¿CUÁNTOS SERVIDORES SON VULNERABLES A DROWN ATTACK EN ESPAÑA?

drown-attackEste sábado algunos con resaca de procesiones de Semana Santa otros de alcohol, otros de trabajar y otros de descansar, a mí me ha tocado actualizarme un poco y por ello he pensado llenar un poco el Github de QuantiKa14 que tan solo se debe sentir con Triana Browser.

Para ello hemos subido un script que hice la semana pasada para realizar búsquedas automatizadas en Shodan y almacenar los resultados en una base de datos MySql. Es importante recordar que Shodan nos permite descargar los resultados en CSV, JSON o XML con créditos de pago. Con este script lo tendremos gratis pero solo 5 páginas de resultados que es lo que nos permite el buscador sin cuenta premium.

Este fin de semana me dispuse a leer varios artículos que tenia atrasados de varias semanas. Entre ellos me encontré “¿Qué tan vulnerable estamos los Colombianos ante el Ataque DROWN?” que tenia pendiente desde hace varios días. Me pareció muy interesante la investigación que realiza Jaime Andres sobre los servidores vulnerables en Colombia a DROWN Attack y decidí hacer lo mismo para España y así aprovechar para subir el script de Shodan al github.

¿Qué es el DROWN Attack?

Es una vulnerabilidad grave que afecta a HTTPS y otros servicios que dependen de SSL y TLS, algunos de los protocolos criptográficos esenciales para la seguridad en Internet. Estos protocolos permiten que los usuarios en Internet puedan navegar por la web, utilizar el correo electrónico, tienda en línea, y enviar mensajes instantáneos y sin terceros ser capaz de leer la comunicación.

Fuente: https://drownattack.com/

¿Y por qué sucede esto? aprovechando el contenido que tan bien explica en el post de DragonJar os lo copio ya que me parece perfecto:

Es un problema que afecta HTTPS y otros servicios que utilizan SSL / TLS que todavía soportan el viejo SSLv2 y permiten a un atacante forzar al servidor a utilizar esta versión vulnerable de SSL aunque el usuario este realizando una conexión TLS correctamente verificada, de esta forma puede suplantar fácilmente la pagina y capturar la información que supuestamente estaba cifrada sin que el usuario se de cuenta de ello.

¿Qué pueden ganar los atacantes?

Cualquier comunicación entre los usuarios y el servidor. Normalmente esto se resume para los que no sepan muy bien que quiere decir esto: cuentas con sus credenciales usuario/password, números de tarjetas de crédito, correos electrónicos, documentos, mensajes instantáneos, etc.

Sabiendo lo anterior, vamos a utilizar el buscador de Shodan con el dork country:es para preguntar cuantos servidores tienen indexados. La imágenes de abajo muestran un total de 5,105,245 de maquinas y una lista de las cinco ciudades que más tienen:

shodan-country-es shodan-top-country-es

Posteriormente queremos saber cuantos de estos 5 millones son posibles vulnerables a DROWN Attack. Para ello buscaremos con el dork country:es ssl.version:sslv2 y hacemos justamente lo mismo que antes.

shodan-sslv2 shodan-sslv2-top

Ahora sabiendo que 56,146 servidores (~1,10%) pueden ser vulnerables vamos a usar otro script que he creado para la ocasión que leerá nuestra lista de IPs obtenidas con anterioridad con Shodanpy y mandará una petición a la web https://test.drownattack.com/ de una forma automatizada y sabremos cuántos de esos servidores son realmente vulnerables.

drown-attackpy

Por último agradecer a la comunidad de DragonJar por el contenido que comparten todos los días y a los lectores que si habéis hecho la prueba podéis decirnos que porcentaje por Twitter de los 56 mil servidores candidatos a ser vulnerables os ha dado la pequeña investigación. Un saludo.

Enlaces de descarga de los script:

 

 

 

 

 

 

 

Add a Comment

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *