Seguridad en redes y servicios
Medidas de mitigación
La CNT EP. pone a tu disposición, las siguientes recomendaciones técnicas de mitigación de los incidentes y vulnerabilidades más comunes reportados por los centros de respuesta de emergencias informáticas (CERTs), proveedores de seguridad, clientes, entre otros:
| Reporte | Tipo de reporte | Descripción | Verificación | Remedicación sugerida |
|---|---|---|---|---|
| Open_Memcached | Vulnerabilidad |
Es un sistema sin autenticación, se pueden presentar ataques de amplificación UDP. No se necesita Bootnet para ataque DDoS. |
Para la detección de esta vulnerabilidad se usa el comando: nmap –p11211 [ip] |
• Deshabilitar el protocolo en caso de no ser necesario. • Deshabilitar el puerto por default o cambiarlo en caso de requerir que dicho servicio se encuentre publicado en Internet. • Filtrar el puerto en firewall de frontera y dar acceso solo a IPs de confianza. |
| Open_Netbios | Vulnerabilidad |
NetBIOS define una interfaz de software y una convención de nomenclatura. NetBIOS sobre TCP/IP proporciona la interfaz de programación NetBIOS sobre el protocolo TCP/IP. Se puede abusar de los servicios de nombres NetBIOS de acceso abierto para ataques de reflexión DDoS contra terceros. Además, permiten a los atacantes potenciales recopilar información en el servidor o la red para la preparación de nuevos ataques. |
Para verificar que el servicio sea accesible abiertamente desde Internet, se puede
utilizar la herramienta 'nmblookup': $ nmblookup -A [IP involucrada] |
• Si no se necesita NetBIOS sobre TCP / IP, desactívelo. • Restrinja el acceso al servicio de nombres NetBIOS a clientes de confianza, bloqueando las conexiones entrantes al puerto 137 tcp/udp en el firewall. • Por razones de seguridad, también debería considerar bloquear el acceso a los puertos 135, 138, 139 y 445 desde cualquier lugar de Internet. |
| Accesible_RDP | Vulnerabilidad | Un atacante podría acceder de manera no autorizada al sistema de información vulnerando la confidencialidad, integridad y disponibilidad del sistema. |
Escaneo de puertos hacia el TCP 3389. El comando para verificar si el puerto está abierto es: nmap -Pn -p 3389 [ip address] |
• Desactivar el servicio de Escritorio Remoto. Para mayor información: https://docs.bluehosting.cl/tutoriales/servidores/como-habilitar-deshabilitar-el-acceso-a-traves-de-escritorio-remoto.html. • Actualizar el sistema operativo. • Cambiar el puerto de escucha para la conexión RDP por puertos de alto nivel no estándar. • Utilizar una autenticación robusta, contraseñas de longitud mínima de 8 caracteres incluyendo números, letras y caracteres especiales. |
| Open_VNC | Vulnerabilidad |
Un atacante podría acceder de manera no autorizada al sistema de información vulnerando la
confidencialidad del sistema. Corrupción de memoria. Fallas en operaciones y denegación de servicio. Acceso a información. Liberación de malware. BlueKeep. |
Escaneo de puertos hacia el TCP 5900. El comando para verificar si el puerto está abierto es: nmap -Pn -p 5900 [ip address] |
• Desactivar el servicio de VNC. • Actualizar el sistema operativo. • Cambiar el puerto de escucha para la conexión VNC por puertos de alto nivel no estándar. • Utilizar una autenticación robusta, contraseñas de longitud mínima de 8 caracteres incluyendo números, letras y caracteres especiales. • Restringir acceso a IP´s de confianza. |
| Hacker | Vulnerabilidad |
Atacante puede tomar ventaja del protocolo IRC. IRC es un método popular utilizado por los propietarios de botnets para enviar comandos a las computadoras individuales de su botnet. Esto se hace en un canal específico, en una red IRC pública o en un servidor IRC separado. El servidor de IRC que contiene los canales que se utilizan para controlar bots se conoce como "comando y control" o servidor C2. |
Antiguas botnets utilizan el Puerto 6667 para tomar control de las máquinas infectadas y
poder generar una ataque DDoS a un objetivo. Por lo que se puede ejecutar el siguiente comando: nmap –sV –script=irc-unrealircd-backdoor [ip target] |
• Filtrado de puerto tcp/udp 6667 en el router de acceso a internet o en el firewall de
frontera del cliente. • Antivirus. • Actualización de sistemas comprometidos. |
| Reporte | Tipo de reporte | Descripción | Verificación | Remedicación sugerida |
|---|---|---|---|---|
| DNS_Open_Resolver | Vulnerabilidad |
