forbes.com/sites/eliseackerman/2013/01/11/us-department-of-homeland-security-calls-on-computer-users-to-disable-java/)
![Page 9: Third-Party Software… ¿Aliados de los · Ing. Jesús Ramírez Pichardo (PMP, GCFA, GCFE, OPST, OPSA e ISO27001 Lead Auditor) En Twitter: @whitexploit Third-Party Software… ¿Aliados](https://reader030.fdocuments.net/reader030/viewer/2022020304/5bafc9dd09d3f2d16a8d6827/html5/thumbnails/9.jpg)
Vulnerabilidades críticas en…Flash Player:
(http://www.computerworld.com/article/2504180/mac-os-x/apple-patches-safari--blocks-outdated-flash-player.html)
![Page 10: Third-Party Software… ¿Aliados de los · Ing. Jesús Ramírez Pichardo (PMP, GCFA, GCFE, OPST, OPSA e ISO27001 Lead Auditor) En Twitter: @whitexploit Third-Party Software… ¿Aliados](https://reader030.fdocuments.net/reader030/viewer/2022020304/5bafc9dd09d3f2d16a8d6827/html5/thumbnails/10.jpg)
Vulnerabilidades críticas en…Plugins de WP:
(http://www.zdnet.com/wordpress-plugin-vulns-affect-over-20-million-downloads-7000031703/or_update.html)
![Page 11: Third-Party Software… ¿Aliados de los · Ing. Jesús Ramírez Pichardo (PMP, GCFA, GCFE, OPST, OPSA e ISO27001 Lead Auditor) En Twitter: @whitexploit Third-Party Software… ¿Aliados](https://reader030.fdocuments.net/reader030/viewer/2022020304/5bafc9dd09d3f2d16a8d6827/html5/thumbnails/11.jpg)
Vulnerabilidades críticas en…OpenSSL:
(http://www.pcworld.com/article/2140920/heartbleed-bug-in-openssl-puts-encrypted-communications-at-risk.html)
![Page 12: Third-Party Software… ¿Aliados de los · Ing. Jesús Ramírez Pichardo (PMP, GCFA, GCFE, OPST, OPSA e ISO27001 Lead Auditor) En Twitter: @whitexploit Third-Party Software… ¿Aliados](https://reader030.fdocuments.net/reader030/viewer/2022020304/5bafc9dd09d3f2d16a8d6827/html5/thumbnails/12.jpg)
Problemática
![Page 13: Third-Party Software… ¿Aliados de los · Ing. Jesús Ramírez Pichardo (PMP, GCFA, GCFE, OPST, OPSA e ISO27001 Lead Auditor) En Twitter: @whitexploit Third-Party Software… ¿Aliados](https://reader030.fdocuments.net/reader030/viewer/2022020304/5bafc9dd09d3f2d16a8d6827/html5/thumbnails/13.jpg)
Thirty Party Software responsable del 76% de vulnerabilidades en equipos de cómputo:
(http://secunia.com/vulnerability-review/vendor_update.html)
![Page 14: Third-Party Software… ¿Aliados de los · Ing. Jesús Ramírez Pichardo (PMP, GCFA, GCFE, OPST, OPSA e ISO27001 Lead Auditor) En Twitter: @whitexploit Third-Party Software… ¿Aliados](https://reader030.fdocuments.net/reader030/viewer/2022020304/5bafc9dd09d3f2d16a8d6827/html5/thumbnails/14.jpg)
Java y Adobe: los “más vulnerables”:
(http://www.av-test.org/es/noticias/news-single-view/adobe-java-hacen-que-windows-sea-inseguro/)
![Page 15: Third-Party Software… ¿Aliados de los · Ing. Jesús Ramírez Pichardo (PMP, GCFA, GCFE, OPST, OPSA e ISO27001 Lead Auditor) En Twitter: @whitexploit Third-Party Software… ¿Aliados](https://reader030.fdocuments.net/reader030/viewer/2022020304/5bafc9dd09d3f2d16a8d6827/html5/thumbnails/15.jpg)
Sistemas operativos son más inseguros por el software de “terceros”:
(http://computerhoy.com/noticias/software/windows-8-es-windows-mas-vulnerable-culpa-flash-9652)
![Page 16: Third-Party Software… ¿Aliados de los · Ing. Jesús Ramírez Pichardo (PMP, GCFA, GCFE, OPST, OPSA e ISO27001 Lead Auditor) En Twitter: @whitexploit Third-Party Software… ¿Aliados](https://reader030.fdocuments.net/reader030/viewer/2022020304/5bafc9dd09d3f2d16a8d6827/html5/thumbnails/16.jpg)
Vulnerabilidades en WordPress:
(https://wpvulndb.com/statistics)
![Page 17: Third-Party Software… ¿Aliados de los · Ing. Jesús Ramírez Pichardo (PMP, GCFA, GCFE, OPST, OPSA e ISO27001 Lead Auditor) En Twitter: @whitexploit Third-Party Software… ¿Aliados](https://reader030.fdocuments.net/reader030/viewer/2022020304/5bafc9dd09d3f2d16a8d6827/html5/thumbnails/17.jpg)
Top 10 de plugins WP más vulnerables:
(https://wpvulndb.com/statistics)
![Page 18: Third-Party Software… ¿Aliados de los · Ing. Jesús Ramírez Pichardo (PMP, GCFA, GCFE, OPST, OPSA e ISO27001 Lead Auditor) En Twitter: @whitexploit Third-Party Software… ¿Aliados](https://reader030.fdocuments.net/reader030/viewer/2022020304/5bafc9dd09d3f2d16a8d6827/html5/thumbnails/18.jpg)
¿Y los parches apa?...
