Más de 60,000 Hosts Vulnerables a BlueKeep (CVE-2019–0708) en America Latina y España en el Servicio RDP Terminal Server

El pasado 14 de Mayo 2019 Microsoft [1] publicó un parche de seguridad a la vulnerabilidad (CVE-2019–0708)[6] conocida como BlueKeep que afecta el servicio Terminal Server y podría ser usado por Ransomware tipo Petya, Wannacry ya que el servicio se podría explotar remotamente y sin la necesidad de usar credenciales.

Por esta razón, en conjunto con un amigo Andres Morales (andresmz), hemos realizado un scanning con el objetivo académico de evaluar qué tan vulnerables somos, este estudio se centra en la vulnerabilidad CVE-2019–0708 a los rangos IPs asignados a Centro América, Sur América y España, encontrando que hay más de 63,000 Hosts Vulnerables; para validar el resultado hemos realizado scanning en diferentes días: 05, 07 y 14 de Junio. Los resultados los presentamos en el siguiente gráfico:

Variable Vulnerable:

Para identificar qué país tiene más Hosts vulnerables a la vulnerabilidad CVE-2019–0807 y hacer una comparación relativa, no podíamos tomar la cantidad de Hosts Vulnerables ya que tenemos países muy grandes tipo Brasil, México y pequeños como Uruguay. Por esta razón hemos definido la siguiente variable en base a la información que hemos obtenido:

  • SAFE: Se confirma que el host evaluado está parchado.
  • Unknown: No responde el servicio RDP, no se tiene seguridad que este parchado, como SAFE.

Cuadro detallado por País:

Finalmente, mostramos un cuadro detallado donde el promedio vulnerable es del 25%, sin embargo algunos países como: Uruguay, Paraguay, Guayana Francesa, Venezuela y Argentina están por encima del 35%.

Conclusiones finales:

  • Se recomienda aplicar el parche recomendado por Microsoft a los sistemas operativos afectados [1], si no se usa el servicio desactivarlo, limitar su acceso o bloquearlo en el firewall perimetral, no correr el servicio RDP como Administrador, utilizar el servicio VPN de acceso remoto del firewall.
  • Los más de 63,000 Hosts vulnerables pueden ser usados para instalar Ransomware, Virus/Gusanos o Criptojacking, e inclusive se pueden emplear para realizar movimiento lateral e infectar toda la red empleando las credenciales recolectadas en ese primer punto de contacto.
  • El escaneo podría tener un % de error ya que al momento de realizar el escaneo podría haber sido bloqueado o mitigado por nuestro proveedor de cloud, enlace de Internet y capacidad del servidor, aunque se realizaron múltiples pruebas y se obtuvieron resultados similares.
  • No necesariamente el 100% de hosts con el puerto 3389/tcp abierto están corriendo el servicio RDP asociado al Terminal Server, algunas empresas podrían estar corriendo otro servicio.
  • Sí algún CERT/CSIRT requiere la lista de Hosts Vulnerables al CVE-2019–0708 se podrían poner en contacto con Cesar Farro al correo cesar.farro@gmail.com

Fuentes:

Anexo — Evidencias del estudio realizado:

Rangos usados tanto de LACNIC (America Latina y el Caribe) y RIPE (usado para el caso de España):

Blog de Ciberseguridad, Hacking, Recomendaciones de Protección y Buenas Practicas para las Empresas.

Get the Medium app

A button that says 'Download on the App Store', and if clicked it will lead you to the iOS App store
A button that says 'Get it on, Google Play', and if clicked it will lead you to the Google Play store