Se denomina como Open DNS Resolver a aquel servidor que resolverá cualquier petición
recursiva de información sin importar el origen de la misma, con lo que un tercero, que no
tiene nada que ver con nuestra empresa, puede utilizar los recursos de nuestro servidor
DNS como parte de un ataque a un tercero e involucrarnos sin ni siquiera tener constancia
de él. Se basa en peticiones aparentemente legítimas, pero con la dirección IP originaría falseada por la de la víctima que quieren atacar. |
Para la detección se verifica si el puerto 53 UDP se encuentra abierto. Linux: nmap -v -p 53 Windows: netstat -ano |
Recomendaciones a realizar en el servidor DNS previa validacióndel administrador del
sistema: • Deshabilitar la búsqueda recursiva. • Bloquear las peticiones externas. • Limitar las peticiones de resolución con recursividad • Configurar siempre las redes de confianza para realizar resoluciones con recursividad. |
| Open_Proxy | Vulnerabilidad |
Un Open Proxy permite a los clientes malintencionados montar ataques que se originan en la
IP del servidor proxy, sin necesidad de que el atacante se autentique primero en el
proxy. Además, un open proxy puede permitir que un atacante acceda a una red interna que de otro modo sería segura. |
1. Validar si el servidor es un open proxy: sudo nmap -sS -sV -p 8080 --script http-open-proxy.nse X.X.X.X 2. Verificar si requiere autenticación: http_proxy=http://X.X.X.X:8080/ curl -4 -s http://nyc2.mirrors.digitalocean.com/tools/open_proxy_check.txt |
Deben tomarse medidas para configurar correctamente el servidor proxy de modo que se
denieguen las conexiones no autorizadas. • Linux: squid-disable-default-open-proxy • Windows: microsoft-isa-disable-default-open-proxy |
| Poodle_SSLv3 | Vulnerabilidad |
Esta vulnerabilidad se aprovecha de una característica que hace que, cuando un intento de
conexión segura (TLS1.0 o posterior) falla, se proceda a intentar realizar de nuevo esa
conexión pero con un protocolo de comunicación más antiguo (SSL 3.0 o anterior), y el
atacante podría ocasionar intencionadamente errores de conexión 0 para aprovechar la nueva
vulnerabilidad. Se orienta a obtener información que antes estaba cifrada. | Conexiones menores a TLS 1.0. | • Dejar de utilizar SSL 3.0 y todas sus versiones anteriores y usar solo TLS 1.0 y posteriores. |
| Scanners | Incidente | La dirección IP detectada hace referencia a un host el cual estaría analizando puertos abiertos y cerrados de un sistema de información específico. | Verificar las aplicaciones instaladas en los dispositivos y usar herramientas de detección de escaneo de puertos. | Desinstalar programas de escaneo de redes. |
| Open_SMB | Vulnerabilidad | Permite a los atacantes exponer la memoria del kernel de forma remota. Esto, combinado con otra vulnerabilidad ya conocida (CVE-2020-0796, también conocida como «SMBGhost»), podría conducir a la ejecución remota de código. | SMB usa el puerto IP 139 o 445. Verificar los puertos abiertos con el comando netstat y que Windows no se encuentre actualizado. |
• Realizar actualizaciones periódicas de los sistemas operativos Windows. • Verificar si es factible el bloqueo del puerto 445 en su seguridad perimetral. • Aislamiento del host. |
| CWMP | Vulnerabilidad | El Protocolo de administración CPE WAN (CWMP) fue diseñado para estandarizar la administración de dispositivos, la explotación de la vulnerabilidad en el protocolo CWMP podría permitir a un atacante tomar control de dispositivos conectados a Internet, y robar datos personales y financieros. |
Escaneo de puertos hacia el TCP 7547. El comando para verificar si el puerto está abierto es: nmap -Pn -p 7547 [ip address] | Actualizar el firmware del equipo. |
| Bruteforce | Incidente | Un atacante utiliza un sistema de prueba y error en un intento de adivinar las credenciales de usuario válidas. Estos ataques suelen automatizarse mediante el uso de herramientas dedicadas, permitiendo a un atacante realizar una gran cantidad de intentos de inicio de sesión a alta velocidad. | Con herramientas de fuerza bruta y escáneres de vulnerabilidades le ayudan a identificar rápidamente probables sondeos por parte de los atacantes que quieren aprovechar posibles agujeros de seguridad. |
• Los ataques de fuerza bruta son sorprendentemente difíciles de detener por completo,
