Metasploitable es un sistema operativo contenido en una máquina virtual preparado específicamente para ser vulnerable a diferentes tipos de ataques. Ahora, el equipo de desarrollo de Metasploitable ha lanzado la versión Metasploitable3 para permitir a los estudiantes y profesionales de seguridad informática probar sus herramientas en un entorno controlado.
Metasploitable3 es la última versión del popular proyecto, que nos permite simular ataques a sistemas reales utilizando en gran medida Metasploit, el conocido framework para realizar pentesting de sistemas. Metasploit es ampliamente utilizado en la industria de la seguridad informática debido a su eficiencia, nos permite una gran configurabilidad de los módulos, desarrollar nuevos módulos por nosotros mismos, y también para realizar diferentes tipos de pruebas de software. Además, como Metasploit es ampliamente utilizado, también lo suelen utilizar los ingenieros de preventa para demostrar que sus productos son seguros, así como en los retos CTF.
La última versión de Metasploitable data del año 2012, esta nueva versión Metasploitable3 está construida para ser vulnerable desde cero, y tiene unas características muy interesantes que las versiones anteriores no tenían.
Principales Características de Metasploitable3
De código abierto, y con desarrollo continuado
Esta nueva versión de Metasploitable es de código abierto, los desarrolladores se dieron cuenta que si querían que toda la comunidad “jugara” con este sistema, también podrían influir y contribuir con el proyecto. Por este motivo, esta nueva versión está disponible de manera gratuita y libre en el repositorio de Metasploitable3 en GitHub. Ahora, al tener un desarrollo continuado, no tenemos simplemente la máquina virtual VirtualBox para descargar, sino que nos tendremos que descargar e instalar en nuestro sistema operativo real software adicional.
Los requisitos de Metasploitable3 son que necesita Packer, Vagrant, Vagrant Reload Plugin y por último, VirtualBox para simular el sistema operativo. En el proyecto de Metasploitable3 en GitHub tenéis las instrucciones para la puesta en marcha. Próximamente también se portará a VMware para poder utilizar este software de virtualización.
Más dificultad para explotar vulnerabilidades
En la versión Metasploitable2 había varias vulnerabilidades que simplemente lanzando un exploit ya teníamos privilegios de root en el sistema operativo. Con Metasploitable3 la dificultad es mayor, no todas las vulnerabilidades en Metasploitable3 se pueden explotar con un simple exploit de Metasploit, sino que tendremos que utilizar varios. Además, también se ha configurado que si un servicio se logra explotar con un único exploit, obtengamos una shell sin permisos de root, para dificultar el proceso y aprender cómo hacerlo. Además, tenemos la opción de desactivar el cortafuegos incorporado, para facilitar aún más este proceso.
Incorporación de “banderas”, simulando datos corporativos
Los desarrolladores han incorporado una serie de “banderas”, simulando los datos corporativos, de esta forma, si capturamos una bandera será similar a datos que hayamos podido robar. Conseguir estas banderas simularía el trabajo post-explotación y puede requerir el conocimiento de técnicas de ingeniería inversa.
Metasploitable3 es extensible
En la vida real, cuando vulneramos una máquina, además de verificar toda la información que haya en ella, también la podemos usar para pivotar a otra máquina dentro de la red corporativa. El objetivo de los desarrolladores de Metasploitable es crear una red de máquinas virtuales para realizar pentesting con diferentes tipos de vulnerabilidades, de esta forma, simularán un entorno real.
Actualmente Metasploitable3 está basado en Windows, pero próximamente estará basado también en Linux con el objetivo de probar módulos de Metasploit en este sistema operativo.
Os recomendamos visitar Metasploitable3 en GitHub donde encontraréis toda la información necesaria para la puesta en marcha del sistema.
Fuente: https://www.redeszone.net
Entusiasta de la seguridad cibernética. Especialista en seguridad de la información, actualmente trabajando como especialista en infraestructura de riesgos e investigador.
Experiencia en procesos de riesgo y control, soporte de auditoría de seguridad, diseño y soporte de COB (continuidad del negocio), gestión de grupos de trabajo y estándares de seguridad de la información.
Envía tips de noticias a info@noticiasseguridad.com o www.instagram.com/iicsorg/.
También puedes encontrarnos en Telegram www.t.me/noticiasciberseguridad