Se ha descubierto que más de 13.500 dispositivos de almacenamiento conectados a internet están expuestos online debido a que los usuarios no establecieron contraseñas de acceso para ellos.
Todas las unidades afectadas utilizan Internet Small Computer Systems Interface (iSCSI), que es una implementación de la interfaz SCSI que conectaba las unidades de disco directamente a los ordenadores.
iSCSI, que se estandarizó en 2000, permitió que ese protocolo operara a través de conexiones IP para que los dispositivos pudieran conectarse a otras unidades a través de redes de área local, o conexiones de área amplia, incluido internet.
Hoy en día, se utiliza iSCSI para conectarse a una variedad de dispositivos, incluidos los distintos tipos de unidades de almacenamiento conectado a la red (NAS) que se pueden encontrar en una oficina pequeña, y bancos de dispositivos de almacenamiento en red de grandes centros de datos.
iSCSI también es una forma común para que los ordenadores se conecten a máquinas virtuales (VM). Estos son archivos de software que contienen sistemas operativos completos que se ejecutan en una capa delgada de software en lugar de hacerlo directamente en un servidor físico, lo que hace posible ejecutar muchos de ellos a la vez en un solo ordenador. Las máquinas virtuales son la base de la computación en nube, que se basa totalmente en recursos virtualizados.
Sin embargo, aquí surge el problema de poner cosas en Internet: generalmente son fáciles de encontrar y conectarse. Si se pone algo como un dispositivo iSCSI en línea y luego no se asegura con credenciales de inicio de sesión, significa que está disponible públicamente para que cualquiera pueda acceder a él.
Un investigador de ciberseguridad que usó el nombre A Shadow lo descubrió y lo publicó:
Acabo de descubrir un nuevo tipo de vector de ataque. Hay más de 13k #iSCS posiblemente vulnerables en Internet… twitter.com/i/web/status/1…
Encontraron más de 13,500 de estos dispositivos iSCSI expuestos en línea, disponibles para que cualquiera pueda acceder y filtrar los datos que tenían. Esto permite que cualquier persona que se conecte con éxito a una de esas unidades tenga total libertad para descargar su contenido, eliminarlo o modificarlo para insertar malware.
El investigador agregó que muchas de estas direcciones iSCSI pertenecían a empresas privadas, lo que las convirtió en los principales objetivos de los ciberdelincuentes.
ZDNet verificó los hallazgos de A Shadow al buscar dispositivos iSCSI no protegidos en el motor de búsqueda IoT Shodan. Encontró dispositivos expuestos de una variedad de organizaciones, incluida una sucursal de YMCA, una agencia gubernamental rusa y varias universidades e institutos de investigación.
Esto no es un problema con el protocolo iSCSI sino de su implementación.
Los usuarios que instalan estos dispositivos deben hacer un esfuerzo para protegerlos, aunque en muchos casos no serán conscientes de que deben hacerlo.
Aquí es donde puede entrar la segunda línea de defensa. Los proveedores de dispositivos habilitados para iSCSI podrían forzar a los usuarios a configurar contraseñas antes de permitirles conectarse a una red, o mejor aún configurar los dispositivos con contraseñas individuales listas para usar.
El reciente proyecto de ley de ciberseguridad de IoT de California, SB-327, impone tal medida. Será interesante ver si tiene algún efecto para detener problemas como este.
Para manteneros al día de las últimas amenazas haceros fans de nuestra página de Facebook o síguenos en Twitter para intercambiar experiencias en torno al mundo de la seguridad. Si deseas recibir nuestro boletín de seguridad en tu correo electrónico, suscríbete en la siguiente aplicación:
Dejar un comentario