pero usando múltiples contramedidas, se puede limitar su exposición a estos ataques. • Usar contraseñas largas e impredecibles, evitar las palabras del diccionario, evitar reutilizar las contraseñas y cambiar las contraseñas con regularidad. • Permitir el inicio de sesión solo desde ciertas direcciones IP. • Asignar URL de inicio de sesiones únicas a bloques de usuarios para que no todos los usuarios puedan acceder al sitio desde la misma URL. • Utilizar un CAPTCHA para prevenir ataques automatizados. |
| NTP_Version | Vulnerabilidad | NTP o Network Time Protocol, es un protocolo diseñado para sincronizar los relojes de las estaciones de trabajo a través de la red. Un delincuente podría identificar servidores NTP y utilizarlos en ataques de amplificación de denegación de servicio distribuida (DDoS). |
Para comprobar si un sistema es vulnerable, puede utilizar el siguiente comando: ntpq -c rv [ip] |
• Actualizar la versión del servidor NTP. Todas las versiones del servidor NTP anteriores
a 4.2.7 son vulnerables. • Incluir en el archivo de configuración del servidor NTP la siguiente línea: ntp-diasble-query-ntporg |
| Mdns | Vulnerabilidad | El protocolo mDNS esta creado para resolver nombres de host en direcciones IP dentro de redes pequeñas que no incluyen un servidor de nombres local. Un atacante podría hacer que un sistema de información ejecute código malicioso lo cual a su vez vulnere la confidencialidad, integridad y disponibilidad de la información de dicho sistema, de igual manera podrían ser explotadas para realizar ataques de amplificación (el atacante puede falsificar su dirección IP de destino para saturarla con respuestas mDNS de su servidor). |
Para verificar si el servidor es vulnerable se realiza la siguiente consulta como root
desde un host remoto: # nmap -Pn -sU -p5353 –script=dns-service-discovery [ip-del-servidor] Si se obtiene un valor del puerto 5353/udp abierto entonces se está expuesto a dicha vulnerabilidad. |
• Desactivar el servicio mDNS (Apple Bonjour o avahi-daemon) sino se está utilizando. Esta
es la solución más sencilla. • Filtrar el tráfico entrante al puerto UDP 5353 permitiendo que sólo host o IPs de confianza puedan contactar y tener acceso al servicio mDNS. • No exponer este servicio al Internet de forma directa o, en general, a un entorno donde clientes no deseados puedan acceder directamente el servicio. |
| Freak_SSL | Vulnerabilidad | FREAK (Factoring Attack on RSA-EXPORT Keys CVE-2015-0204 ) es una debilidad en algunas implementaciones de SSL / TLS que puede permitir a un atacante interceptar la conexión HTTPS entre el cliente y el servidor vulnerables y la capacidad de obligarlos a utilizar un cifrado débil. Esto ayudará a un atacante a robar o manipular datos confidenciales. |
Se puede realizar una verificación con su URL HTTPS en los siguientes enlaces. https://www.ssllabs.com/ssltest/ https://gf.dev/tls-scanner https://tools.keycdn.com/freak |
• Desactivar el soporte para versiones TLS del tipo EXPORT. • Desactivar otros protocolos inseguros como SSL o versiones de TLS inferiores a la versión 1.2. • Mantener actualizados los navegadores con la versión más reciente. • Configurar las aplicaciones de cliente y servidor para que no utilicen cifrados de grado de exportación (EC). |
| ISAKMP | Vulnerabilidad | La vulnerabilidad se puede aprovechar enviando paquetes de intercambio de claves de Internet (IKE) con formato incorrecto. IKE se usa comúnmente en soluciones IPSEC. Los productos afectados incluyen soluciones basadas en software y hardware producidas por Juniper Networks, Cisco Systems, SecGo Solutions, Stonesoft, Nortel, Sun Microsystems y posiblemente otros proveedores. | Verificar si los sistemas operativos de los routers Cisco de frontera de acceso a Internet (CE´s) tienen las siguientes versiones de Key Exchange Version 2 (IKEv2) de Cisco IOS 15.0 a 15.6 y Cisco IOS XE 3.5 a 16.5 p |
• Deshabilitar ISAKMP si no se está usando IPSEC en los routers de acceso a Internet. • Actualizar el IOS de los routers en caso se tenga habilitado IPSEC a última versión estable disponible. |
| LDAP | Vulnerabilidad | Consiste en el bypass de autenticación desde un servidor externo (LDAP), debido a una falla en las respuestas de autenticación. Un atacante podría aprovechar esta vulnerabilidad enviando solicitudes HTTP diseñadas a un dispositivo afectado. Una explotación exitosa podría permitir al atacante obtener acceso administrativo a la interfaz de administración basada en web del dispositivo afectado. |
