SIEM, ¿Durmiendo con el enemigo?

En la mayoría de las empresas medianas y grandes, el cerebro de la seguridad se basa en un SIEM (Security Information and Event Managment), donde todos los equipos de red y servidores envían los eventos de cada uno de los servicios o sistemas operativos, para que a través de las políticas y correlaciones configuradas, se generen las alertas de alguna anomalía o un ataque en la red.

Para que esto funcione es fundamental que el SIEM tenga algún mecanismo de acceso a los diferentes servicios o a los diferentes eventos de cada sistema, por lo cual es un elemento en la red que no solo sirve de concentrador sino que también permite acceder de cierta forma a diferentes. Lo que significa que para las áreas de seguridad es un elemento que debe tener una especial atención, no solo en su funcionamiento sino en sus configuraciones de seguridad, por lo que en ElevenPaths desde hace un par de años hemos estado realizado varias investigaciones entorno a como las empresas configuran la seguridad de este elemento central para la seguridad de las empresas.

El objetivo de la investigación fue desarrollar una herramienta que permita a los equipos de red team detectar las vulnerabilidades más comunes que se generan por malas configuraciones de los SIEM, buscando aprovechar fallos en el manejo de las API, hacer ataques de diccionario, usar las contraseñas por defecto o aprovecharse de los puertos de administración que se dejan configurados. Por lo que se inicio con el desarrollo hace un año, haciendo pruebas en tres diferentes SIEM y hoy se ha llevado la investigación a siete plataformas.

Usando para el desarrollo de las pruebas sus versiones libres y las configuraciones por defecto que tiene cada uno de los SIEM que más se usan en el mercado o que tras la presentación de la herramienta en DEFCON Europe en el 2019 nos fueron solicitando los usuarios, así en esta versión 0.2 se pueden hacer pruebas sobre:

    • Splunk
    • Graylog
    • OSSIM
    • QRadar
    • McAfee SIEM
    • SIEMonster
    • ElasticSIEM

La herramienta es completamente publica y pueden descargarla de GitHub y escrita en Python 3, por lo que la comunidad puede aportar o reportar los bugs que detecte y así seguiremos con la investigación.

Al usarla encontraran un menú, que le permite al analista cargar la IP y el puerto del SIEM a analizar o detectar un SIEM dentro de una red.



Una vez detectado el SIEM el sistema informa el sistema detectado y el puerto de la detección

Dando paso al menú de ataque, que para cada uno de los SIEM es diferente y que muestra todas las posibles pruebas que se pueden realizar y cuales requieren de los datos de conexión y cuales son para obtener esos datos de conexión, en la siguiente imagen se puede ver el menú del SIEM McAfee y como se ejecuta uno de los ataques.


Y así con cada uno de los SIEM que han entrado en la investigación. Encontrando que en todos los SIEM analizados fue posible acceder a la consola de gestión, permitiendo extraer información del sistema, información de la red o crear reglas que permitan que un ataque pase inadvertido. En otros casos se logro obtener acceso a la base de datos del sistema y con esto a todos los equipos de la red.

Lo que demuestra que esta herramienta que es vital para los equipos de seguridad y que debe garantizar  los pilares de la seguridad de la información, en realidad puede ser una puerta de acceso a atacantes, a fugas de información o a mecanismos que permiten esconder un ataque, generando una falsa sensación de seguridad que en algunos casos puede ser muy crítica, pues muchos de estos equipos se han expuesto a Internet para la gestión remota de la seguridad.

Para quienes quieran conocer un poco de como de como esta estructurado el código, se hizo un ElevenPaths Code Talks donde hablamos de esto.

Contribución gracias a Diego Samuel Espitia Montenegro aka @dsespitia, CSA de ElevenPaths.

Comentarios