.st0{fill:#FFFFFF;}

Ataques cibernéticos en puertos TCP 

 noviembre 13, 2020

Por  Felipe Arguello1076

Las pequeñas y medianas empresas pueden mantenerse a salvo de la mayoría de los ciberataques protegiendo los puertos TCP a los que más atacan los actores de amenazas. Tres de ellos se destacan en una multitud de más de 130,000 víctimas de incidentes cibernéticos.

Un informe de la compañía de inteligencia y defensa de amenazas Alert Logic enumera las principales debilidades observadas en los ataques contra más de 4,000 de sus clientes.

Principales puertos TCP atacados

Según el informe, los puertos TCP más utilizados para llevar a cabo un ataque son 22, 80 y 443, que corresponden a SSH (Secure Shell), HTTP (Hypertext Transfer Protocol) y HTTPS (Hypertext Transfer Protocol Secure).

Alert Logic dice que estos aparecen en el 65% de los incidentes, y tiene sentido ya que necesitan estar abiertos para la comunicación, ya sea segura o texto sin formato.

En cuarto lugar está el puerto para el Protocolo de escritorio remoto (RDP) de Microsoft, responsable de la comunicación remota entre máquinas. RDP llamó la atención este año a través de múltiples parches para vulnerabilidades que conducen a la ejecución remota de código ( CVE-2019-1181 ,  CVE-2019-1182 y  CVE-2019-0708 ).

«Como guía básica, la seguridad en todos los puertos TCP  de red debe incluir una defensa en profundidad. Los puertos TCP que no están en uso deben cerrarse y las organizaciones deben instalar un firewall en cada host, así como monitorear y filtrar el tráfico del puerto. Escaneos y penetración de puertos regulares las pruebas también son mejores prácticas para ayudar a garantizar que no haya vulnerabilidades no verificadas «- Alert Logic

Un puerto etiquetado como un riesgo grave es para el Protocolo de transferencia de archivos (FTP – 20, 21). Se encontraron servidores activos en impresoras, cámaras y fuentes de alimentación ininterrumpida, que se estima que representan hasta un tercio de todos los servidores FTP descubiertos.

La recomendación de la compañía para reducir el riesgo potencial de estos puertos es mantener actualizados y fortalecer los dispositivos, software o servicios que dependen de estos puertos para cerrar las vías de ataque.

SMB VulnPorts

Ejecutando software antiguo

Las vulnerabilidades adicionales que socavan la seguridad de una organización se refieren al cifrado o encriptamiento débil y al software desactualizado, que representaron el 66% y el 75%, respectivamente, de los problemas que Alert Logic notó con sus clientes.

SMB TopWrkLdIss

Los problemas continúan acumulándose a medida que la compañía descubrió que más del 66% de los hosts escaneados ejecutan Windows 7, un sistema operativo (SO) que ya no se beneficiará del soporte de actualizaciones a partir 14 de enero de 2020. En el extremo opuesto, Windows Server 2019 es apenas visto en la infraestructura de las pymes.

Por alguna razón, Windows XP, que tuvo su lanzamiento final en 2008 y alcanzó el final del soporte en 2014, sigue estando presente en un «número no trivial».

Alert Logic dice que incluso encontró sistemas Windows NT (lanzados en 1993) en la red de sus clientes. El riesgo de ejecutarlos es que facilitaría el movimiento lateral de un atacante.

SMB OSDistr

Casi la mitad de todos los sistemas Linux escaneados se ejecutaron con un núcleo obsoleto; Más específicamente, tenían la versión 2.6 que ha estado fuera de soporte durante los últimos tres años y tiene más de 65 vulnerabilidades conocidas.

Sin embargo, este problema no es tan visible como los sistemas de aplicación implementados, que ocultan la distribución subyacente del sistema operativo.

SMB

Otro ejemplo de software obsoleto es el servidor de correo electrónico Exchange 2000, que representa cerca de un tercio de todos los servidores de correo electrónico detectados. El problema es que el producto dejó de recibir soporte en julio de 2010.

El servidor de correo electrónico más popular con las PYMES monitoreadas por Alert Logic es PostFix, mientras que Exim, el servidor de correo electrónico más extendido, queda en último lugar.

SMB EmailSrvDistr

Alert Logic dice que los datos se compilaron a partir de 5,000 ataques vistos diariamente contra su base de clientes durante un período de seis meses, desde noviembre de 2018 hasta abril de 2019.

Origen de la Imágenes

{"email":"Email address invalid","url":"Website address invalid","required":"Required field missing"}
>