natalia pérez muñoz y paula moraga monterolenguaje de cobol sigue siendo confiable, y perciben un...
TRANSCRIPT
-
Página 2 de 26
Análisis de Amenazas Cibernéticas #16 Sistemas Legacy Natalia Pérez Muñoz y Paula Moraga Montero Martes 1 de Septiembre de 2020
Contenido 1. Introducción ....................................................................................................................................................... 3 2. ¿Qué es un sistema legacy? .............................................................................................................................. 4 3. Desafíos de los sistemas legacy ........................................................................................................................ 5
3.1. COBOL: sistema legado y controversia ................................................................................................... 5 3.2. Razones esgrimidas para mantener sistemas legacy ............................................................................. 5 3.3. Argumentos para modernizar los sistemas ............................................................................................ 6
4. Modernización de sistemas legacy ................................................................................................................... 8 4.1. Modelos de evaluación ............................................................................................................................ 8 4.2. Métodos de modernización ..................................................................................................................... 8 4.3. Migraciones exitosas ................................................................................................................................ 9
5. Estado de sistemas .......................................................................................................................................... 10 5.1. Sistemas operativos actuales y sistemas legacy ................................................................................... 10
5.1.1. Windows con soporte ................................................................................................................... 10 5.1.2. Windows sin soporte .................................................................................................................... 10 5.1.3. Linux con soporte .......................................................................................................................... 11 5.1.4. Linux sin soporte ........................................................................................................................... 11 5.1.5. MAC con soporte .......................................................................................................................... 13 5.1.6. MAC sin soporte ............................................................................................................................ 13
5.2. Servidores Web Legacy .......................................................................................................................... 14 5.2.1. Apache con soporte ...................................................................................................................... 14 5.2.2. Apache sin soporte........................................................................................................................ 14 5.2.3. Nginx con soporte ......................................................................................................................... 14 5.2.4. Nginx sin soporte ........................................................................................................................... 14 5.2.5. IIS con soporte ............................................................................................................................... 15 5.2.6. IIS sin soporte ................................................................................................................................ 15
5.3. Gestores de contenidos actuales y legacy ............................................................................................ 15 5.3.1. Wordpress con soporte ................................................................................................................ 15 5.3.2. Wordpress sin soporte .................................................................................................................. 15 5.3.3. Joomla! Con soporte ..................................................................................................................... 16 5.3.4. Joomla! Sin soporte ....................................................................................................................... 16 5.3.5. Drupal con soporte ....................................................................................................................... 17 5.3.6. Drupal sin soporte ......................................................................................................................... 17
6. Resultados ........................................................................................................................................................ 18 6.1. Sistemas Operativos Legacy en Chile .................................................................................................... 18
6.1.1. Sistemas Windows en Chile sin soporte ...................................................................................... 18 6.1.2. Sistemas Linux en Chile sin soporte ............................................................................................. 18
6.2. Sistemas web legacy en Chile ................................................................................................................ 19 6.2.1. Sistemas Apache en Chile sin soporte ......................................................................................... 19 6.2.2. Sistemas Nginx en Chile sin soporte............................................................................................. 19 6.2.3. Sistemas IIS en Chile sin soporte .................................................................................................. 20
7. ¿Cuál es la real amenaza en materia de ciberseguridad? ............................................................................. 21 8. Conclusiones .................................................................................................................................................... 26
Autores: Natalia Pérez M. y Paula Moraga M. Director: Carlos Landeros C. Edición: Katherina Canales M. Diseño: Jaime Millán G. Corrección: Patricio Quezada A - Carolina Covarrubias E. Correo: [email protected] Santiago de Chile, 01 de septiembre de 2020
-
Página 3 de 26
Análisis de Amenazas Cibernéticas #16 Sistemas Legacy Natalia Pérez Muñoz y Paula Moraga Montero Martes 1 de Septiembre de 2020
1. Introducción Los sistemas legacy o sistemas heredados son soluciones computacionales en contextos tecnológicos ya superados, pero que siguen vinculados a activos críticos centrales en las organizaciones. En otros términos, son soluciones del pasado que representan un problema en retrospectiva. Este tipo de sistemas son un desafío para las organizaciones que los sostienen en el actual contexto global, dado que la disponibilidad de tecnologías depende de múltiples soluciones en una industria que, además avanza a un ritmo acelerado, donde los sistemas tecnológicos de épocas pasadas están destinados a la obsolescencia. En consecuencia, los sistemas heredados se pueden entender como soluciones parche a problemas de fondo, los que tarde o temprano debemos enfrentar con estrategias de mediano o largo plazo, dependiendo de la dimensión del desafío. Este artículo busca poner en perspectiva un problema que tratamos de ignorar muchas veces al interior de las organizaciones, especialmente dada la magnitud del costo que puede significar la solución, y por la desconfianza en el uso de sistemas que no han sido del todo probados en áreas específicas, como la banca, los sistemas de salud o gobierno. El desafío de este artículo fue crear un acotado panorama de los sistemas legacy en nuestro ecosistema nacional, para lo cual se acompañan algunas tablas estadísticas que indican que tipo de software cuentan o carecen de soporte –en general-, y cuantos sistemas expuestos a internet estarían dentro de esta categoría.
