WildFly, Pentesting

WildFly: un laboratorio de pentesting clave para DORA

En el mundo digital actual, la seguridad cibernética es más crucial que nunca. Las entidades financieras enfrentan un aumento constante de amenazas cibernéticas, lo que ha llevado a la Unión Europea a implementar el Reglamento de Resiliencia Operativa Digital (DORA). Este marco regulatorio se enfoca en fortalecer la ciberseguridad y la resiliencia operativa en el sector financiero.

¿Qué es DORA?

DORA tiene como objetivo garantizar que las entidades financieras puedan gestionar de manera efectiva los riesgos relacionados con las tecnologías de la información y la comunicación (TIC). Esto implica que las organizaciones deben ser capaces de resistir y recuperarse de ciberataques y otras interrupciones tecnológicas.

Áreas Clave de DORA

El reglamento establece requisitos en varias áreas críticas, incluyendo:

 Gestión de riesgos: Establecer controles y procesos para mitigar los riesgos cibernéticos.

 Supervisión de proveedores: Evaluar y supervisar a los terceros que ofrecen servicios TIC.

 Pruebas de penetración (pentesting): Realizar pruebas regulares para detectar y corregir vulnerabilidades en los sistemas.

En ARENA, hemos llevado a cabo un laboratorio de pentesting en WildFly, un servidor de aplicaciones ampliamente utilizado, para evaluar su seguridad y cumplimiento con los requisitos de DORA.

¿Qué es WildFly?

WildFly es un servidor de aplicaciones de código abierto que permite desplegar aplicaciones y servicios Java. En este laboratorio utilizamos la versión 21 Final en una máquina virtual Windows Server 2019.

Herramientas utilizadas en el Pentesting:

Para llevar a cabo este pentesting, hemos utilizado tres herramientas principales:

1. Nmap: Escáner de puertos y redes.

2. WildPwn: Herramienta especializada en ataques de fuerza bruta en servidores.

3. Msfvenom: Utilizada para la creación de payloads personalizados.

Fase 1: Escáner

Esta herramienta principalmente se usa como escáner de puertos, aunque como veremos más adelante, tiene otras utilidades. Lo que nos permite nmap es detectar las diferentes máquinas que se encuentran en nuestra red y ver si tienen puertos abiertos o que se encuentren desplegando algún tipo de aplicación. En este caso, hemos averiguado que la IP de la máquina Windows es la 192.168.1.135, donde su puerto 8080 se encuentra abierto con una aplicación web desplegada.

Investigando la anterior interfaz, descubrimos que al hacer click sobre Administration Console, somos redirigidos a otra página web (desplegada en el puerto 9990) donde requerimos de ciertas credenciales de administración para poder acceder. Por aquí comenzaremos a analizar un posible punto de entrada.

Tras este escaneo, podemos realizar un diagrama de red que nos puede ayudar a comprender de manera visual la estructura del sistema que queremos atacar.

Fase 2: Ataque de Fuerza Bruta con WildPwn

El ataque de fuerza bruta consiste en probar múltiples combinaciones de credenciales hasta encontrar la correcta.

Ahora, nuestro principal objetivo es obtener acceso a esta pantalla restringida. Para obtenerlo usaremos la herramienta wildPwn, que posee un módulo especializado para el ataque de fuerza bruta a este tipo se servidores. Utilizaremos unos archivos que recopilan los usuarios y contraseñas más comunes para tratar de forzar el inicio de sesión.

En la captura se observa que se han encontrado unas credenciales de autenticación con nombre de usuario y contraseña admin:4dm1n1998 y administrador:Admin19?. Lo más probable es que se traten de usuarios administradores del sistema. Si probamos a introducir los datos obtenidos, se nos mostrará la siguiente pantalla:

 

Como podíamos suponer, se trata de una pantalla de administración del servidor y de las aplicaciones que se encuentran disponibles para su despliegue. Un usuario malicioso que pueda acceder sin prácticamente restricción al interior de nuesto sistema puede provocar grandes daños.