![Page 19: Third-Party Software… ¿Aliados de los · Ing. Jesús Ramírez Pichardo (PMP, GCFA, GCFE, OPST, OPSA e ISO27001 Lead Auditor) En Twitter: @whitexploit Third-Party Software… ¿Aliados](https://reader030.fdocuments.net/reader030/viewer/2022020304/5bafc9dd09d3f2d16a8d6827/html5/thumbnails/19.jpg)
Los “Pros” del Third-Party Software:
Es un hecho que los Third-Party Software han abierto un mundo de posibilidades.
Han hecho que los sistemas “base” sean más versátiles
y cubran un sinnúmero de nuevas necesidades de los usuarios.
![Page 20: Third-Party Software… ¿Aliados de los · Ing. Jesús Ramírez Pichardo (PMP, GCFA, GCFE, OPST, OPSA e ISO27001 Lead Auditor) En Twitter: @whitexploit Third-Party Software… ¿Aliados](https://reader030.fdocuments.net/reader030/viewer/2022020304/5bafc9dd09d3f2d16a8d6827/html5/thumbnails/20.jpg)
Los “Contras” del Third-Party Software:
Sin embargo, también han abierto las puertas a los hackers, quienes desde hace un par de años aprovechan sus vulnerabilidades como uno de los principales vectores de ataque para violentar los sistemas “base”.
Aun cuando dichos sistemas “base” cuenten con un
robusto nivel de seguridad informática.
![Page 21: Third-Party Software… ¿Aliados de los · Ing. Jesús Ramírez Pichardo (PMP, GCFA, GCFE, OPST, OPSA e ISO27001 Lead Auditor) En Twitter: @whitexploit Third-Party Software… ¿Aliados](https://reader030.fdocuments.net/reader030/viewer/2022020304/5bafc9dd09d3f2d16a8d6827/html5/thumbnails/21.jpg)
Caso de estudio
![Page 22: Third-Party Software… ¿Aliados de los · Ing. Jesús Ramírez Pichardo (PMP, GCFA, GCFE, OPST, OPSA e ISO27001 Lead Auditor) En Twitter: @whitexploit Third-Party Software… ¿Aliados](https://reader030.fdocuments.net/reader030/viewer/2022020304/5bafc9dd09d3f2d16a8d6827/html5/thumbnails/22.jpg)
WordPress Slideshow Gallery 1.4.6 Shell Upload
(http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2014-5460)
![Page 23: Third-Party Software… ¿Aliados de los · Ing. Jesús Ramírez Pichardo (PMP, GCFA, GCFE, OPST, OPSA e ISO27001 Lead Auditor) En Twitter: @whitexploit Third-Party Software… ¿Aliados](https://reader030.fdocuments.net/reader030/viewer/2022020304/5bafc9dd09d3f2d16a8d6827/html5/thumbnails/23.jpg)
WordPress Slideshow Gallery 1.4.6 Shell Upload
Video demostración del ataque CVE-2014-5460:
https://www.youtube.com/watch?v=FuVr9YaUrbE
![Page 24: Third-Party Software… ¿Aliados de los · Ing. Jesús Ramírez Pichardo (PMP, GCFA, GCFE, OPST, OPSA e ISO27001 Lead Auditor) En Twitter: @whitexploit Third-Party Software… ¿Aliados](https://reader030.fdocuments.net/reader030/viewer/2022020304/5bafc9dd09d3f2d16a8d6827/html5/thumbnails/24.jpg)
WordPress Slideshow Gallery 1.4.6 Shell Upload
1. Un atacante carga en WP un “web backdoor” a través del plugin vulnerable:
![Page 25: Third-Party Software… ¿Aliados de los · Ing. Jesús Ramírez Pichardo (PMP, GCFA, GCFE, OPST, OPSA e ISO27001 Lead Auditor) En Twitter: @whitexploit Third-Party Software… ¿Aliados](https://reader030.fdocuments.net/reader030/viewer/2022020304/5bafc9dd09d3f2d16a8d6827/html5/thumbnails/25.jpg)
WordPress Slideshow Gallery 1.4.6 Shell Upload
2. El “web backdoor” está localizado en http://VICTIM/wordpress/wp-content/uploads/slideshow-gallery/backdoor.php:
![Page 26: Third-Party Software… ¿Aliados de los · Ing. Jesús Ramírez Pichardo (PMP, GCFA, GCFE, OPST, OPSA e ISO27001 Lead Auditor) En Twitter: @whitexploit Third-Party Software… ¿Aliados](https://reader030.fdocuments.net/reader030/viewer/2022020304/5bafc9dd09d3f2d16a8d6827/html5/thumbnails/26.jpg)
WordPress Slideshow Gallery 1.4.6 Shell Upload
3. El atacante utiliza un cliente para comunicarse con el “web backdoor”. Ahora el atacante tiene una consola tipo “telnet”:
