Rapid7, especialista en detección de amenazas, ha realizado un estudio sobre Internet IPv4 basándose en la solución Sonar. El estudio ha analizado todas las direcciones IP de uso público para conocer los servicios que están siendo proporcionados en todo Internet. El informe se ha llevado a cabo desde abril a mayo.
La compañía ha recopilado toda la información mediante un “mapa de calor” de la Red buscando servidores cuyos puertos fueran expuestos a cualquier vulnerabilidad. Los resultados han desvelado que esos mismos puertos fueron los que desencadenaron la brecha en Bélgica, Tayikistán y Samoa.
El informe explica el porqué los ataques de las actuales botnets se centran en los routers SOHO y dispositivos del Internet de las Cosas (IoT), en vez de en dispositivos o redes de empresas que pueden estar más vigiladas. Estos ataques acceden más fácilmente a un puerto Telnet que un malware dirigido a Windows o a los archivos de phising adjuntos en correos electrónicos porque están sujetos a pruebas A/B constantes.
Los puertos obtenidos de un servidor, por ejemplo, nos proveen una lista de los servicios que se están ejecutando en él; el más común es el puerto 80 que suele ofrecer servicios http o páginas web sin cifrado (https).
Por otro lado, existen servicios sin cifrar que condicionan cualquier ataque como puede ser el puerto 110 asociado a los servidores POP3 o el puerto 21 asociado a servicios de FTP. El puerto 21, además, es un acceso inseguro a la hora de transmitir cualquier archivo en línea.
Una de las conclusiones del estudio es que Internet se necesita actualmente para cualquier ámbito de nuestra vida, a la vez que pone en riesgo la seguridad tanto de las empresas como de los usuarios. Hay que tener en cuenta que la adopción de protocolos de cifrado no garantiza estar protegido al 100%.
Los puertos Telnet publicados en Internet no han sido lo único cuestionable. El escaneo de Rapid7 también ha encontrado más de 20,3 millones de puertos FTP expuestos, más de 8,8 millones de equipos con el protocolo de administración de escritorio remoto (RDP), más de 7,8 millones de puertos de bases de datos MySQL, más de 5,2 millones de puertos de RFB (para sesiones VNC) o más de 3,3 millones de puertos de MSSQL, las bases de datos de Microsoft.
Los puertos Telnet están activos en los routers de Cisco mientras que en los dispositivos de la IoT es más común su uso.