I Vulnerability Scanned The Entire Internet And Accidentally Made A Botnet

Marcus Hutchins

14 Oct 202408:38

Summary

TLDRUn investigador explora una vulnerabilidad en el servicio Cups browsed, que permite a los atacantes añadir impresoras maliciosas a redes vulnerables. A través de un escaneo masivo, descubre que más de 100,000 direcciones IP están expuestas, lo que podría facilitar ataques cibernéticos y el espionaje de documentos impresos. Inesperadamente, el investigador crea un botnet al recibir conexiones continuas de más de 305,000 sistemas, lo que destaca la importancia de prácticas de seguridad adecuadas. Al final, decide desconectar su servidor y reportar la vulnerabilidad a las autoridades, subrayando la necesidad de ser proactivos en la ciberseguridad.

Takeaways

🔍 La vulnerabilidad de impresión de Cups se compone de cuatro problemas interconectados que permiten a un atacante agregar una impresora a una red y ejecutar código malicioso al imprimir.
💻 El servicio `cups-browsed` es responsable de la búsqueda de impresoras de red y está vinculado al puerto UDP 631 usando la dirección IP 0.0.0.0, permitiendo el acceso sin autenticación.
📡 La explotación implica enviar un paquete UDP específico al servicio vulnerable, lo que desencadena una solicitud HTTP de regreso al servidor del atacante.
🕵️‍♂️ Más de 100,000 direcciones IP fueron encontradas vulnerables tras un escaneo exhaustivo, lo que llevó a la creación accidental de un botnet.
⚠️ Los sistemas vulnerables pueden ser utilizados para ejecución remota de código, captura de documentos y ataques de denegación de servicio (DoS).
📈 Los ataques DoS se vuelven viables al inundar un servidor objetivo con solicitudes HTTP de los dispositivos comprometidos, lo que puede saturar su capacidad de red.
💡 Después de descubrir el botnet, el atacante apagó su servidor y reportó las direcciones IP afectadas a las autoridades relevantes.
📉 La falta de buenas prácticas de seguridad puede llevar a compromisos extensos y a brechas de datos significativas.
🤔 Este incidente resalta la necesidad de revisar regularmente las configuraciones de red y los protocolos de seguridad para mitigar riesgos.
🌐 La exposición de servicios a Internet sin la debida protección puede resultar en serias consecuencias para la seguridad de la red.

Q & A

¿Cuál es la vulnerabilidad principal discutida en el video?
-La vulnerabilidad principal se encuentra en el servicio llamado Cups browsed, que es responsable del descubrimiento de impresoras en red.
¿Cómo funciona la vulnerabilidad en Cups browsed?
-Funciona al permitir que cualquier dirección IP se conecte al puerto UDP 631, sin autenticación, lo que facilita que un atacante agregue una impresora maliciosa a la red.
¿Qué tipo de conexión se establece cuando se envía un paquete UDP al sistema vulnerable?
-Cuando se envía un paquete UDP, el sistema vulnerable establece una conexión HTTP de vuelta al servidor del atacante, confirmando su vulnerabilidad.
¿Cuántas direcciones IP resultaron ser vulnerables según el escaneo realizado?
-Más de 100,000 direcciones IP resultaron ser vulnerables tras el escaneo realizado.
¿Qué hardware se utilizó para realizar el escaneo de vulnerabilidades?
-Se utilizó un servidor potente con 48 núcleos, 64 GB de RAM y una conexión de red de 6 Gbps para enviar los paquetes UDP.
¿Por qué se decidió utilizar C++ en lugar de Python para el escaneo?
-Se decidió usar C++ debido a que Python tiene mucho overhead y es más lento, lo que no permite el rendimiento necesario para escanear toda la Internet.
¿Qué problema ético surgió después de realizar el escaneo?
-El problema ético fue que, accidentalmente, se creó un botnet, ya que muchos sistemas comenzaron a conectarse repetidamente al servidor del atacante.
¿Qué acción tomó el creador del escaneo tras darse cuenta del botnet?
-Decidió apagar el servidor y proporcionar las direcciones IP vulnerables a las autoridades correspondientes para que se pudiera informar a los administradores de esos sistemas.
¿Cómo podría un atacante aprovechar esta vulnerabilidad además de hackear redes?
-Un atacante podría agregar una impresora maliciosa a la red para capturar documentos que los usuarios intenten imprimir, además de provocar ataques de denegación de servicio (DoS).
¿Qué lecciones se pueden aprender sobre la seguridad de la red de este experimento?
-Se destaca la importancia de no hacer suposiciones sobre las prácticas de seguridad de otros, ya que se descubrió que más de 100,000 sistemas estaban expuestos a ser hackeados.