Utilizando Shodan Artículo Completo
Autor: Kelvin Parra :Venezuela Hacking, KelvinSecurity:
RESUMEN:
Te explicaremos cómo funciona el motor de búsqueda “Shodan” .com .io un artículo completo en la búsqueda de dispositivos y sist sistem emas as supe superv rvis isor ores es,, ad adem emás ás de ap apre rend nder er a juga jugarn rnos os co conn los los serv servid idor ores es we webs bs y bu busc scar ar sus sus fuen fuente tess orig origin inal ales es,, ad adem emás ás de la utilizaci ación de ciertos exploits para ara llegar a vulnerar estos dispositivos.
Que Es Shodan:
Shodan es un motor de búsqueda de dispositivos y servicios y productos que adquieren los servidores servidores funcionan funcionan con ciertos ciertos comandos comandos para realizar las búsquedas, además que cuenta cuenta con un “mapbox” que es un mapa digital para realizar búsquedas vía “map con su geo localización, ciudad y región” puedes realizar búsquedas también a través de su “Word Map” o de por medio de “3D Map Shodan” cada uno cuentan con buenos gráficos para realizar las búsquedas e identificar los servidores o ordenadores y dispositivos conectados afiliados a internet por medio de ciertos “Puertos” y “Productos” famosos modelos de hardware y software.
COMANDOS SHODAN: Geo: Esta función sirve para buscar específicamente una zona utilizando la longitud y latitud. Hostname: función para especificar el dominio como ejemplo “hostname:gob.ve”. Country: Especifica el país como ejemplo tendríamos “country:ve” Title: es el titulado del servidor aquellos con la etiqueta
Org: búsqueda de la organización de una red ejemplo “Org:Cantv” Port: Búsqueda de puertos como ejemplo “Port:5900” Model: puedes buscar el modelo de un hardware o software Server: búsqueda del tipo de servidor ejemplo “Server:Apeche” Vul: Función para buscar dicha vulnerabilidad. Otra herramienta que puede ser idéntica y con buenos gráficos y diseño para auditar los sist sistem emas as y múlt múltip iple less búsque búsqueda dass con con bue buena na hab habil ilid idad ad para para reali realizar zar “D “Dox oxin ing” g” es la herramienta maltego que se encuentra disponible para unos que otros sistemas operativos, en el testeo de sitio web y extracción de usuarios “Teléfono, Correo, Nombre, Detalles Personales y sitios webs en que se encuentra vinculados y registrados ciertas direcciones de correo electrónico”.
Que Es Shodan:
Shodan es un motor de búsqueda de dispositivos y servicios y productos que adquieren los servidores servidores funcionan funcionan con ciertos ciertos comandos comandos para realizar las búsquedas, además que cuenta cuenta con un “mapbox” que es un mapa digital para realizar búsquedas vía “map con su geo localización, ciudad y región” puedes realizar búsquedas también a través de su “Word Map” o de por medio de “3D Map Shodan” cada uno cuentan con buenos gráficos para realizar las búsquedas e identificar los servidores o ordenadores y dispositivos conectados afiliados a internet por medio de ciertos “Puertos” y “Productos” famosos modelos de hardware y software.
COMANDOS SHODAN: Geo: Esta función sirve para buscar específicamente una zona utilizando la longitud y latitud. Hostname: función para especificar el dominio como ejemplo “hostname:gob.ve”. Country: Especifica el país como ejemplo tendríamos “country:ve” Title: es el titulado del servidor aquellos con la etiqueta Org: búsqueda de la organización de una red ejemplo “Org:Cantv” Port: Búsqueda de puertos como ejemplo “Port:5900” Model: puedes buscar el modelo de un hardware o software Server: búsqueda del tipo de servidor ejemplo “Server:Apeche” Vul: Función para buscar dicha vulnerabilidad. Otra herramienta que puede ser idéntica y con buenos gráficos y diseño para auditar los sist sistem emas as y múlt múltip iple less búsque búsqueda dass con con bue buena na hab habil ilid idad ad para para reali realizar zar “D “Dox oxin ing” g” es la herramienta maltego que se encuentra disponible para unos que otros sistemas operativos, en el testeo de sitio web y extracción de usuarios “Teléfono, Correo, Nombre, Detalles Personales y sitios webs en que se encuentra vinculados y registrados ciertas direcciones de correo electrónico”.