-
Página 4 de 26
Análisis de Amenazas Cibernéticas #16 Sistemas Legacy Natalia Pérez Muñoz y Paula Moraga Montero Martes 1 de Septiembre de 2020
2. ¿Qué es un sistema legacy? Un sistema legacy o sistema heredado se refiere a un sistema basado en dispositivos computacionales que pueden estar aún en uso pero que carecen de soporte por parte de los proveedores, por lo tanto, no pueden ser actualizados.1 Un sistema heredado también puede hacer referencia a procedimientos y procesos vinculados a tecnologías específicas, pero en general se describen a sistemas antiguos, críticos y centrales en las organizaciones, cuyo uso se ha extendido por un tiempo mayor a las tecnologías que los soportan porque son capaces de satisfacer necesidad de las organizaciones que los cobijan y pero que no cumplen los estándares de la evolución tecnológica. Estos sistemas pueden ser analizados por el software de la aplicación, el soporte, el hardware del sistema, los datos de la aplicación, los procesos de negocios en su uso, las reglas y políticas del sistema. El término fue incorporado a la literatura de la tecnología de la información en la década de los 1990, en relación a softwares complejos de manejar pero que constituyen una parte esencial de las organizaciones.2 Estos sistemas heredados utilizan técnicas que son obsoletas, pero siguen realizando un trabajo útil, y en algunos casos, su reemplazo puede representar un riesgo para la continuidad de una actividad. Los sistemas heredados presentan como principal desafío la necesidad de mantenimiento, y alternativamente, su actualización o migración. En todos los casos, los retos asociados son técnicos y no técnicos, con el objetivo de proporcionar seguridad, confidencialidad e integridad de los activos informáticos que almacenan. En este sentido, es necesario enfatizar que la literatura solo reconoce a los sistemas que son esenciales para el desarrollo de una actividad como sistemas legacy.
1 Rana, M. y Ab Rahman, W., A Review of Cloud Migration Techniques and Models for Legacy Applications: Key Considerations and Potential Concerns, Advanced Science Letters, Vol. 24, 2018, p. 1710. 2 Vs. Bennett, K., Legacy systems: coping with success, IEEE Softw. 12, 1995.