Para la detección de esta vulnerabilidad se usa el comando: nmap -sV -sC -p 389 |
• Desactivar la comunicación UDP para los servicios de directorio. • Solicitar filtros anti-spoofing. • Desplegar los servidores LDAP detrás del firewall • Limitar la visibilidad del servidor LDAP en Internet. • Despliegue de sistemas de detección y bloqueo de intrusiones (IDS\IPS). • Mantener los servidores LDAP actualizados y parcheados. |
| Open_SQL_Server _Resolution | Vulnerabilidad | Un atacante podría hacer que un sistema de información ejecute código malicioso lo cual a su vez vulnere la confidencialidad, integridad y disponibilidad de la información de dicho sistema. |
[Domainname].de/news.php?id=X‘ El apóstrofe en el identificador del URL hace que una página web vulnerable arroje un mensaje de error como este: “Query failed: You have an error in your SQL Syntax …” |
• Deshabilitar el mysql browser service. • Instale solo solo componentes requeridos en mysql database. • Asignar privilegios de acceso al servicio en base al principio de más bajo privilegio. • Realizar un hardening al servidor Windows donde mysql server está operando. |
| Open_Telnet | Vulnerabilidad | Un atacante podría acceder de manera no autorizada al sistema de información vulnerando la confidencialidad, integridad y disponibilidad del sistema. |
El comando que se utiliza para verificar si el puerto telnet está abierto es: Linux: nmap -v -p 23 [IP] Windows (cmd): netstat -ano |
• Cerrar el puerto 23 y el puerto 2323. • Utilizar aplicaciones equivalentes que utilicen cifrado para la transmisión de datos como SSH o SSL-Telnet. |
| Open_MongoDB | Vulnerabilidad | Un atacante podría hacer que un sistema de información ejecute código malicioso lo cual a su vez vulnere la confidencialidad, integridad y disponibilidad de la información de dicho sistema. |
Para la detección de esta vulnerabilidad se usa el comando: nmap -p27017 [ip] |
• Configurar reglas de firewall o grupos de seguridad en su lugar. • Enlace MongoDB solo a las interfaces y puertos necesarios. • Habilitar autenticación, usuarios y roles. / Copia de seguridad periódica / Auditorías de seguridad. |
| Open_IPMI | Vulnerabilidad | Los atacantes pueden utilizar IPMI para obtener esencialmente acceso de nivel físico al servidor. Un atacante puede reiniciar el sistema, instalar un nuevo sistema operativo o comprometer datos sin pasar por los controles del sistema operativo. |
Para la detección de esta vulnerabilidad se usa el comando: nmap –p 623 [ip] |
• Restringir IPMI exclusivamente a redes internas. • Utilizar una autenticación robusta, contraseñas de longitud mínima de 8 caracteres incluyendo números, letras y caracteres especiales. • Encriptar el trafico IPMI si es posible. • Deshabilitar “cipher 0” para requerir autenticación. |
| Reporte | Tipo de reporte | Descripción | Verificación | Remedicación sugerida |
|---|---|---|---|---|
| Open_SSDP | Vulnerabilidad | El Protocolo simple de descubrimiento de servicios (SSDP) es un protocolo de red para publicidad y descubrimiento de servicios de red e información de presencia. SSDP es la base del protocolo de descubrimiento de Universal Plug and Play (UPnP). SSDP usa el puerto 1900 / udp. Estos servicios tienen el potencial de ser utilizados en ataques de amplificación por delincuentes que desean realizar ataques de denegación de servicio. |
Para validar si un servidor es vulnerable, puede usar el siguiente comando para ver si el
puerto aún está abierto/cerrado: C:\>netstat -abn VERSIÓN DE SERVICIO DE ESTADO DE PUERTO IP 1900 / udp abierto | filtrado upnp |
• Bloquear el puerto 1900 / udp en su firewall. • Desactivar el servicio SSDP (solo Windows) o desinstálelo si el servidor SSDP no es necesario. • Restringir el acceso a clientes confiables bloqueando las conexiones entrantes al puerto 1900 / udp en el firewall |
| Microsoft_Sinkhole | Incidente | Sinkhole es un sistema con la capacidad de recibir diferentes tipos de tráfico como HTTP o SMTP (E-Mail). Su objetivo es reunir tanta información como sea posible sobre las conexiones y equipos. Los delincuentes podrían dirigirse hacia un sistema pasivo para extraer la información de conexión, con el propósito de emular protocolos y funcionalidades. | NA | • Un computador detectado por una SINKHOLE debe usar un antivirus. |