Direcciones Shodan.io para ampliar su uso:
Cuenta con grandes variedades no solo en su uso para búsqueda de los servidores, también implementa el uso de mapas digitales y ahora el famoso “radar en 3D y ICS Radar”, además tenemos la extensión para distintos navegadores como: -
Chrome - Firefox
Tener estas extensiones nos ayudara mucho al momento de acceder a una página con el navegador podrás notar que el dominio ha sido consultado por shodan y ya realizado un mapeo del servidor con la visualización de los puertos y ISP y su dirección.
Otras cosas que puedes ver en la página shodan:
1) 2) 3) 4) 5)
Buscador de Exploits Exploits Buscador de servidores servidores por medio medio de imágenes imágenes Scanhub tu nmap en shodan shodan Su Blog donde día a día día suelen publicar artículos sobre hacking utilizando shodan Honeypot integrado integrado por Kaspersky Kaspersky
John Matherly Fundador De Shodan:
Su fundador es John Matherly en twitter lo puedes buscar como @achillean ahora en Texas se dedica a la “Cartographer” el uso de creaciones de mapas virtuales ahora en el mundo digital e integrar el famoso buscador “Shodan” lo hacen perfecto para un hacker buscar testear un “producto” y buscar estos productos por medio de un mapa virtual con la capacidad de desarrollar exploits y atacar el servidor desde que se encuentre en cualquier lugar del mundo.
Preguntas:
¿Cómo se te ocurrió crear Shodan? ¿Cuál fue la idea al principio?
Quería aplicar la idea de compartición de ficheros P2P a escaneo de puertos. Aunque tenía un prototipo básico funcionando, pronto quedó claro que iba a ser difícil validar los resultados, etcétera. Así que para la primera versión haría yo mismo todo el trabajo y lo podría a disposición pública. Entonces evolucionó como un producto potencial que podría competir con Netcraft para hacer estudios de mercado, aunque eventualmente despegase como una herramienta de seguridad.
DISPOSITIVOS POR MEDIO DE SCADA
Camaras DVR, Sistemas De Supervisión SCADA, RTU, ICS y sobre todo sistemas de automatización y biometría por medio de una dirección IP, son los afectados cada día por medio de shodan, mas se facilita cuando puedes buscar una víctima desde cualquier parte del mundo que esté conectado a la internet.
ICS
Industrial Control System
SCADA
Supervisory Control and Data Acquisition
PLC
Programmable Logic Controller
DCS
Distributed Control System
RTU
Remote Terminal Unit
_ Se cree una posibilidad de causar una falla de sistema a un sistema basado a scada solamente configurando el sistema de supervisión teniendo por supuestos acceso como administrador para ello deberíamos depender de un exploit para robar las credenciales
administrativo de dicho sistema o utilizar las contraseñas que por defecto ha dejado la empresa y el cliente no ha modificado ninguno de ellas.
