Esta semana realizamos un estudio de ciberseguridad de la red chilena, el cual revela la existencia de un número importante de computadores conectados a la Internet afectados por la vulnerabilidad CVE2019-0708, también conocida como BlueKeep. Esta vulnerabilidad afecta al protocolo de conexión remota RDP de versiones antiguas del sistema operativo Windows, y su existencia pudiera ser aprovechada en el futuro en ataques automatizados del tipo ransomware. Como comparación, ataques recientes como Wannacry y NotPetya explotaron vulnerabilidades similares con efectos graves en los sistemas afectados.
El estudio se basa en un escaneo remoto masivo de las redes chilenas realizado a mediados de esta semana. Utilizando técnicas no invasivas y livianas para no sobrecargar las redes estudiadas, junto a Eduardo Riveros, estudiante de postgrado de la U. de Chile, detectamos la existencia de al menos 2933 dispositivos expuestos a la red chilena, los cuales podrían ser afectados en caso de explotación masiva de BlueKeep. Si bien el número reportado es un porcentaje minúsculo de los aproximadamente 500 mil equipos visibles en la Internet chilena, el número real de potencialmente afectados es posiblemente mayor. Es probable que nuevos computadores vulnerables se oculten detrás de redes internas, las cuales no fueron analizadas por limitaciones de las técnicas utilizadas en el estudio.
Casi la totalidad de los dispositivos afectados reside en redes de proveedores de servicio de Internet (ISPs) y servicios de hosting. Otros afectados, pero en menor escala, corresponden a universidades y empresas de comunicaciones, entre otras organizaciones. El estudio no reveló computadores afectados en la red de conectividad del estado.
El presente estudio busca evaluar la realidad local luego de una iniciativa comenzada por Robert Graham, conocido investigador norteamericano de ciberseguridad, quien realizó un escaneo completo de la Internet por esta vulnerabilidad el pasado lunes 27 de mayo. Este escaneo reveló que casi un millón de dispositivos Windows conectados a Internet podrían ser vulnerables a ataques basados en BlueKeep. Además de los resultados, el investigador norteamericano hizo públicas las herramientas utilizadas, lo que permitió al CLCERT reaccionar relativamente rápido para evaluar el estado de la ciberseguridad de la red chilena con respecto a BlueKeep.
Cabe destacar que Microsoft liberó el 14 de mayo de 2019 los parches de seguridad necesarios para las versiones de Windows afectadas, y reiteró la necesidad de instalarlos el día 30 del mismo mes. Por lo mismo, recomendamos encarecidamente a los administradores de sistemas potencialmente en riesgo asegurarse que las actualizaciones se hayan realizado. En el caso de no poder instalar estos parches en el corto plazo, se sugiere como medida mitigatoria el bloqueo de tráfico entrante a través del puerto 3389 en los sistemas potencialmente afectados.
Hasta la fecha, no se reportan casos de explotación de esta vulnerabilidad a nivel mundial. Sin embargo, como medida precautoria los detalles del reporte efectuado fueron compartidos con el CSIRT del Gobierno de Chile, organización que está analizando los datos. Se recomienda a los administradores de redes que sospechan pudieran estar afectadas contactarse directamente con esta entidad, al teléfono +(562) 2486 3850 o directamente en el sitio web del CSIRT del Gobierno de Chile.
Alejandro Hevia
Académico del Departamento de Ciencias de la Computación de la Facultad de Ciencias Físicas y Matemáticas de la Universidad de Chile, y Director del Laboratorio de Seguridad Computacional y Criptografía Aplicada CLCERT.