Fase 3: Reverse Shell con Msfvenom

Una reverse shell permite al atacante obtener acceso remoto al sistema objetivo.

Aprovechando que contamos con acceso ilimitado, por lo que sabemos, al sistema de gestión, vamos a tratar de obtener acceso a la propia máquina que mantiene la aplicación WildFly desplegada.

Para ello, nos apoyaremos en la herramienta msfvenom. Esta herramienta está diseñada para la creación de payloads (códigos maliciosos) personalizados. En nuestro caso, el objetivo es la creación de un archivo .war que nos permita abrir una consola de comandos en la máquina víctima (reverse Shell).

Para subirlo a la aplicación, simplemente nos dirigiremos al apartado de deployments y subiremos nuestro archivo malicioso.

Ahora, deberemos de mantener nuestra máquina a la escucha en el puerto que hemos indicado durante la creación del payload, en este caso el puerto 445. Usaremos la herramienta netcat para ello.

Ya teniendo nuestra máquina en escucha, accediendo a la url de la página web en el puerto 8080, es decir, la página principal, si añadimos /reverse-shell se ejecutará el código que hemos introducido nosotros, permitiéndonos acceder como administradores a la máquina que sostiene el funcionamiento de todo el servicio.

A partir de aquí, esta vulnerabilidad la podemos considerar como crítica, ya que cualquier cosa que el atacante quiera hacer, va a tener los medios para ello. Como, por ejemplo, robar datos directamente del servidor, o en casos más radicales, destruirlo por completo mediante el borrado de archivos clave.

Recomendaciones finales para proteger a tu entidad

Mantener la configuración por defecto en aplicaciones y sistemas puede llevar a graves brechas de seguridad. Es fundamental que las empresas del sector financiero, en cumplimiento con DORA, revisen y mejoren constantemente la seguridad de sus sistemas.

En este laboratorio hemos podido observar dos fallos muy comunes en el despliegue de este tipo de servicios.

Comenzando con el ataque por fuerza bruta, las contraseñas contienen caracteres especiales, lo que provoca cierta dificultad al tratar de obtenerlas, pero, por otro lado, la posibilidad de llevar a cabo miles de peticiones consecutivas desde un mismo dispositivo hasta dar con la combinación correcta es un gran fallo de seguridad. Una posible solución a esto sería la implementación de servicios como IpBan, que permite el bloqueo de direcciones IP tras un número de intentos de inicio de sesión erróneos.

Como se puede observar durante la realización del pentesting, la mala gestión de las conexiones ha sido el factor que nos ha permitido conseguir finalmente el acceso a la máquina que mantiene el servidor levantado. Gracias a la implementación de Firewalls o con las propias reglas de Windows, la posibilidad de que este tipo de incidentes ocurran puede disminuir notablemente.

En conclusión, mantener las opciones por defecto de nuestras aplicaciones o sistemas puede causar graves brechas de seguridad. Siempre debemos dedicar parte de nuestro trabajo a la correcta configuración de la seguridad de nuestros equipos.

¿Cómo ARENA Puede Ayudarte a Fortalecer tu Seguridad?

En ARENA, no solo realizamos auditorías de seguridad mediante pruebas de pentesting, sino que también ofrecemos soluciones adaptadas para mitigar riesgos como los ataques de fuerza bruta y la gestión deficiente de conexiones.

Con nuestra experiencia en ciberseguridad y cumplimiento con normativas como DORA, podemos implementar medidas de protección avanzadas adaptadas y preparar a tu compañía para resistir ataques cibernéticos y cumplir con los estándares regulatorios de la industria financiera.

Marcos Sánchez
Programmer
Conquistamos el futuro del sector financiero juntos
Contáctanos
Linkedin Instagram Youtube
ARENA
Políticas
Dónde estamos
  • C/María Tubau, 3. 28050. Madrid
  • +34 91 570 53 00
  • info@arenatech.es