Componentes de un sistema scada:
Operador: Ordenador “Human Interface”: Es el ordenador que necesitamos para visualizar el sistema a scada. OPC: Es la plataforma de comunicación de redes, en shondan lo puedes encontrar RTU: ➔
BACnet: https://www.shodan.io/search?query=BACnet+port%3A%2247808%22
➔
Modbus: https://www.shodan.io/search?query=Modbus+product%3A%22ME-LGR-modbus %22
Exploit BACnet: https://www.exploit-db.com/exploits/15026/ (Lenguaje Python) Exploit Modbus: https://www.exploit-db.com/exploits/16040/ (Lenguaje Python)
Yahho TV Smart – Shodan
Además de los sistema a scada,plc y RTU tenemos también información de los “TV smart”. https://www.shodan.io/search?query=ssl%3A%22tv+widgets%22 no se ha notificado ningún intento de ataque a la TV Smart pero se puede decir que cuentas con ciertos puertos abiertos aunque no emiten ninguna configuración , por ello en el 2011 se detectó un principal ataque de denegación de servicio “TCP” a los tv de sony por medio de un exploit, Infección por medio de aplicaciones:
Punto de Ataque:
Uso de los errores del navegador web (incluyendo Flash) ➢ ataques tradicionales se pueden hacer (webkit / flash) ➢ Uso de errores en SDK proporcionados por los proveedore ➢
Robando Datos De Almacenamiento Netgear
Un problema fue reportado por nuestro grupo “KelvinSecurity” y es que por medio de la herramienta shodan podríamos buscar los productos Netgear y entrar sin problemas a los archivos privados almacenados por sus clientes donde existen “contraseñas, backups, fotos, videos, audios y números de tarjetas de crédito”, es la primera vez que llegamos a reportar algo asi podíamos visualizarlo desde cualquier punto de vista sea a través del “map de shodan” como desde su simple buscador. Por medio del puerto 21, vinculo: https://www.shodan.io/search?query=port%3A21+214-ADMIN_LOGIN
Noticias Chicago: https://t.co/oXOzxCXlT2
Identificación Por ID Card – Shodan
En Shodan: port:4070 Name: VertX_Controller
Si alguna vez has estado dentro de un aeropuerto, campus universitario, hospital, complejo gubernamental, o edificio de oficinas, lo que has visto uno de la marca de lectores de tarjetas que estaban de guardia en un área restringida de HID. Existe una vulnerabilidad de inyección de comandos en esta función debido a una falta de higienización en la entrada proporcionada por el usuario que se alimenta a la llamada al sistema (). Dado que el dispositivo en este caso es un controlador de la puerta, que tiene un control completo incluye toda la funcionalidad de alarma y de bloqueo. Esto significa que con un par de paquetes UDP simples y sin autenticación en absoluto, puede desbloquear de forma permanente cualquier puerta conectada al controlador. Y usted puede hacer esto de una manera que hace que sea imposible para un sistema de telegestión rebloqueo ella. Además de eso, porque el servicio discoveryd responde a transmitir paquetes UDP, puede hacer esto para cada puerta individual en la red al mismo tiempo!
Utilizando Shodan3R desde la terminal
La oficial librería de shodan en lenguaje python lo puedes descargar desde el repositorio de Github de achilliean https://github.com/achillean/shodan-python , ya todos sabemos para que funciona esta herramienta “shodan” pero esta vez será ejecutada desde la terminal, también hay otra versión llamada shodan3r puedes descargarla bajar el script https://ghostbin.com/paste/enk3e, y empezar a ejecutarlo desde la terminal.
WebCam Browser – Shodan
La dirección exacta es “webcambrowser.shodan.io”, shodan te pone a disposición variedades cámaras de seguridad ante todo usuario que aun así no es “Premium” las dvr que lanza shodan se pueden mostrar y por categorías varían entre países de todo el mundo, donde incluyen hoteles, aeropuertos y habitaciones.
Otros enlaces: https://maps.shodan.io https://honeyscore.shodan.io/ blog.shodan.io https://maltego.shodan.io/ https://cli.shodan.io https://exploits.shodan.io https://icsmap.shodan.io https://scanhub.shodan.io
Control Automatizado De Una Casa Con Shodan
Muchas veces has querido tener una casa como la de la foto que esta de "Vista previa" en el blog. ¿Pero que pasa? si un pirata informático se aprovecha de esta situación ya que tienes tu casa modernizada sistemas electrónicos que encienden y apagan solamente desde una app creada por la empresa desarrolladora.
la plataforma que mostraremos a continuación posiblemente afecte a muchas personas debido a la filtración de contenido que mostramos ahora en que detalla como tener control de una casa mediante el control de un web servidor afileado con un hardware que integran "Cámaras de seguridad CCTV" y otros aparatos electrónicos que hacen posible tener el control desde tu ordenador. Antes:
Después:
CONTROLES:
Vemos que es una casa muy grande no? .... gráficamente explicaremos en que países están utilizando esta plataforma.
