OPEN PORTMAPPER Portmapper (también conocido como rpcbind, portmap o RPC Portmapper) es un mecanismo para que los servicios de Llamada de Procedimiento Remoto (RPC) se registren con el fin de permitir realizar llamadas a Internet, como un servicio de directorio para RPC. Cuando un cliente está buscando el servicio adecuado, Portmapper es consultado para ayudar con la búsqueda. Esto quiere decir, que cuando se realiza la consulta, el tamaño de la respuesta varía dependiendo de que servicios RPC están operando en el host. INFORMACIÓN DE LOS CAMPOS ADJUNTOS AL REPORTE:
Campo Descripción
Vulnerabilidad Hace referencia al nombre de la vulnerabilidad
Dirección IP Dirección IP del dispositivo en cuestión
Puerto Puerto que responde a la vulnerabilidad
timestamp_EcuCERT Fecha y hora de comprobación de EcuCERT en GMT -5
as_name Nombre del ASN al que pertenece la dirección IP
status_EcuCERT Online: vulnerabilidad reportada por Stakeholders y comprobada por el EcuCERT en el timestamp_EcuCERTOffline: Vulnerabilidad reportada por Stakeholders, pero en el timestamp_EcuCERT no se detectó.
timestamp Fecha y hora de comprobación en UTC+0
ip Dirección IP del host
protocol Protocolo por el que ingresó la respuesta (UDP )
port Puerto desde donde se obtiene la respuesta Chargen
hostname DNS reverso del host
tag Siempre será chargen
asn ASN de la red donde se encuentra el host
geo País donde se encuentra el host
region Estado/Provincia/Región donde se encuentra el host
city Ciudad donde se encuentra el host
naics Código del Sistema de Clasificación Industrial de América del Norte
sic Código del Sistema de Clasificación Industrial Estándar
programs Lista de programas separados por (;) al cual portmapper tiene acceso. El formato de cada entrada es “[número del programa] [versión del programa] [puerto/protocolo];”
mountd_port Puerto mountd que se probó para las exportaciones NFS (si se encuentra mountd que se ejecuta en el host)
exports Lista de exportaciones NFS, separadas por (;), que el host tiene disponible. El formato es: “[directorio exportado] [lista del grupo de restricciones de la exportación (si existen)];”
Detección El comando shell para imitar una exploración portmapper es: rpcinfo -T udp -p [IP] Medidas de corrección recomendadas. Portmapper representa un nuevo vector para la reflexión y amplificación de los ataques DDoS a través de Internet. Todos los administradores y organizaciones deben revisar su uso como un servicio de Internet disponible en su entorno. Sin embargo, no es el único vector, existe un varios servicios RPC vulnerables también que están disponibles en los puertos UDP. Si bien no hemos enumerado cada uno de ellos directamente, todos ellos deben ser considerados un riesgo de ser utilizado para ataques DDoS reflexión o amplificación, su exposición en Internet debe ser cuestionado y deshabilitarlos se considera una buena práctica. Se recomienda desactivar Portmapper junto con NFS, NIS y todos los demás servicios de RPC a través de la Internet abiertos. En situaciones en las que los servicios deben permanecer activos, configurar qué direcciones IP pueden llegar a dichos servicios y, posteriormente, cambio a TCP-only para evitar convertirse en participar de los ataques DDoS en el futuro. Enlaces de interés: https://www.shadowserver.org/wiki/pmwiki.php/Services/Open-Portmapper http://blog.level3.com/security/a-new-ddos-reflection-attack-portmapper-an-early-warning-to-the-industry/ https://www.us-cert.gov/ncas/alerts/TA14-017A https://www.shadowserver.org/wiki/pmwiki.php/Services/Open-Portmapper Links de descarga:
Open Portmapper - Descripción
MD5: 9f7b84d3e28a0b11a88c8d41c9df36c7
Dirección - Av. Amazonas N 40-71 y Gaspar de Villarroel Quito, Ecuador Teléfono - (+593) 22 272-179
EcuCERT
ecucert Centro de respuesta a incidentes informáticos del Ecuador
Llaves PGP/GPG
(+593) 22 272-179
Envíanos un Correo

Copyright © 2017 EcuCERT