| Open_Portmapper | Vulnerabilidad | Portmapper, también conocido como RPC Bind o RPC Portmap, es un servicio utilizado por los sistemas informáticos para ayudar con las tareas de red. Los dispositivos que utilizan el servicio corren el riesgo de ser utilizado en ataques de amplificación por delincuentes que deseen realizar ataques de denegación de servicio. Además, portmapper se puede usar para obtener una gran cantidad de información sobre el objetivo, incluidas las exportaciones NFS que están alojadas en ese dispositivo, si el programa mountd también es accesible. |
El comando shell para imitar una exploración portmapper es: rpcinfo -T udp -p [IP] Este problema se dá normalmente en servidores Linux que tienen el servicio de portmapper (rpcbind) expuesto a internet corriendo en los puertos 111/tcp y/p 111/udp. |
• Normalmente es seguro apagarlo ejecutando: service rpcbind stop chkconfig rpcbind off En las versiones modernas de CentOS Linux (7 y superiores) se ejecuta: systemctl stop rpcbind systemctl disable rpcbind • Si lo considera necesario y para mayor seguridad, puede eliminar totalmente el paquete rpcbind: yum erase rpcbind Bloquear desde el firewall las conexiones entrantes hacia los puertos 111/udp y 111/tcp. |
| Open_TFTP | Vulnerabilidad | Un atacante podría hacer que un sistema de información ejecute código malicioso lo cual a su vez vulnere la confidencialidad, integridad y disponibilidad de la información de dicho sistema. |
• Verificar si se tiene TFTP habilitado usar el comando: "tftp [IP] 69" • Ejecutar el siguiente comando: get [nombre_cualquiera] • Los mensajes de error que indican que TFTP está habilitado son: File not found o Access violation |
Para evitar este tipo de vulnerabilidad se recomienda: • Revisar la necesidad de tener dicho servicio habilitado. • Si es indispensable su utilización se debe configurar las redes de acceso. |
| Sinkhole_HTTP | Incidente | En el contexto de seguridad informática, es un servicio creado deliberadamente y que se utiliza para representar a un verdadero servicio, ya sea un servicio legítimo o malintencionado como un host de comando de control de botnet. En este caso en particular, el sinkhole aquí es un servicio dirigido por una organización de seguridad para atrapar y registrar visitas a sitios web que se redirigieron por suplantación a donde tendrían que ser redirigidos. | Aviso sobre un sinkhole de parte del Equipo de Seguridad ejempls CSIRTs. |
Utilizando la información reportada: • Contener el "host http visitado" y también el "tipo de infección". • Cambiar la contraseña de ese usuario y todo el material alojado. |
| Open_Qotd | Vulnerabilidad | El servicio quote of the dayquote of the day (qotd) se ejecuta en el puerto 17, que se utiliza para proporcionar una cotización al cliente que se conecta. Cuando se contacta a través de UDP, las respuestas pueden ser 500 veces el tamaño de la solicitud correspondiente y pueden usarse para realizar ataques de amplificación de tráfico contra otros activos, generalmente en forma de ataques de denegación de servicio reflejada distribuida (DRDoS). | sudo nmap -sU -PN -p17 xxx.xxx.xxx.xxx |
• Deshabilitar el puerto 17 en caso que no sea necesario. • Bloquear el tráfico TCP y UDP en el firewall de frontera |
Para mayor información: ECUCERT – ARCOTEL dispone en su portal web www.ecucert.gob.ec las acciones recomendadas para la mitigación de incidentes y vulnerabilidades de seguridad.
Mitigación de incidentes de seguridad:
https://www.ecucert.gob.ec/incidentes.html
Mitigación de vulnerabilidades de seguridad:
https://www.ecucert.gob.ec/vulnerabilidades.html
Vulnerabilidades
En cumplimiento a la Resolución ARCOTEL-2018-0652 publicada en registro oficial No. 331, de fecha 20 de septiembre de 2018, en el cual se expidió la “Norma técnica para coordinar la gestión de incidentes y vulnerabilidades que afecten a la seguridad de las redes y servicios de telecomunicaciones”; la CNT EP. pone en conocimiento de sus clientes y abonados la siguiente información:
En consideración a lo establecido en los artículos 8 y 9 de la “Norma Técnica para Coordinar la Gestión de Incidentes y Vulnerabilidades que afecten a la Seguridad de las Redes y Servicios de Telecomunicaciones”, el ARCOTEL generó el Catálogo y Priorización de Vulnerabilidades e Incidentes Iniciales donde se definen los tipos de vulnerabilidades para abonados y clientes.
Los tipos de vulnerabilidades que no han sido definidas en el catálogo, se irán agregando conforme se vayan reportando ya sea por ECUCERT-ARCOTEL o por los abonados y clientes.