Hay lo tienes las ip "Los Servidores" los he encontrado a través de shodan no he podido encontrar errores aun en la plataforma o más bien no he podido por tiempo investigar cómo funciona la plataforma al 100% hasta ahora solo se que podemos tener control prácticamente todas las luces de la casa de verdad esto es algo contra la persona que adquirió el producto y más peligroso cuando las contraseñas que se establecen por default en el servidor HTTP puerto 80 y también puerto 8080 tienen como contraseña por default el "Admin" Y "Admin". Shodan URL: https://www.shodan.io/search?query=location%3A+iden.php Nuestro video: https://youtu.be/hMrkLa5ZvSc VULNERABIRILIDAD:
La pagina no se encuentra vulnerable a algun metodo basico que conoscamos en penetracion pero sin embargo tiene problemas con fugas de directorios resulta que el servidor se encuentra en peligro a que un hacker audite el servidor y se encuentre con “carpetas” en directorios webs
Identificando Cajeros Automáticos Con Shodan
En conferencias se ha demostrado que los cajeros automáticos se encuentran identificados en la red y que por medio de la herramienta shodan se puede observar como son identificadas, el producto se llama NCR Self-Service Terminal y lo puedes observar en esta dirección: https://www.shodan.io/search?query=port%3A161+NCR+Self-Service+Terminal+
Se sabe que los cajeros de los productos de NCR se encuentran utilizando el software “LANDesk Management Agent” además de ello se ve registrado algunos exploits Command Injection: https://www.exploit-db.com/exploits/15488
Hackers Pueden Tener Control De Rifles Por Medio De Wifi 802.11G:
La empresa “TrackingPoint sniper rifles”, se encuentra vendiendo sus armamentos de disparo a larga distancia con un costo de 13.000 A 15.000 USD , un grupo de personas ha demostrado que se puede hackear el armamento por medio de “Wifi Conexión” el anuncio de poder “hackear un Tracking Point Rifle” fue presentado en las conferencias blackhat hackers.
Basado en Linux y múltiples comandos por el software que hace la posibilidad de controlar por medio de estos comandos a un armamento, no son los únicos en el 2013 se produjo un error de software en un sistema de lanzamiento de misiles
balísticos del ejercito de Alemania lo cual fue disparado y a cercanas de una ciudad se produjo el estallido, ahora las empresas armamentísticas buscan apoderarse de la tecnología pero para ello deberán solicitar ayuda a las empresas de seguridad para evitar que un cyber terrorista los utilices para causar terror.
Organizar una guerra con shodan:
Shodan funciona como una herramienta que podemos visualizar por medio de sus mapas y buscador para comenzar a proyectar nuestros objetivos anteriormente vimos cómo funciona el sistema scada y como se comunica. En tiempos de cyber guerra ya no se pone a vista lo que es el ataque a sistemas industriales y sistemas eléctricos, ahora todos se resuelve por medio de redes sociales y dejando mensajes y robando base de datos, podemos decir que tenemos al actual “estado islámico” utilizando todo tipo de piratas para poder llevar ataques a estados unidos y países europeos hasta ahora solo se ha visto un pequeño porcentaje de lo que han realizado para usa y el otro porcentaje se lo lleva los hackers de IRAN que no atacan de la manera que el grupo islámico pero al momento de dar el ataque será un ataque de los grandes esto ya ha sido notificado por el departamento de defensa donde señala a IRAN como una amenaza virtual y para estados unidos reaccionar ante esto ataca a los proveedores de internet de IRAN con ataques de denegación de servicio dejando a muchos usuarios del país sin acceso a internet.
