Más de 60,000 Hosts Vulnerables a BlueKeep (CVE-2019–0708) en America Latina y España en el Servicio RDP Terminal Server

El pasado 14 de Mayo 2019 Microsoft [1] publicó un parche de seguridad a la vulnerabilidad (CVE-2019–0708)[6] conocida como BlueKeep que afecta el servicio Terminal Server y podría ser usado por Ransomware tipo Petya, Wannacry ya que el servicio se podría explotar remotamente y sin la necesidad de usar credenciales.

Por esta razón, en conjunto con un amigo Andres Morales (andresmz), hemos realizado un scanning con el objetivo académico de evaluar qué tan vulnerables somos, este estudio se centra en la vulnerabilidad CVE-2019–0708 a los rangos IPs asignados a Centro América, Sur América y España, encontrando que hay más de 63,000 Hosts Vulnerables; para validar el resultado hemos realizado scanning en diferentes días: 05, 07 y 14 de Junio. Los resultados los presentamos en el siguiente gráfico:

Image for post
Image for post

Gráfico 1: Resultados del scanning por país de la vulnerabilidad CVE-2019–0708 realizado el 14 de Junio 2019

Tomando como base los rangos de dirección IPv4 asignados a Centro América, Sur América y España, mostramos un cuadro resumen con los resultados:

Para realizar el scanning hemos usado fuentes públicas donde están publicadas los rangos IPv4 asignados a cada país, como Lacnic y RIPE [2], donde se tiene las direcciones IP versión 4, herramientas públicas como masscan [3] y rdpscan [4], ambas herramientas han sido escritas por Robert Graham.

Variable Vulnerable:

Para identificar qué país tiene más Hosts vulnerables a la vulnerabilidad CVE-2019–0807 y hacer una comparación relativa, no podíamos tomar la cantidad de Hosts Vulnerables ya que tenemos países muy grandes tipo Brasil, México y pequeños como Uruguay. Por esta razón hemos definido la siguiente variable en base a la información que hemos obtenido:

Image for post
Image for post

De acuerdo a la herramienta rdpscan [4]:

  • Vulnerable: Se confirma que el host evaluado está vulnerable a CVE-2019–0708.
  • SAFE: Se confirma que el host evaluado está parchado.
  • Unknown: No responde el servicio RDP, no se tiene seguridad que este parchado, como SAFE.

Cuadro detallado por País:

Finalmente, mostramos un cuadro detallado donde el promedio vulnerable es del 25%, sin embargo algunos países como: Uruguay, Paraguay, Guayana Francesa, Venezuela y Argentina están por encima del 35%.

Image for post
Image for post

Cuadro 3: Resultado por País, scanning realizado el 14 de Junio 2019

Conclusiones finales:

  • Se recomienda aplicar el parche recomendado por Microsoft a los sistemas operativos afectados [1], si no se usa el servicio desactivarlo, limitar su acceso o bloquearlo en el firewall perimetral, no correr el servicio RDP como Administrador, utilizar el servicio VPN de acceso remoto del firewall.
  • Los más de 63,000 Hosts vulnerables pueden ser usados para instalar Ransomware, Virus/Gusanos o Criptojacking, e inclusive se pueden emplear para realizar movimiento lateral e infectar toda la red empleando las credenciales recolectadas en ese primer punto de contacto.
  • El escaneo podría tener un % de error ya que al momento de realizar el escaneo podría haber sido bloqueado o mitigado por nuestro proveedor de cloud, enlace de Internet y capacidad del servidor, aunque se realizaron múltiples pruebas y se obtuvieron resultados similares.
  • No necesariamente el 100% de hosts con el puerto 3389/tcp abierto están corriendo el servicio RDP asociado al Terminal Server, algunas empresas podrían estar corriendo otro servicio.
  • Sí algún CERT/CSIRT requiere la lista de Hosts Vulnerables al CVE-2019–0708 se podrían poner en contacto con Cesar Farro al correo cesar.farro@gmail.com

Fuentes:

ftp://ftp.lacnic.net/pub/stats/lacnic/delegated-lacnic-extended-latest

ftp://ftp.lacnic.net/lacnic/dbase/lacnic.db.csv.gz

Autores:

Anexo — Evidencias del estudio realizado:

Rangos usados tanto de LACNIC (America Latina y el Caribe) y RIPE (usado para el caso de España):

Image for post
Image for post

Hosts con el puerto 3389/tcp abierto, donde frecuentemente es usado por el servicio RDP Terminal Server:

Image for post
Image for post

Hosts vulnerables CVE-2019–0708 por país en la fecha 14 de Junio 2019:

Image for post
Image for post

Ejemplo de Hosts Vulnerables, SAFE y Unkonwn:

Image for post
Image for post

Ejemplo de Hosts vulnerables CVE-2019–0708

Image for post
Image for post

Written by

Blog de Ciberseguridad, Hacking, Recomendaciones de Protección y Buenas Practicas para las Empresas.

Get the Medium app

A button that says 'Download on the App Store', and if clicked it will lead you to the iOS App store
A button that says 'Get it on, Google Play', and if clicked it will lead you to the Google Play store