| # | Vulnerabilidad | Nombre | Descripción del riesgo |
|---|---|---|---|
| 1 | Netis_Router | Routers Netis | Un atacante podría acceder de manera no autorizada al sistema de información vulnerando la confidencialidad, integridad y disponibilidad del sistema |
| # | Vulnerabilidad | Nombre | Descripción del riesgo |
|---|---|---|---|
| 1 | Accesible_RDP | Accesible Remote | Un atacante podría acceder de manera no autorizada al sistema de información vulnerando la confidencialidad, integridad y disponibilidad del sistema |
| 2 | Cisco_Smartinstall | Cisco_Smartinstall | Un atacante podría hacer que un sistema de información ejecute código malicioso lo cual a su vez vulnere la confidencialidad, integridad y disponibilidad de la información de dicho sistema |
| 3 | Open_Memcached | mem-cashed memory caching system | Un atacante podría hacer que un sistema de información ejecute código malicioso lo cual a su vez vulnere la confidencialidad, integridad y disponibilidad de la información de dicho sistema |
| 4 | Open_Netbios | Network Basic Input Output System | Un atacante podría hacer que un sistema de información ejecute código malicioso lo cual a su vez vulnere la confidencialidad, integridad y disponibilidad de la información de dicho sistema |
| 5 | Open_VNC | Virtual Network Computing | Un atacante podría acceder de manera no autorizada al sistema de información vulnerando la confidencialidad del sistema |
| # | Vulnerabilidad | Nombre | Descripción del riesgo |
|---|---|---|---|
| 1 | Poodle_SSLv3 | Padding on Oracle on Downgraded Legacy Encryption | Un atacante podría hacer que un sistema de información ejecute código malicioso lo cual a su vez vulnere la disponibilidad de la información de dicho sistema |
| 2 | CWMP | CPE Customer Premise Equipment WAN Management Protocol | Un atacante podría hacer que un sistema de información ejecute código malicioso lo cual a su vez vulnere la confidencialidad, integridad y disponibilidad de la información de dicho sistema |
| 3 | DNS_Open_Resolver | DNS Domain Name System - Open Resolver | Un atacante podría utilizar el servidor DNS Vulnerable a fin de ejecutar ataques a sistemas de información |
| 4 | Freak_SSL | Factoring Attack on RSA Export | Un atacante podría interceptar conexiones HTTPS y posteriormente descifrar su vulnerando la confidencialidad de la información transmitida |
| 5 | ISAKMP | Internet Security Association and Key Management Protocol | Un atacante podría hacer que un sistema de información ejecute código malicioso lo cual a su vez vulnere la confidencialidad, integridad y disponibilidad de la información de dicho sistema. |
| 6 | LDAP | Lightweight Directory Access Protocol | Un atacante podría hacer que un sistema de información ejecute código malicioso lo cual a su vez vulnere la confidencialidad, integridad y disponibilidad de la información de dicho sistema |
| 7 | Mdns | Multicast Domain Name System | Un atacante podría hacer que un sistema de información ejecute código malicioso lo cual a su vez vulnere la confidencialidad, integridad y disponibilidad de la información de dicho sistema |
| 8 | NAT_PMP | Network Address Translation Port Mapping Protocol | Un atacante podría hacer que un sistema de información ejecute código malicioso lo cual a su vez vulnere la confidencialidad, integridad y disponibilidad de la información de dicho sistema |
| 9 | NTP_Version | Network Time Protocol Version | Un atacante podría hacer que un sistema de información ejecute código malicioso lo cual a su vez vulnere la disponibilidad de la información de dicho sistema |
| 10 | Open_Chargen | Open Character Generator Protocol | Un atacante podría hacer que un sistema de información ejecute código malicioso lo cual a su vez vulnere la disponibilidad de la información de dicho sistema |
| 11 | Open_DB2 | Relational DataBase Management System | Un atacante podría hacer que un sistema de información ejecute código malicioso lo cual a su vez vulnere la confidencialidad, integridad y disponibilidad de la información de dicho sistema |
| 12 | Open_IPMI | Intelligent Platform Management Interface | Un atacante podría acceder de manera no autorizada al sistema de información vulnerando la confidencialidad, integridad y disponibilidad del sistema |
| 13 | Open_MongoDB | Base de datos MongoDB | Un atacante podría hacer que un sistema de información ejecute código malicioso lo cual a su vez vulnere la confidencialidad, integridad y disponibilidad de la información de dicho sistema |
| 14 | Open_NTP_monit or | Network Time Protocol Monitor | Un atacante podría hacer que un sistema de información ejecute código malicioso lo cual a su vez vulnere la confidencialidad, integridad y disponibilidad de la información de dicho sistema |
| 15 | Open_Proxy | Open Proxy Server | Un atacante podría hacer que un sistema de información ejecute código malicioso lo cual a su vez vulnere la confidencialidad, integridad y disponibilidad de la información de dicho sistema |
| 16 | Open_Redis | Remote Dictionary Server Redis | Un atacante podría hacer que un sistema de información ejecute código malicioso lo cual a su vez vulnere la confidencialidad de la información de dicho sistema |