Top Ataques Categorizados Como Terroristas:
Homeland Security ha creado una lista de años anteriores donde se produjeron ataques a infraestructuras militares y de gobierno, además de atacar a ordenadores y infiltrarse en las redes de la DISA con el fin de desclasificar guía de armamentos, planes de guerra y información personal de militares estado unidenses. Listado: June 2015 – China Hacks United Airlines • May 2015 – Passenger Hacks Airplane • July 2014 - China Hacks Canadian National Research Council • March 2014 – China Hacks OPM • 2011-2014 – Russian Cyber attacks against U.S. Energy Companies • January 2013 – Department of Energy Hacked • October 2011 - China Hacks Iron Dome (Israel’s missile defense)
Productos como r ockwell un sistema automatizado para inspección y monitoreo puede ser cyber atacado hasta ahora la empresa sigue sacando al mercado mas de sus productos pero la cantidad de exploits desarrollados para estos productos se eleva mucho. Rockwell Automation FactoryTalk Activation Server es propenso a múltiples vulnerabilidades remotas de denegación de servicio.
https://github.com/offensive-security/exploit-database-bin-sploits/raw/master/sploit s/36570.zip
Contraseñas Por Defecto Y Contraseñas Seguras
SCADA: Producto: WinCC 7. Usuario-Clave: winccd / winccpass wincce / winccpass DMUser / Data&Pass Administrator / Administrator Producto:Siemens Synco Web Server
Usuario-clave: Administrator / Password
Productos - : https://github.com/scadastrangelove/SCADAPASS/blob/master/scadapass.csv Pack exploit: https://github.com/juansacco/exploitpack/tree/master/exploits Pack exploit 2: https://github.com/BuddhaLabs/PacketStorm-Exploit
objetos en tu hogar que podria dar funcionamiento y alguno de ellos funcionan por una direccion Ip:
Los proyectos como en arduino ha llevado al mercado nuevos productos tecnologicos para el hogar con la facilidad de manipular muchos de se encuentran en conexion por medio de una direccion ip y puede ser manipulado remotamente desde un simple celular como “Android o Window Lumina”.
es igual a lo que vimos antes con BTICINO en que podiamos manipular las persianas, camaras y puertas ademas de la iluminacion.
Polycom HDX 6000:
Existe formas de identificar los polycoms que son accedibles sin restriccion alguna en shodan se identifican por el puerto 23 agregando polycom command shell ahora podremos acceder por medio de su puerto 80 a la plataforma varias opciones existen que nos serviran.
1) 2) 3) 4)
cambiar el logo de polycom que se visualiza fisicamente en su hardware. descargar lista de contactos de su directorio de contactos con otros VOIP Phone realizar llamadas a esos contactos solamente agregando la direccion IP historial de llamadas
Instruccion:
1) Vamos A shodan.ip inicias sesion y ponemos en el buscador: port:23 polycom shell como vez en la imagen:
ahora seleccionamos alguno recuerda que para seleccionar un pais suele ser co country.
vemos y nos enteramos que por medio del puerto 80 se encuentra:
HTTP/1.1 200 OK
=> Nos permite
un acceso sin restricción
Transfer-Encoding: chunked Cache-Control: max-age=0 Content-Type: text/html
=> con la visualización del 200 OK es un acceso correcto
Date: Thu, 21 Jul 2016 14:27:02 GMT Server: lighttpd/1.4.18
=> Tipo de servidor
ahora entraremos a uno de los ejemplo: 192.168.0.1:80
a la izquierda observamos “mapa del sitio” esta opcion la tomaremos en cuenta para encontrar el menu de sistema mucho mas resumido en cuanto se trata de las opciones que explicavamos que nos podriamos aprobecha para hacer distintas acciones.
Enviar Mensaje y que se visualize en pantalla.
Añadir titulo en pantalla pro ejemplo “owned by” seria una opcion que estuviste alli ademas te deja incorporar imagen “cambiar el logo” de polycom por otro que desees.
Ahora tenemos la opcion de exportar directorios es muy basica para descargar la lista de contactos que tiene el sistema de videoconferencias ademas nos funcionara para llamar a un contacto.
-- lista de contactos --
Información detallada de “numero” “IP”.
Robar datos De Wireless Router:
Bien vamos a shodan de nuevo o ya estamos en shodan y agregamos al buscador: ASUS FTP 230
podemos entrar a los routers por medio de el puerto 21 y con el usuario anonymous y sin contraseña alguna de esta forma tan sencillo como en windows.
