Teletrabajo y pandemia: un análisis práctico respecto a la vulnerabilidad BlueKeep en España y Latinoamérica

No es la especie más fuerte la que sobrevive, ni la más inteligente, sino la que responde mejor al cambio.

Charles Darwin

Uno de los mayores y más rápidos cambios acontecidos en la historia reciente de la humanidad es esta “nueva normalidad” que ha traído la pandemia de la Covid-19 desde el pasado mes de marzo. En este cambio, la mayoría de las empresas tuvo que gestar un modo de mantener su actividad al precio que fuese, al menos en la medida de lo posible.

Esto, que no es fácil, sabemos además que es crítico siempre que hablamos de empresas tecnológicas: vemos muchas empresas cuyo éxito y fuerza anterior de nada les ha servido para afrontar el actual escenario de mercado o financiero. Han pasado del mayor de los éxitos (su fuerza anterior) al más estrepitoso de los fracasos. No adaptarse al cambio puede significar ser sentenciado a muerte o a una larga agonía. Recordemos el caso de Nokia, por ejemplo: a primeros de siglo, cómodamente asentada en el trono hegemónico de la telefonía móvil tanto por producción como por reputación; hoy, sólo una pequeña sombra de lo que fue, tras la llegada de los smartphones.

Pero volviendo a marzo de 2020, como decíamos, las empresas de la mayoría de países que han sufrido un confinamiento han debido disponer de medios para mantener su actividad. Y, a menudo, estos procesos tan urgentes nunca tienen en cuenta las medidas de protección necesarias. En buena parte, esta adaptación ha significado habilitar la posibilidad del teletrabajo, que, según parece por los movimientos de los distintos gobiernos a regular esta modalidad laboral, ha llegado para quedarse. Pero, como demostraremos, esta capacidad para gestionar en remoto y/o habilitar el teletrabajo ha significado un mayor número de activos expuestos a vulnerabilidades sobradamente conocidas.

La vulnerabilidad BlueKeep

El estudio que se presenta se basa en la vulnerabilidad CVE-2019-0708, una vulnerabilidad bautizada como BlueKeep, de ejecución remota de código en Remote Desktop Services (anteriormente conocido como Terminal Services) cuando un atacante no autenticado se conecta al sistema de destino mediante RDP y envía peticiones especialmente diseñadas. Esta ejecución remota de código puede significar el control y compromiso total del sistema.

El motivo de estudiar precisamente esta vulnerabilidad es porque el protocolo RDP  habilita un acceso remoto fácilmente, tan sólo con abrir el puerto 3389 a la máquina deseada. Pero cada puerto abierto, como sabemos, es un vector de entrada, sobre todo en el caso de que no se hayan tomado las medidas básicas de protección de los sistemas. Además, no es una vulnerabilidad especialmente reciente (data de mayo de 2019) y también debemos tener en cuenta que afecta a sistemas operativos obsoletos de Microsoft XP, Vista, Windows Server 2008 que no estén debidamente actualizados.

En el estudio ha colaborado César Farro, que ya en mayo del año pasado publicó el primer estudio de exposición respecto a BlueKeep. Para este menester se han usado herramientas públicas como masscan y rdpscan, ambas escritas por Robert Graham.

La metodología para este trabajo ha sido simple:

• Se ha escaneado el rango de IP’s respecto de cada país usando fuentes públicas donde están publicadas los rangos IPv4 asignados a cada uno, como Lacnic y RIPE.
• Se han usado las herramientas antes descritas para analizar si el activo expuesto bajo el puerto 3389 abierto es vulnerable. Cabe destacar que el análisis no es determinante y hay un número de activos no diagnosticables, que se detallan como “unknown”.
• Establecemos una comparativa entre enero 2020 y agosto 2020 para comparar el número de activos con el puerto abierto y extraer conclusiones respecto al nivel de exposición.

Veamos, por ejemplo, datos para España antes y después de la pandemia:

Tomando como datos los porcentajes, vemos una clara evolución:

Para el caso de España, podemos sacar las siguientes conclusiones:

• Si bien el número de activos con el puerto 3389 casi se ha duplicado, el porcentaje de activos objetivamente vulnerables a esta vulnerabilidad claramente ha bajado de un 11% a un 4% de los activos expuestos.
• 3745 dispositivos se podría considerar todavía un número muy elevado de máquinas fácilmente accesibles y vulnerables por tanto, a un fallo de seguridad publicado hace más de un año.
• El aumento de los casos etiquetados como desconocidos se debe, principalmente a una corrección de los métodos de consulta desde IP’s desconocidas, y debe atribuirse a una mejor configuración. Esto puede hacerse, por ejemplo, limitando los accesos RDP a unas IP’s determinadas, lo cual redunda en un acceso más seguro.

Puedes consultar todos los datos respecto a los 12 países en estudio en resumen en la siguiente tabla:

En resumen

La nueva normalidad impuesta por la pandemia ha forzado a numerosas empresas y organismos a habilitar recursos de acceso remoto para mantener su actividad. Pero, como todo cambio, esto ha de hacerse manteniendo nuestra estrategia de seguridad para garantizar también la continuidad de negocio.

El uso de RDP u otros métodos de acceso remoto deben ser planificados y ejecutados siempre desde la seguridad por diseño para que nuestra adaptación a este cambio se lleve a cabo sin poner en riesgo nuestra entidad. Como consejo, conviene tener correctamente inventariada nuestra lista de activos con sus correspondientes versiones de sistemas operativos y software y/o servicios que corren, vigilando siempre que se mantienen al día respecto a actualizaciones de seguridad.