Español | English
rss facebook linkedin Twitter

Donde los scanners de vulnerabilidades no llegan – III

“In banner we trust”


La mayoría de los scanners confían en la información recibida en los banners de los servicios para determinar la presencia o no de una vulnerabilidad.

Como hemos comentado anteriormente, la detección de una vulnerabilidad la mayoría de veces se realiza a partir de la estimación de la versión del software utilizado. Si se estima una versión concreta y esta se encuentra catalogada como vulnerable, el servicio se marca como vulnerable sin llegar a confirmar si la vulnerabilidad existe realmente.

Los fabricantes alegan las siguientes razones para hacerlo así:
  • Simplicidad.
  • Evitar los posibles DoS (Denegación de Servicio) que podría provocar la explotación activa de la vulnerabilidad.
  • Muchas vulnerabilidades carecen de PoC (Prueba de concepto) que permitan confirmarlas.

Pero este enfoque presenta dos grandes problemas:
  • Los banners pueden ser modificados/falseados/malinterpretados: El banner de texto de la mayoría de servicios puede ser ocultado y/o alterado, de forma que la confianza que se puede tener en el mismo es minima. Para colmo, la heterogeneidad de los banners según cada fabricante hace que no sea raro encontrar situaciones en las que el scanner malinterpreta la versión publicada.
  • Las bases de datos de vulnerabilidades suelen estar incompletas: Sobre todo en el caso de software poco habitual como veremos más adelante. Por ejemplo es clásico ver descripciones muy amplias del alcance de una vulnerabilidad, por ejemplo: "Las versiones anteriores a la 4.26 son vulnerables", pero sin dar más detalles. De forma que al desarrollador del scanner se le plantean una serie de dudas: ¿las versiones 3.x son vulnerables? ¿Y las 2.x de hace 6 años que ya nadie usa y que nadie se ha molestado de estudiar, son vulnerables? Según sea el criterio del programador del scanner, tendremos entonces una respuesta más o menos atrevida, y muchas veces desacertada.

Hasta la próxima entrega!

Ramón Pinuaga
Departamento de Auditoría


(+34 902 222 521)


24 horas / 7 días a la semana



© Copyright S21sec 2013 - Todos los derechos reservados


login