>ftp => seleccion comando >o
=> abrir acceso a una IP
>
xxxxx => agregamos IP
> agregamos usuario : anonymous damos enter > luego dir y listo.
Piratas Al Ataque TLS 350 Para Inventario De Un Tanke De Gasolina:
los sistemas de supervision industrial scada esta vez hablamos del producto de supervision del inventario y un tanque de gasolina que esta automatizado y se encuentra por medio de una IPV4.
Ventaja del atacante: 1) puede modificar por medio de un servidor por entrada de puertos :8080 :80 y modificar el estado del tanke de gasolina 2) puede ver las cámara de seguridad de esta gasolinera Conexión A La Red:
SE COMPONEN POR:
1 PC 2. Se conecta a la tarjeta Ethernet PC 3. Cable Ethernet 4. Eje 5. No utilice el conector de enlace ascendente 6. Indicador de tanque 7. Se conecta al conector RJ45 en la placa final del módulo de TCP / IP 8. cable Ethernet
CONFIGURACIONES TERMINALES: es un programa de emulación de terminal para redes TCP / IP , como Internet . El programa se ejecuta Telnet en su ordenador y se conecta a su PC a un servidor en la red . puede introducir comandos a través de la programa de telnet y serán ejecutados como si estuviera entrando directamente en la consola del servidor . esto permite que le permite controlar el servidor y comunicarse con otros servidores de la red . TELNET:
UNO DE LOS PROBLEMAS QUE HAN TENIDO LOS TRABAJADORES EN GASOLINERAS ES QUE PIRATAS INFORMATICOS HAN ATACADO ESTOS DISPOSITIVOS DEJANDO MENSAJES CON EL TIPO "HACKED BY" QUE SE MUESTRAN NORMALMENTE EN LAS TECNICAS DE DEFACEMENT. EL TIPICO OWNED PARA DAR A CONOCER QUE EL DISPOSITIVO FUE HACKEADO Y ES VULNERABLE.
EL HARDWARE MANDA UN IMPRESO A LA VEZ QUE SE CONSULTA EL ESTADO DEL HARDWARE DESDE ALLI Y DISPLAY ES DONDE EL OPERADOR SE DA CUENTA QUE LAS "MALAS CONFIGURACIONES" SON MANIPULADAS POR UN PIRATA QUE HA DESCUBIERTO LA FORMA DE ENTRAR AL DISPOSITIVO VEEDER DESDE ALGUNA PLATAFORMA EN UN SERVIDOR.
Cyber Terrorisas Al Uso De Shodan: LOS ATAQUES COMPROMETEDORES E IDEOLÓGICOS DE CYBER TERRORISTAS DEL Cyber Caliphate SON CADA VEZ MAS CONSECUTIVOS Y CON NUEVOS MÉTODOS SIN EMBARGO UNA PERSONA QUE SEA ESTRATÉGICA Y TENGA EL CONOCIMIENTO SOBRE COMO PENETRAR ESTOS SISTEMAS INFORMÁTICOS PODRÁ ACCEDER COMO POR DEFECTO Y EXPLOTANDO LAS VULNERABILIDADES YA REPORTADAS EN SITIOS COMO LOS PRESENTES A CONTINUACIÓN TOMEN NOTA: https://packetstormsecurity.com www.ouah.org www.spl0it.org 0day.today ANTE QUE TODO EL HACKEO DE PARTE DEL Cyber Caliphate