Eleven Paths Talks: La red bajo ataque

El próximo Jueves 9 de Marzo, nuestros compañeros Claudio Caracciolo y Arsene Laurent hablarán sobre un tema de actualidad como son los ataques de denegación de servicio, una amenaza que siempre se encuentra ahí y que en cualquier momento puede golpear fuertemente. Claudio y Arsene contarán con la presencia de un invitado especial para tratar este tema.

Se hará hincapié en el uso de protocolos como NTP y DNS para llevar a cabo ataques de amplificación, los cuales pueden provocar que grandes cantidades de bits golpeen servidores, teniendo un factor de amplificación enorme. A finales de 2016, uno de estos ataques a través del uso de dispositivos IoT que habían sido secuestrados, hizo reflexionar a la sociedad sobre la facilidad de ejecutar ataques a nivel de red y la fragilidad con la que nos encontramos en las infraestructuras desplegadas. Si consideramos que, incluso, en muchos de los nuevos despliegues con nuevos protocolos sobre nuevas arquitecturas ya se conocen vulnerabilidades que podrían afectar a los servicios brindados. En este webinar se hablará de diferentes tipos de ataques de red, cómo las botnets afectan a estos esquemas y, sobre todo, cuáles son las soluciones más comunes de protección para estos casos.

Figura 1: Eleven Paths Talks Temporada 3

La sesión comenzará a las 15.30, hora española. Los talks durarán unos 50 minutos, divididos entre 10 minutos de comentarios sobre noticias interesantes relacionadas con las diferentes temáticas, 30 minutos de debate entre dos de nuestros CSA y un invitado especial y 10 minutos sobre consejos y herramientas. Recordar que las sesiones se llevarán a cabo a través de la plataforma GoToWebinar. Posteriormente, y como siempre, se publicarán en nuestro canal de Youtube. No pierdas la ocasión y registrate para el webcast. Si te perdiste algún capítulo de la primera temporada o de la segunda temporada puedes revisarlos en el canal de Youtube de Eleven Paths. Además, no pierdas la ocasión de exponer tus ideas y hablar con otros usuarios en la Community de Eleven Paths ¡Te esperamos!

Cómo brickear un iPhone Pre-iOS 9.3.1 en una red WiFi

Aún recordamos uno de los bugs más destructivos de los últimos tiempos que afectó a iOS, y no es más que el de la fecha del 1 de Enero de 1970. Este bug dejaba el terminal totalmente inservible y fue resuelto con la salida de iOS 9.3. Hoy hablaremos de cómo un atacante puede brickear en remoto dispositivos iOS que se conectan a una red WiFi. El ataque solo valdría para dispositivos vulnerables, pero simplemente por el hecho de conectarse a una red WiFi abierta nos podríamos quedar con el dispositivo en modo brick. 

El esquema básico del ataque es el siguiente: si un dispositivo iOS se conecta a una red WiFi, el sistema operativo, regularmente, intenta conectar por NTP para sincronizar su hora. En algunos casos, todo lo que se necesita es spoofear el dominio time.apple.com y en la respuesta de la petición NTP que realice el dispostivio forzar a la fecha 1 de Enero de 1970. En este momento el dispositivo quedará "desahuciado". Los investigadores en Krebs on Security han detallado una prueba de concepto de lo más interesante. 

Figura 1: Esquema del protocolo NTP

En la prueba de concepto utilizar una Raspberry para generar el punto de acceso WiFi y luego un cable de red Ethernet para dar salida a Internet. También se podría utilizar un adaptador 3G y dar salida a Internet por dicha interfaz. La idea que proponen es juntar la vulnerabilidad del bug de la fecha, junto a la no autenticación del punto de acceso al que te conectas por parte de iOS, es decir, si nuestro dispositivo se encuentra una red WiFi que conoce, y que por ejemplo sea abierta, el dispositivo se conectará sin preguntar.

Después, lo comentado, el dispositivo preguntará, de vez en cuando, al dominio de Apple por la hora, por lo que la Raspberry tiene instalado un servidor NTP que spoofeará esas peticiones para devolver la fecha 1 de Enero de 1970.