![Page 27: Third-Party Software… ¿Aliados de los · Ing. Jesús Ramírez Pichardo (PMP, GCFA, GCFE, OPST, OPSA e ISO27001 Lead Auditor) En Twitter: @whitexploit Third-Party Software… ¿Aliados](https://reader030.fdocuments.net/reader030/viewer/2022020304/5bafc9dd09d3f2d16a8d6827/html5/thumbnails/27.jpg)
WordPress Slideshow Gallery 1.4.6 Shell Upload
4. Finalmente, el atacante tiene el control remoto del sitio web:
![Page 28: Third-Party Software… ¿Aliados de los · Ing. Jesús Ramírez Pichardo (PMP, GCFA, GCFE, OPST, OPSA e ISO27001 Lead Auditor) En Twitter: @whitexploit Third-Party Software… ¿Aliados](https://reader030.fdocuments.net/reader030/viewer/2022020304/5bafc9dd09d3f2d16a8d6827/html5/thumbnails/28.jpg)
Conclusiones y Recomendaciones
![Page 29: Third-Party Software… ¿Aliados de los · Ing. Jesús Ramírez Pichardo (PMP, GCFA, GCFE, OPST, OPSA e ISO27001 Lead Auditor) En Twitter: @whitexploit Third-Party Software… ¿Aliados](https://reader030.fdocuments.net/reader030/viewer/2022020304/5bafc9dd09d3f2d16a8d6827/html5/thumbnails/29.jpg)
¿Medida drástica?
![Page 30: Third-Party Software… ¿Aliados de los · Ing. Jesús Ramírez Pichardo (PMP, GCFA, GCFE, OPST, OPSA e ISO27001 Lead Auditor) En Twitter: @whitexploit Third-Party Software… ¿Aliados](https://reader030.fdocuments.net/reader030/viewer/2022020304/5bafc9dd09d3f2d16a8d6827/html5/thumbnails/30.jpg)
Recomendaciones (1/4):
1. Instalar/habilitar el Third Party Software estrictamente NECESARIO.
2. Robustecer la configuración de seguridad del sistema “base” y de cada uno de sus “socios”.
![Page 31: Third-Party Software… ¿Aliados de los · Ing. Jesús Ramírez Pichardo (PMP, GCFA, GCFE, OPST, OPSA e ISO27001 Lead Auditor) En Twitter: @whitexploit Third-Party Software… ¿Aliados](https://reader030.fdocuments.net/reader030/viewer/2022020304/5bafc9dd09d3f2d16a8d6827/html5/thumbnails/31.jpg)
Recomendaciones (2/4):
3. Actualizar responsablemente tanto el sistema “base” y sus “socios”.
![Page 32: Third-Party Software… ¿Aliados de los · Ing. Jesús Ramírez Pichardo (PMP, GCFA, GCFE, OPST, OPSA e ISO27001 Lead Auditor) En Twitter: @whitexploit Third-Party Software… ¿Aliados](https://reader030.fdocuments.net/reader030/viewer/2022020304/5bafc9dd09d3f2d16a8d6827/html5/thumbnails/32.jpg)
Recomendaciones (3/4):
4. Complementar la protección de los equipos de cómputo con mecanismos preventivos y detectivos (antivirus, antispyware, antispam, firewall, control de contenido web, detector de intrusos, control de aplicaciones por “lista blanca”, entre otros).
![Page 33: Third-Party Software… ¿Aliados de los · Ing. Jesús Ramírez Pichardo (PMP, GCFA, GCFE, OPST, OPSA e ISO27001 Lead Auditor) En Twitter: @whitexploit Third-Party Software… ¿Aliados](https://reader030.fdocuments.net/reader030/viewer/2022020304/5bafc9dd09d3f2d16a8d6827/html5/thumbnails/33.jpg)
Recomendaciones (4/4):
5. Retar continuamente su seguridad informática por medio de PenTest para determinar el impacto real de una vulnerabilidad.
“Pensar como un Hacker” y aprovechar los conocimientos de los mismos para evaluar la
seguridad de servicios críticos e identificar los "eslabones más débiles" que los atacantes del "mundo real" podrían aprovechar para dañar a la organización.
![Page 34: Third-Party Software… ¿Aliados de los · Ing. Jesús Ramírez Pichardo (PMP, GCFA, GCFE, OPST, OPSA e ISO27001 Lead Auditor) En Twitter: @whitexploit Third-Party Software… ¿Aliados](https://reader030.fdocuments.net/reader030/viewer/2022020304/5bafc9dd09d3f2d16a8d6827/html5/thumbnails/34.jpg)
GRACIAS POR TU ATENCIÓN
Preguntas
Contáctame: [email protected] Twitter: @whitexploit http://whitexploit.blogspot.mx https://www.youtube.com/user/whitexploit