AL ESTUDIO TV5MODE VARIA ENTRE UNA ISP QUE TIENE POR ASIGNADA DIRECCIONES IPS DE SERVIDORES QUE UTILIZAN PRODUCTOS DE ESTUDIO ES DECIR DIGAMOS LO SIGUIENTE Y PRESTAR MUCHA ATENCION: 1) TENEMOS Y TRABAJAMOS PARA UNA EMPRESA "TV-XXX" 2) RESULTA QUE CONTAMOS CON PRODUCTOS DE ESTUDIO ENCODERS, STREAMING LIVES Y UN VIDEO RECORD Y TODOS ESTOS PRODUCTOS SE ENCUENTRA EN UN SERVIDOR EN HTTP AHORA PODEMOS BUSCAR ESTOS PRODUCTOS MUY FACILMENTE ENTONCES TENEMOS 2 CANALES DE TV DIGAMOS TENEMOS A 1) RT QUE ES UNA TELEVISORA RUSA Y 2) QUE QUIZÁS VEAN EN ESTA EXPLICACION EDUCATIVA Y QUE CONCLUIRA CON LOS ATAQUES DEL Cyber Caliphate. PRIMERO QUE TODO VEREMOS LAS CONTRASEÑAS POR DEFECTO PARA NOSOTROS SABER QUE DURANTE UN HTTP OK PODEMOS INGRESAR LAS CREDENCIALES POR DEFECTO YA QUE NO SE HA CREADO NINGÚN EXPLOIT PERO NOS LLEVARÍA MAS TIEMPO AUN DESARROLLAR LOS EXPLOITS. LO VEZ EN SOFTWARE
AHORA LO VEZ EN UN SERVIDOR WEB
BIEN CON ESTO QUEREMOS DECIR QUE TANTO EL SOFTWARE INTERACTUA CON EL SERVIDOR Y CUANDO HAY UNA "DESACTIVACION" O "DESCONEXION" VISUALIZADA EN PANTALLA DE ESTUDIO. PODRÍAMOS DECIR QUE ALGUIEN LO HA DESCONECTADO.
1) MEDIANTE ESTA TÉCNICA PODEMOS INVOLUCRAR VÍDEOS EN FORMATOS .AVI Y OTROS FORMATOS DE VIDEO. 2) "EN RASGOS DE SEGURIDAD" , LAS AUTORIDADES HAN PODIDO O DEBIERON HACER ES BUSCAR LOS "LOGS" DE SESIONES DONDE SE REGISTRA LA DIRECCION IP. BIEN AHORA SEGUIRME LOS PASOS: 1) VAMOS A SHODAN Y COLOCAMOS LO SIGUIENTE:
https://www.shodan.io/search?query=title%3ADMNG AHORA SI UTILIZAMOS LA CONTRASEÑA POR DEFECTO "USUARIO:ADMIN PASSWORD:PASSWORD" DE ACUERDO TENEMOS ACCESO Y ENTRAMOS SEGURO PERO NO TAN SEGURO AL MOMENTO QUE INICIAS SESION LA DIRECCION IP SE ALMACENARA EN LOGS DEL SERVIDOR WEB.
TELEVISORAS INVOLUCRADAS
AHORA VEREMOS LO SIGUIENTE ACÁ ES DONDE SE ALMACENAN LAS DIRECCIONES IPS:
OPCIONES: 1) DESCONEXION 2) FILE MANAGER 3)CONEXIONES A CANALES "ORGANIZACIONES Y ISP":
DEFINICIÓN DE ISP: Un ISP conecta a sus usuarios a Internet a través de diferentes tecnologías como DSL, cablemódem, GSM, dial-up, Credenciales adicionales de la plataforma: user:aviwest password:safestreams
BIEN HEMOS INGRESADO Y HEMOS VISTO EL "PRODUCTO DE WEB STUDIO" QUE SE ENCUENTRAN EN ESTUDIOS DE CANALES TELEVISIVOS PARA ADMINISTRAR Y REPRODUCIR AUTOMATICAMENTE. METODO DE BUSQUEDA: org:"INO TV NEWS" ORG EN SHODAN ESPECIFICA EL GRUPO DE TRABAJO PODRIA SER UN HOTEL, AEREOPUERTO O CANAL TELEVISIVO.
org:"INO TV NEWS" ES PROVEDORA DE RT ESPAÑOL .