 

Figura 2: Demostración del ataque

Cómo se puede ver el ataque es realmente sencillo. Se recomienda para poder evitar esto que actualices tu versión de iOS a la 9.3.1. Nuestros compañeros en Eleven Paths ya ejemplificaron sobre ataques HSTS basados en el protocolo NTP, basándose en la charla de José Selvi. Lectura recomendada, sin lugar a la duda. 

Time-Sync con NTP en OS X & Delorean Attack a HSTS

El investigador español José Selvi presentó en Defcon su trabajo sobre los problemas que pueden provocar la sincronización de tiempos en diferentes sistemas operativos. Selvi se aprovechaba de este hecho para atacar y poder manipular las respuestas de los servidores NTP con todo lo que ello podía conllevar. Además, ha publicado en su blog una cadena de artículos dónde va explicando paso a paso los diferentes conceptos y cómo llevó a cabo la investigación.

Cuando hace el estudio sobre la sincronización de tiempos se detalla que los sistemas OS X anteriores a Mavericks utilizan una sincronización de reloj muy sencilla, sin ningún tipo de restricción de seguridad por lo que utilizando el ataque Delorean, del propio Selvi, se podría manipular los tiempos realizando un MiTM. Estos sistemas utilizan un servicio denominado NTPd que se ejecuta y sincroniza el tiempo cada 9 minutos.

Apple cambió la forma de funcionar en sus sistemas más nuevos. El servicio NTPd ya no cambia la hora por sí mismo. La diferencia de tiempo se almacena en /var/db/ntp.drift y otro servicio denominado pacemaker comprueba el valor y cambia el reloj si es necesario. Pacemaker no implementa ninguna función de seguridad, por lo que podría ser atacado utilizando Delorean. En el siguiente video se puede ver el ataque Delorean en un sistema OS X.

Figura 1: Delorean Attack en OS X

Cuando un usuario abre el menú Date & Time Preferences, OS X sincroniza de forma automática la hora, es decir, de forma transparente para el usuario. En este instante también se podría utilizar el ataque Delorean. En el siguiente video se deja la charla que presentó Selvi en Black Hat Europe 2014 en la que realiza bypass de HSTS basándose en el estudio del protocolo NTP.

Figura 2: Confrencia de ataques a HSTS de José Selvi en BlackHat Europe 2014

En el blog de nuestro compañero Chema Alonso tienes un artículo resumen que explica y describe de forma resumida el ataque descrito por José Selvi y cómo puede aplicarse también en ataques con los protocolos IPv6.

Hotfix crítico de Apple para el protocolo NTP en OS X

El año que se cierra ha dejado alguna noticia más que interesante respecto al protocolo NTP, como por ejemplo su uso en el mayor ataque de denegación de servicio que, a día de hoy, ha existido en Internet. La técnica utilizada fue la denominada como NTP Amplification y consiste en enviar un paquete UDP, el cual su respuesta es N veces mayor. De esta manera si diversas máquinas generan tráfico, obteniendo un valor N veces mayor en la respuesta, se puede lograr enviar dicho tráfico a los objetivos que se quiera. En esta ocasión la vulnerabilidad que el equipo de Apple ha solventado originaba la posibilidad de ejecutar código arbitrario con los privilegios del proceso ntpd.

Los investigadores del equipo de seguridad de Google Neel Mehta y Stephen Roettger han coordinado múltiples vulnerabilidades con el CERT en relación a dicha vulnerabilidad. Como NTP es ampliamente utilizado dentro de los despliegues de sistemas operativos de control industrial, es algo bastante crítico, ya que muchos atacantes podrían aprovecharse de estos fallos para explotar infraestructuras críticas. 

Figura 1: Actualización de seguridad de NTP

Además, la vulnerabilidad podría ser explotada remotamente. Los exploits se encuentran disponibles públicamente, por lo que cualquier usuario puede montarse un entorno de pruebas y realizar sus pequeños tests. Los productos que utilizan el servicio NTP en su versión inferior a la 4.2.8 se ven afectados. Este año ha sido dificil para Apple, ya que ha tenido que lidiar con diversas vulnerabilidades críticas y que afectaban a sus productos, tenemos que recordar el famoso Heartbleed o Shellshock. La actualización de seguridad se puede descargar desde la Mac App Store.