Servidores FTP con acceso anónimo expuestos en Chile

24 Junio 2022
Alto

 

No cabe duda de que la tecnología ha permitido alcanzar grandes logros, permitiendo conectarse en cualquier ubicación geográfica y acortar las distancias, como jamás se pudo haber pensado, trayendo consigo grandes cambios y modernización, adaptándose a nuevos entornos donde lo “análogo” dejó de ser una forma priorizada de uso, dando paso finalmente a la ubicuidad del internet.

Chile no está ajeno a este vertiginoso cambio en la tecnología, haciéndose presente  desde la modernización de las comunicaciones hasta la forma en la que se comparten grandes volúmenes de datos, donde diferentes tecnologías y protocolos convergen para poder permitir el traspaso de información de un punto a otro, logrando que un documento físico existente a miles de kilómetros, pueda ser digitalizado y compartido a otras ubicaciones del planeta.

En este sentido, el protocolo FTP fundó las bases de la transferencia de archivos entre redes y posteriormente, en internet, pero con el tiempo fue dejándose de lado para dar paso a tecnologías mucho más seguras, sin embargo, FTP es gratuito y es un protocolo accesible por medio de aplicativos que facilitan su uso diario, así como su paralelo seguro SSH, que permite la comunicación por medio de un túnel seguro entre redes, con la diferencia que, en su naturaleza, FTP no transmite los datos de manera cifrada.

En el país, hoy en día existen servicios FTP expuestos a internet que no han sido securizados y puestos en producción con nula configuración de seguridad, a los que se puede tener acceso fácilmente, desde una línea de comandos o una ventana en el navegador de internet.

La unidad de investigación del Centro de Ciberinteligencia de ENTEL, ha preparado este reporte acerca de la presencia de esta tecnología en Chile, haciendo énfasis en la exposición de más de 10.000 servicios que se encuentran operativos, de los cuales el 37% se encuentran vulnerables y han sido objetivo de actores maliciosos que han tenido presencia en el país, a través de diferentes campañas y operaciones.

 


Servidores FTP detectados en Chile


 

Protocolo FTP: un poco de historia

 

Individualizado y explicado técnicamente en el RFC 959 de octubre de 1985, el “File Transfer Protocol” (FTP por sus iniciales en inglés), es un protocolo de red para la transferencia de archivos entre sistemas conectados (orientado a conexión), por lo que es necesario que ambos lados de la red (cliente – servidor) se encuentren activos y ejecutando TCP/IP.

 


Esquema de funcionamiento FTP

 

El estudio y mejora de este protocolo que hoy se conoce, debió pasar por una variedad de cambios en su funcionamiento, así como la compatibilidad y la inclusión de módulos que permitieran la interacción por línea de comandos y entornos gráficos, logrando con esto oficializar su estándar de transferencia de archivos, que se mantiene en uso (aunque en muy baja medida) hasta el presente.

 

Entre sus cambios y mejoras más importantes, se pueden mencionar:

 

  • 1971: primera propuesta para transferencia de ficheros (RFC 114 y 141).
  • 1973: se añaden mejoras a la base del protocolo, documentado en el RFC 454.
  • 1975: se introducen mejoras para la impresión de comandos por pantalla y la compatibilidad de impresión por consola.
  • 1980: se introducen ajustes en la compatibilidad del protocolo NCP, pasando oficialmente al uso de TCP, agregando nuevos comandos para la interacción de consola (RFC 765).
  • 1982:  se declaran obsoletos los RFC 114 y 141, introduciéndose el RFC 294, que incluye la selección del tipo de archivo a transferir.
  • 1985: publicación final del RFC 959, con mejoras anteriores aplicadas y compatibilizadas para uso público.

 

Posterior a la publicación oficial de su uso público, la industria adoptó este protocolo y lo convirtió en una oportunidad comercial, destinando para ello una enorme cantidad de desarrollo de software orientado al uso de FTP en grandes entornos productivos y educativos, lo que sumado al crecimiento y puesta pública de internet durante los siguientes años (1996 al 2000), trajo una fuerte demanda por la disponibilización de los datos de manera remota, sobre todo en universidades y centros de investigación.