| 17 | Open_SMB | Server Message Block SMB | Un atacante podría hacer que un sistema de información ejecute código malicioso lo cual a su vez vulnere la confidencialidad, integridad y disponibilidad de la información de dicho sistema |
| 18 | Open_SNMP | Simple Network Management Protocol SNMP | Un atacante podría hacer que un sistema de información ejecute código malicioso lo cual a su vez vulnere la confidencialidad, integridad y disponibilidad de la información de dicho sistema |
| 19 | Open_SQL_Server _Resl | Microsoft SQL Server Resolution | Un atacante podría hacer que un sistema de información ejecute código malicioso lo cual a su vez vulnere la confidencialidad, integridad y disponibilidad de la información de dicho sistema |
| 20 | Open_Telnet | Teletype Network | Un atacante podría acceder de manera no autorizada al sistema de información vulnerando la confidencialidad, integridad y disponibilidad del sistema |
| 21 | Scan_Elasticsearch | Elastic search | Un atacante podría hacer que un sistema de información ejecute código malicioso lo cual a su vez vulnere la confidencialidad, integridad y disponibilidad de la información de dicho sistema |
| # | Vulnerabilidad | Nombre | Descripción del riesgo |
|---|---|---|---|
| 1 | Open_Portmapper | Remote Procedure Call RCP Port mapper | Un atacante podría acceder de manera no autorizada al sistema de información vulnerando la confidencialidad, integridad y disponibilidad del sistema |
| 2 | Open_Qotd | Open Quote of the Day QOTD | Un atacante podría hacer que un sistema de información ejecute código malicioso lo cual a su vez vulnere la disponibilidad de la información de dicho sistema |
| 3 | Open_SSDP | Open Simple Service Discovery Protocol | Un atacante podría hacer que un sistema de información ejecute código malicioso lo cual a su vez vulnere la confidencialidad, integridad y disponibilidad de la información de dicho sistema |
| 4 | Open_TFTP | Trivial File Transfer Protocol | Un atacante podría hacer que un sistema de información ejecute código malicioso lo cual a su vez vulnere la confidencialidad, integridad y disponibilidad de la información de dicho sistema |
| 5 | XDMCP | X Display Manager Control Protocol | Un atacante podría acceder de manera no autorizada al sistema de información vulnerando la confidencialidad del sistema |
Para mayor información: ECUCERT – ARCOTEL dispone de información en su portal web
https://www.arcotel.gob.ec/wp-content/uploads/2018/11/Catalogo_y_priorizacion_vulnerabilidades.pdf
Incidentes
En consideración a lo establecido en los artículos 8 y 9 de la “Norma Técnica para Coordinar la Gestión de Incidentes y Vulnerabilidades que afecten a la Seguridad de las Redes y Servicios de Telecomunicaciones”, el ARCOTEL generó el Catálogo y Priorización de Vulnerabilidades e Incidentes Iniciales donde se definen los tipos de incidentes para abonados y clientes.
Los tipos de incidentes que no han sido definidos en el catálogo, se irán agregando conforme se vayan reportando ya sea por ECUCERT-ARCOTEL o por los abonados y clientes.
| # | Incidente | Descripción | Riesgos |
|---|---|---|---|
| 1 | Fraude IPPBX | La dirección IP detectada hace referencia a una central telefónica IP PBX la cual ha sido comprometida por actores maliciosos | Perjuicio económico a los administradores de la Central Telefónica |
| # | Incidente | Descripción | Riesgos |
|---|---|---|---|
| 2 | Ataque DNS | La dirección IP detectada hace referencia a un host que ha realizado actividad maliciosa contra un sistema DNS | Realización de ataques informáticos utilizando infraestructura ubicada en el territorio ecuatoriano |
| 3 | Blacklisted | La dirección IP detectada hace referencia a un host que ha sido bloqueado internacionalmente debido a actividad maliciosa contra sistemas de información | Bloqueo a infraestructura de comunicaciones de prestadores de servicios de telecomunicaciones |
| 4 | Botnet | La dirección IP detectada hace referencia a un host comprometido y manipulado remotamente por un actor malicioso | Realización de ataques informáticos utilizando infraestructura ubicada en el territorio ecuatoriano |
| 5 | Command and Control | La dirección IP detectada hace referencia a un host / servidor el cual controla a otros sistemas con fines maliciosos | Ejecución de varias técnicas de ataques a sistemas de información. |
| 6 | Compromised Website | La dirección IP detectada hace referencia a un servidor web el cual ha sido comprometido y manipulado por un actor malicioso | Vulneración de la confidencialidad, integridad y disponibilidad de la información contenida en el servidor web |
| 7 | Defacement | La dirección IP detectada hace referencia a un sitio web cuyo contenido fue manipulado por un actor malicioso | Daño a la reputación del propietario de la infraestructura tecnológica. |
| 8 | Phishing | La dirección IP detectada hace referencia a un host/servidor ubicado en el territorio ecuatoriano que almacena un sitio web fraudulento | Engaño a usuarios para obtener información personal |
| 9 | SPAM | La dirección IP detectada hace referencia a un host desde el cual se origina el envió de información no solicitada. | Engaño a usuarios para obtener información personal y ejecución de técnicas de ataque a sistemas de información |
| # | Incidente | Descripción | Riesgos |
|---|---|---|---|
| 10 | Bruteforce | La dirección IP detectada hace referencia a un host el cual ha intentado acceder a un sistema de información de manera no autorizada. | Acceso no autorizado a sistemas y la consecuente vulneración de la confidencialidad, integridad y disponibilidad de la información. |
| 11 | DDoS | La dirección IP detectada hace referencia a un host el cual ha atacado un sistema de información con el objetivo de suspender sus servicios. | Vulneración de disponibilidad de servicios y operación de un sistema de información. |
| 12 | Fast_Flux | La dirección IP detectada hace referencia a un host el cual abusa de un servicio DNS para ejecutar técnicas de ataques a sistemas de información | Ejecución de varias técnicas de ataques a sistemas de información. |
| 13 | Inyección de Código | La dirección IP detectada hace referencia a un host desde el cual se transmite código malicioso hacia sistemas de información | Ejecución de varias técnicas de ataques a sistemas de información. |
| 14 | Malware | La dirección IP detectada hace referencia a un host / server en el cual se ha detectado un tipo específico de malware | Vulneración de la confidencialidad, integridad y disponibilidad de la información contenida en el host / server |
| 15 | Scanners | La dirección IP detectada hace referencia a un host el cual estaría analizando puertos abiertos y cerrados de un sistema de información especifico | Ejecución de varias técnicas de ataques a sistemas de información. |
| 16 | SQL Injection | La dirección IP detectada hace referencia a un host desde el cual se transmite código malicioso hacia sistemas de información. | Ejecución de varias técnicas de ataques a sistemas de información. |
| # | Incidente | Descripción | Riesgos |
|---|---|---|---|
| 17 | Sinkhole | La dirección IP detectada hace referencia a un host que enruta tráfico de su destino original hacia otro lugar con intenciones maliciosas. | Realización de ataques informáticos utilizando infraestructura ubicada en el territorio ecuatoriano. |
Para mayor información: ECUCERT - ARCOTEL dispone de información en su portal web
https://www.arcotel.gob.ec/wp-content/uploads/2018/11/Catalogo_y_priorizacion_vulnerabilidades.pdf
Responsabilidades
De acuerdo a la Norma técnica para coordinar la gestión de incidentes y vulnerabilidades que afecten a la seguridad de las redes y servicios de telecomunicaciones, Artículo 30.- Gestión de Incidentes y vulnerabilidades que involucre las redes de los abonados o clientes, numeral 2:
Para los casos en los que la gestión de incidentes o vulnerabilidades de las redes públicas de telecomunicaciones requiera correctivos por parte del cliente o abonado, el prestador del servicio informará al abonado o cliente acerca del particular, indicándole las medidas técnicas que debe tomar para solucionar el problema. Es obligación del abonado o cliente adoptar las medidas sugeridas por el prestador de servicios, a fin de salvaguardar la integridad de la red y las comunicaciones, sin perjuicio de las responsabilidades de los prestadores.
Artículo 34.- Obligaciones de los abonados o clientes, numeral 1:
Adoptar las medidas sugeridas por el prestador de servicios a fin de salvaguardar la integridad de la red y las comunicaciones.
Reportes
Los clientes del servicio de Internet masivo y corporativo que detecten vulnerabilidades o incidentes de seguridad en el uso de los servicios de telecomunicaciones de la Corporación Nacional de Telecomunicaciones CNT EP, deberán reportarlo a la dirección de correo electrónico abuse@cnt.gob.ec.
Conceptos generales
- Activo de información.- Sistema de información del abonado o cliente.
- Amenaza.- Es un evento que puede desencadenar un incidente que producirá daños en los sistemas de información del cliente.
- Vulnerabilidad.- Se refiere a la debilidad o deficiencia de un sistema de información del cliente que puede ser aprovechado o por una o más amenazas.
- Evento de Seguridad de la Información.- Un evento de seguridad de la información es la ocurrencia identificada de un estado de un sistema, servicio o red, que muestra una posible brecha de política de seguridad de la información, falla de protecciones, o una situación previa desconocida que puede ser relevante para la seguridad.
- Incidente de Seguridad.- Evento o una serie de eventos inesperados o no deseados que tienen una probabilidad significativa de comprometer de forma negativa los sistemas de información del cliente y/o en el proveedor de servicios
- Riesgo de Seguridad de la Información: Grado de exposición de un activo ante una amenaza que al materializarse causaría un impacto negativo en la infraestructura tecnológica del cliente y/o en el proveedor de servicios.
- Gestión de vulnerabilidades.- Proceso proactivo de seguridad que consiste en identificar debilidades en los sistemas de información, con el objetivo de reducirlas antes de que sean causa de un incidente de seguridad.
- Gestión de incidentes.- Procesos para la detección, notificación, evaluación, respuesta, tratamiento y aprendizaje de incidentes, en aplicación de la “Norma técnica para coordinar la gestión de incidentes y vulnerabilidades que afecten a la seguridad de las redes y servicios de telecomunicaciones.”
- Abonados o clientes.- clientes masivos y corporativos de la CNT EP.