OTRO PRODUCTO:
CONTRASEÑA POR DEFECTO "ADMIN-ADMIN"
Ataque A Merge Packs RADIOLOGIA Hospitales En Riesgo:
EL DISPOSITIVO MEDICO DE MERGE PACS EN CARGADO VISUALIZA GRAFICAMENTE AL PERSONAL DE UN HOSPITAL POR MEDIO DE UN SOFTWARE HACE POSIBLE QUE EL DOCTOR O INGENIERO DE COMPUTACION DE SISTEMA VISUALIZE LAS IMAGENES TOMADAS PARA SU IMPRESION ANTERIORMENTE EN PAISES LATINOS EXISTEN MUCHO MAS LA TECNOLOGIA SIEMENS, MERGE PACS EN UTILIZADOEN PAISES EUROPEOS Y ESTADO UNIDENSES.
MEDIANTE EL SCANNEO A ESTOS DISPOSITIVOS LANZAMOS UN HTTP TRACER Y OBTENEMOS LOS DATOS SIGUIENTES: Server Status:
HTTP/1.1 200 OK Date: Sat, 28 May 2016 22:49:27 GMT ‐> (ULTIMA ACTUAILZIACION) Server: Apache/2.2.22 (Win32) mod_ssl/2.2.22 OpenSSL/0.9.8zb mod_jk/1.2.37 X‐Powered‐By: JSP/2.2
EL SOFTWARE MERGE PACS TIENE CONEXION DE SOFTWARE Y SERVIDOR WEB ES DECIR QUE HAY UNA POSIBILDIAD QUE EL SERVIDOR WEB TENGA UN ALOJAMIENTO DE BASE DE DATOS Y LA VEZ LA CONFIGURACION DEL DISPOSITIVO ENTONCES HACEMOS POSIBLE QUE MANDEMOS UN MENSAJE A LA PANTALLA "OPERATIVA" DONDE SE ENCUENTRA EL SOFTWARE DE MERGE PACS. CUANDO BUSCO DISPOSITIVO POR MEDIO DE UNA ISP SACAMOS LO SIGUIENTE:
Servers: ‐> 208.64.115.22 = Lahey Clinic ‐> CLINICA VULNERABLE
‐> 208.64.115.21 = ‐> 208.184.226.190 ‐> 216.186.165.75 ‐> 216.85.156.108 ‐> 199.255.55.81 = ‐> 216.125.105.133 ‐> 12.237.44.150 ‐> 72.12.217.158 ‐> 12.237.44.150
Lahey Clinic
Beverly Hospital ‐> HOSPITAL VULNERABLE
SCANNEANDO PUERTOS DE LAS IP:
PUERTO "443" ESTABLE TCP:
ME DIRIGO A MI "NAVEGADOR WEB" Y EN LA URL INGRESO LA IP:443
COMO SE ENCUENTRAN EN "HTTP/1.1 200 OK" NOS ACEPTA INGRESAR AL SERVIDOR WEB SIN PROLEMAS DE AUTENTIFICACION PERO A LA VEZ INGRESAMOS Y NOS PIDE AUTENTIFICACION. RECORDEMOS QUE ESTE SERVIDOR MANTIENE INFORMACION Y CONFIGURACION ENTRE CONEXION DE LAS RADIOLOGIAS DE LOS PACIENTES DE UN HOSPITAL O CLINICA, DE HECHO SI VEMOS UN "OPEN SOURCE" PODRIAMOS NAVEGAR EN ESOS DIRECTORIOS Y POSIBLES ACCESOS A FICHEROS QUE SE ENCUENTRE EN DIRETORIOS COMO POR EJEMPLO: .XML , TXT , LOG , SQL ECT.
RESUMEN DEL BLOG ‐ Jboss Exploit:
El miércoles Combinar nuestro proveedor de PACS reconoció una vulnerabilidad JBOSS dentro de la aplicación PACS. La explotación era un gusano que recorrió la Internet para todos JBOSS versiones 4.x 5.x sin parche que eran accesibles a través del puerto TCP 8080. Debido a que el puerto TCP 8080 fue abierto en el firewall para el servidor PACS radios el gusano era capaz de encontrar e infectar el servidor PACS. El exploit sólo se ve afectado el servidor PACS porque se ejecuta JBOSS. Después examinamos lo que el gusano estaba tratando de lograr, se determinó que la carga útil consistió de scripts de Perl diseñado para tomar el servidor y la red hacia abajo. El martes por la tarde, hemos creado un script que