 


Comparativa FTP vs SFTP

 

Más tarde, hacia la actualidad, FTP se convirtió en un protocolo flexible y fácil de configurar, ideal para poder efectuar trabajos de carga de archivos y utilizarlo con diferentes plataformas de interfaz gráfica, sin embargo, con el pasar del tiempo fue mejorado por la integración de canales cifrados, permitiendo su funcionamiento SSH (o conocido como SFTP).

 

Uso de FTP en Chile

 

Como se mencionaba anteriormente, FTP es un protocolo que permite la transferencia de archivos entre redes e idealmente puede ser utilizado en una red local, pero muchas organizaciones utilizan este protocolo conectado a internet, ya que ofrece conectividad rápida y no sugiere costos adicionales en su implementación.

 


Servidores FTP presentes en Chile

 

Solo en Chile, existen alrededor de 10.000 servidores FTP expuestos a internet, y un 37% de estos, admite acceso por medio de usuarios anónimos (con una contraseña predefinida diferente a la configurada por omisión), y de este conjunto, un 1,2%, no tienen una configuración de seguridad apropiada, permitiendo el acceso por medio de login anónimo con credenciales predefinidas.

Lo anterior, se comprueba mediante la búsqueda en diferentes fuentes que permiten tener una visibilidad del estado de seguridad de estos servicios, que pocas veces son tomados en consideración, dado que el protocolo en sí no ofrece mayor seguridad.

 

Acceso “Anónimo”

 

El origen de FTP vino a responder a la necesidad de transferencia de ficheros entre ordenadores conectados en red por motivos militares o científicos.

La naturaleza misma de estos ficheros implicaba una cierta reserva y este es el motivo por el que no todos tienen acceso a los servidores FTP (server FTP) sino que sólo pueden acceder a ellos los usuarios que posean un nombre identificativo y una clave de acceso (password).

 

Ejemplo de acceso anónimo FTP

 

Con el desarrollo de Internet y la consiguiente entrada en la red de millones de usuarios privados se ha tenido que recurrir a un pequeño "truco" para permitir el libre acceso a determinados ficheros de dominio público.

Este sistema se conoce con el nombre de Anonymous FTP y simplemente consiste en suministrar al servidor FTP como identificador del usuario la palabra anonymous y como clave de acceso, alguna configurada previamente.

 

Servidores FTP con acceso anónimo en Chile

 

De acuerdo con lo observado, existe un número de servidores FTP expuestos a internet con acceso Anónimo habilitado, que en algunos casos, está “restringido” a un usuario anónimo pero con una contraseña específica (no requiere un nombre de usuario), pero existen otros servicios de este tipo que tienen “permitido” el acceso a visualización de documentos e incluso, creación de archivos.

 


Acceso a FTP expuesto Chile

 

Con la facilidad de acceso que esto permite, el poder llegar a información sensible o incluso poder extraerla, se vuelve una tarea muy fácil y que solo dependerá de la paciencia y perseverancia del atacante.

 


Acceso anónimo por CLI a FTP en Chile

 

Consecuencias de mantener un servidor FTP con acceso anónimo

 

Históricamente, el protocolo FTP ha sido una herramienta valiosa a la hora de exfiltrar información, sin embargo cuando este servicio se encuentra mal configurado y permite el acceso de “cualquier usuario”, no solo se exponen datos que podrían ser sensibles, si no que también, se entrega la posibilidad de que un atacante pueda tomar ventaja de ello y utilizar de manera maliciosa las disponibilidad de este tipo de recurso.

 

Ransomware en servidores FTP

 

De igual forma, algunos atacantes logran comprometer estos servidores (ya sea por aquellos desplegados por medio de tecnologías NAS o servidores dedicados), y lanzan ataques de ransomware, logrando comprometer parte o la totalidad de los archivos existentes en el equipo víctima.

 


FTP en Chile comprometido con Ransomware

 

Y para este caso particular, se observa que el ataque fué llevado a cabo por un afiliado al ransomware “0xxx”.

