El panorama de la seguridad está siendo golpeado desde todos los vectores, ampliando la superficie de ataque de forma espectacular. Otras tendencias como las migraciones a la nube y los mandatos de trabajo desde casa debido a Covid-19 han abierto nuevas oportunidades para conductas nefastas. La ciberseguridad actual es una estrategia de múltiples capas, y también lo es el enfoque de RidgeBot™. RidgeBot descubre automáticamente los activos, los escanea y luego explota las vulnerabilidades encontradas tal como lo haría un hacker. Armados con los informes detallados y precisos generados por RidgeBot, los administradores de seguridad pueden cerrar rápida y proactivamente todas las vulnerabilidades de su red junto con los activos críticos.
Más recientemente, el ransomware como servicio (RaaS) y los pagos con Bitcoin se están convirtiendo en la herramienta sofisticada del momento. La última versión de RidgeBot incluye una nueva plantilla centrada específicamente en la lucha contra los ataques de ransomware.
La plantilla de ransomware de RidgeBot 3.2 incluye la exploración y explotación de las siguientes clases de vulnerabilidades:
- Ejecución remota de código/comando. RidgeBot 3.2 puede escanear su red, dispositivos y servidores para detectar y explotar cualquier vulnerabilidad latente no parcheada, como Eternal Blue o Strus2.
- En el caso de los exploits Eternal Blue, RidgeBot se hace con el control de la shell del dispositivo comprometido y puede emitir comandos desde la misma.
- Para los exploits de Struts2, RidgeBot puede cosechar el directorio de archivos del host objetivo y muestra que el host objetivo fue ingresado y que su directorio de archivos es visible para RidgeBot.
- Contraseña débil y relleno de credenciales. Todos estamos familiarizados con las contraseñas que se rechazan debido a lo fáciles o familiares que parecen. Y sin embargo, existen numerosas vulnerabilidades conocidas relacionadas con las contraseñas débiles, o con la revelación de credenciales, en la industria, incluyendo las asociadas a SSH, Redis, SQL Server, SMB y Microsoft Remote Desktop Server. RidgeBot identifica estos casos como vulnerabilidades.
Server Message Block (SMB): es el protocolo estándar de Internet que utiliza Windows para compartir archivos, impresoras y puertos. En un entorno de red, los servidores ponen a disposición de los clientes sistemas de archivos y recursos. RidgeBot 3.2 puede identificar y explotar las credenciales débiles de SMB, así como explotar Eternal Blue, la famosa vulnerabilidad de SMB que causó el ataque de ransomware WannaCry.
- WebLogic y otros tipos de cargas de archivos: Las vulnerabilidades de cargas de archivos utilizan archivos para insertar códigos maliciosos que desencadena RCE en la plataforma de destino, estos incluyen cargas de archivos locales y remotas e incluyen estas vulnerabilidades:
- Método PUT de Apache Tomcat para grabar un archivo (CVE-2017-12615)
- La página de configuración de prueba del servicio WebLogic tiene una carga de archivos arbitraria (CVE-2018-2894)
- Deserialización del decodificador XML de WebLogic (CVE-2017-10271)
- Grabación de archivos arbitrarios en Apache ActiveMQ (CVE-2016-3088)
Si desea un análisis en mayor profundidad, lea el artículo completo sobre RidgeBot aquí.