 

Nota rescate Ransomware en servidor FTP

 

Muchos otros servicios descubiertos durante la investigación alojan estructuras de operación interna que en rigor, no deberían encontrarse disponibles al público.

 

Herramientas de gestión interna expuestas

 

Aquí, un caso de un servicio ubicado en el norte de Chile, en el que se utiliza un servidor FTP para alojar facturas de pago y otros documentos, así como las herramientas para poder generar estos documentos.

 


FTP en Chile con sistema de facturación expuesto

 

Desde este punto y efectuando un breve análisis de los archivos expuestos, se puede llegar a un sitio desde donde se puede cargar archivos a un servidor.

 


Sitio interno de carga de archivos expuesto por medio de FTP

 

El análisis del código de este portal evidencia que no valida el tipo de archivo que se sube, por lo que en este escenario, se podría efectuar una secuencia de modificaciones en los archivos, que permita cambiar la ruta de subida del archivo, indicar al código que ejecute alguna tarea de shell reversa, etc.

 


Credenciales de BBDD expuestas en servidor FTP

 

Dado que el objeto de esta investigación no es interactuar de manera ofensiva con los equipos expuestos a internet, se continúa con el análisis de portales y accesos.

 

 

Repositorios de malware

 

Como es de esperar, aquellos servidores FTP que se encuentran expuestos sin un mayor resguardo o con políticas de seguridad apropiadas, serán utilizados y “aprovechados” por quienes se encuentran en constante búsqueda de anonimizar sus infraestructuras de ataque.

 


Malware en servidor FTP

 

Algunos archivos llaman la atención solo con su nombre, sin embargo al momento de obtener su hash y compararlo en motores de inteligencia de malware, se constata que corresponden a familias de malware del tipo dropper, troyanos, etc., que son “alojados” en servidores FTP aguardando su momento de descarga.

 


Verificación de malware encontrado en FTP

 

Cabe mencionar, que la estrategia de ataque para la descarga de malware, normalmente utiliza servidores web vulnerables a los que se puede acceder por medio de una URL, la que en definitiva apuntará al archivo malicioso alojado.

Para el caso de los servidores FTP, estos sirven como un “backup” y no es extraño encontrar repositorios de estos distribuidos por todo el planeta.

 

Servidores FTP expuestos accesibles desde un navegador web

 

Al igual que aquellos servicios que han sido encontrados por medio de una búsqueda a través de herramientas especializadas, recursos disponibles en internet para acceder a esta información, se encuentran al alcance de un click.

Como la investigación ha estado enfocada en el descubrimiento de aquellos servicios FTP en Chile, y principalmente, con un acceso no controlado (anonymous access), es preciso mencionar la facilidad con la que se pueden encontrar repositorios que tienen este comportamiento, con una simple búsqueda en internet.

 

 
Búsqueda de FTP expuestos por HTTP

 

Estos mismos repositorios disponibles para navegar desde la web, se pueden acceder desde otras herramientas y manipular sin mayor problema los archivos y carpetas que existen dentro de cada uno de ellos.

 


FTP con permisos de escritura

 

Con esta PoC, se puede inferir que un atacante podría manipular los archivos existentes en una carpeta y reemplazarlos por malware para desplegar shell reversa, como también la creación de un repositorio “llamativo” para los usuarios, que explote su curiosidad y ejecuten archivos maliciosos en la máquina desde donde se conectan.

 

Actores de amenaza que toman ventaja de estas malas configuraciones

 

Los servidores FTP se consideran un objetivo privilegiado para los ciberdelincuentes, ya que pueden explotarlos, por ejemplo, para propagar malware que infecte los servidores web que dependen de las aplicaciones FTP para las actualizaciones.

Desde aproximadamente el año 2015, se han observado ataques en donde los actores de amenaza cargan scripts PHP maliciosos en los servidores FTP; si los servidores FTP tienen algún enlace a un  servidor web  donde se utiliza para cargar contenido, los atacantes alcanzan su objetivo implantando el script PHP en ese servidor web.

 


PHP malicioso alojado en servidore FTP utilizados como repositorio de malware

 

De igual forma, los atacantes cargan archivos HTML en los servidores FTP, si las víctimas navegan por la lista de archivos en una aplicación o servidor FTP utilizando su navegador, son secuestrados en un sitio web malicioso controlado por ciberdelincuentes. Los atacantes utilizan trucos de ingeniería social para engañar a las víctimas, los archivos de hecho tienen  nombres inocuos como  Pinterest , Facebook o algo relacionado con la empresa de la víctima.

En los escenarios de ataque típicos, las víctimas son redirigidas a sitios maliciosos que proponen medicamentos recetados, pornografía o incluso sitios web que ofrecen  ransomware .

 

Si bien el número de este tipo de tecnologías mal configuradas y expuestas en internet, no es de un alto valor, se debe tener en cuenta que cuanto más se expone una parte de la red de la organización, mayores serán las posibilidades del adversario, considerando que estos se encuentran en constante búsqueda de mejora en sus técnicas de ataque.

Considerando que FTP no es un vector de ataque típico, si es una herramienta utilizada por grupos APT y de amenazas avanzadas, para lograr exfiltrar datos desde un objetivo, sin efectuar interrupción en las operaciones cotidianas de los servicios de la organización.

En este contexto, la mala configuración de este tipo de tecnologías expone considerablemente a las organizaciones, las que si no toman las medidas adecuadas para mitigar este riesgo, podrían ser víctimas de ataques con malware o ransomware, como se demostró en los ejemplos incluídos en esta investigación.


 

De acuerdo con la evidencia de los acontecimientos relacionados a la cantidad de servidores FTP con login anónimo expuestos en Chile, se puede inferir que una gran parte de estos ya ha sido utilizado como repositorio de malware e incluso, han sido afectados por ataques con ransomware.

Dadas las campañas de distribución de malware y sobre todo aquellas del tipo troyano bancario, hay una alta probabilidad de que alguno de estos servidores, sirva como repositorio o backup de dichas amenazas, por cuanto existe evidencia de que en Chile  diferentes organizaciones han sido comprometidas y que al día de hoy no se dan por enteradas.

Sin embargo, ninguna industria está exenta de sufrir este tipo de ataques, considerando que en el pasado, diferentes tipos de operaciones han involucrado el compromiso de tecnologías que ayudan el funcionamiento y la producción de las organizaciones, donde los últimos ataques que han sido llevado a cabo y que tienen por objetivo el robo de datos, tienen como protagonista al protocolo FTP.

Los servidores expuestos evaluados en esta investigación, no han sido intervenidos de manera ofensiva, por cuanto el espíritu de este tipo de acciones, es concientizar a las organizaciones al respecto de tecnologías que “quedan en el olvido”, dada su facilidad de despliegue y puesta en producción.

El Centro de Ciberinteligencia de Entel CyberSecure recomienda lo siguiente:

  • Revisar la existencia de configuración de acceso anónimo FTP:
    • Analizar la utilidad de autorizar accesos anónimos a servidores FTP. Si no es necesario, desactivar esta opción.
  • Instalar las actualizaciones del fabricante disponibles en medios oficiales del proveedor, previo análisis del impacto que podría provocar en los servicios críticos para el negocio de su organización. Para ello consulte con su personal técnico o áreas resolutorias correspondientes.
  • Efectuar revisión de los repositorios FTP, con el objeto de determinar si estos han sido vulnerados y utilizados como medios de distribución de malware.
  • Verificar la existencia de procesos secundarios sospechosos que incluyan el protocolo FTP, así como los puertos 20 y 21.

Tags: #FTP #Vulnerabilidad #Ataque #Ransomware #Exploit #Malware #Anónimo #Botnet #Investigación
  • Productos Afectados
  • Producto Versión
    FTP Versiones con acceso anónimo habilitado


© 2019 Entel CyberSecure
Protege tus activos críticos, datos e infraestructura TI y minimiza tus riesgos de fuga de información,
fraude electrónico, espionaje industrial, suplantación de identidades y amenazas Zero Day, con las soluciones y servicios del Centro de Ciberinteligencia de Entel.