-
Página 5 de 26
Análisis de Amenazas Cibernéticas #16 Sistemas Legacy Natalia Pérez Muñoz y Paula Moraga Montero Martes 1 de Septiembre de 2020
3. Desafíos de los sistemas legacy Una forma de comprender un sistema legacy es asumir que las organizaciones, en gran medida, dependen de las soluciones del pasado para su funcionamiento actual, pero se enfrentan al dilema inevitable de la obsolescencia tecnológica de esas soluciones. No importa cuán crítica sea la operación de una organización, el cambio tecnológico no es una excepción, sino una norma de la que no se puede escapar. 3.1. COBOL: sistema legado y controversia El uso del lenguaje de programación COBOL en los sistemas bancarios es un ejemplo de soluciones razonables de otras épocas que, en retrospectiva, hoy representan un problema. COBOL (sigla en inglés de Common Business-Oriented Language) es un lenguaje de programación que fue creado a finales de la década de 1950 y que aún está operativo, con alrededor de 200 billones de líneas de código que se utilizan en sistemas comerciales y administrativos, especialmente en la banca, sistemas de salud y agencias gubernamentales alrededor del mundo. Hoy COBOL representa lo que se define como una de brecha de habilidades en la industria de software, dado que la mayoría de los desarrolladores actualmente se forman en lenguajes de codificación dinámicos como Java o Python, y aquellos que tienen experiencia con este tipo de lenguaje están desapareciendo del mercado. La última versión del programa se lanzó en 2014, y el promedio de edad de los profesionales que utilizan COBOL supera la barrera de los 45 años. Todos estos factores hacen que la mantención de los sistemas COBOL sea cada vez más compleja y costosa.3 La persistencia en el uso de COBOL está vinculada al papel central del área económica que depende de su uso, lo que genera una serie de fricciones que van más allá del propio lenguaje de programación y automatización de los sistemas, y que afloran en la interacción de infraestructuras asimétricas dados los diferentes tipos de lenguajes de programación que se utilizan. Para estas organizaciones el lenguaje de COBOL sigue siendo confiable, y perciben un riesgo potencial en el cambio o la migración a nuevos sistemas. Estas entidades prefieren seguir ejecutando lo que se denomina como “computación de crisis”,4 sin capacidad de mantención en el futuro, y en muchos casos a través de soluciones entregadas por proveedores, pero cuya respuesta sigue siendo confiable en el presente, postergando así confrontar el problema hasta el último momento posible. 3.2. Razones esgrimidas para mantener sistemas legacy Cómo se destacó en el punto anterior, los sistemas heredados aún representan activos valiosos para las organizaciones por múltiples aspectos, como la funcionalidad específica que prestan a un sistema específico, la inversión que significa optar por un nuevo sistema, las dificultades en la implementación de nuevas soluciones y la inseguridad –o miedo- a la modernización, principalmente, por la fidelidad de los resultados de los sistemas instalados.
3 Vs. https://logapps.com/white_paper/moving-from-your-legacy-system-cobol-conversion-cost-and-consequences/ 4 Vs. Ristasdatter, L., Unwrapping Cobol: Lessons in Crisis Computing, Tesisdoctoral, Universidad de Malmo, Facultad de Cultura y Sociedad. 2020.
-
Página 6 de 26
Análisis de Amenazas Cibernéticas #16 Sistemas Legacy Natalia Pérez Muñoz y Paula Moraga Montero Martes 1 de Septiembre de 2020
Además de estas razones, podemos esgrimir otros argumentos que hacen renuente la decisión por el cambio o migración, entre estas destacan:
Si bien mantener un sistema legado es costoso, las alternativas de modernización representan una inversión inicial y riesgo mayor.
La capacitación en el uso de un nuevo sistema no solo significa costos en la capacitación de personal, sino una inversión de tiempo de adaptación y asumir la ocurrencia de imprevistos durante la etapa de transición.
Los sistemas heredados tienden a tener una disponibilidad constante, por lo que no se
pueden sacar de servicio, y el costo de diseñar un nuevo sistema con un nivel de
disponibilidad similar es alto.
El miedo de trasladar todos o parte de los sistemas de una empresa o un departamento, a un nuevo sistema inspira resistencia, por la cantidad de cambios que sucederán.
No son pocas las dificultades que implica el cambio de sistemas. El software heredado podría estar construido con un lenguaje de programación obsoleto que dificulte encontrar personal con las habilidades para realizar la migración. Además, si el sistema no está suficientemente documentado y los desarrolladores originales han abandonado la empresa, podrían generar un obstáculo para los profesionales a cargo de la modernización del sistema. A veces, simplemente planificar la migración de datos desde un sistema heredado y definir el alcance de los requisitos para un nuevo sistema son abrumadores
Una organización podría definir que no hay motivos para cambiar un sistema que funciona satisfactoriamente. En muchos casos todo se reduce a un dicho: “si no está roto, no lo arregle”.
No se comprende bien la forma en que funciona el sistema. Tal situación puede ocurrir cuando los diseñadores del sistema han abandonado la organización y el sistema no se ha documentado completamente o se ha perdido la documentación.
3.3. Argumentos para modernizar los sistemas En el mediano o largo plazo, la renuencia a implementar nuevos sistemas podría afectar negativamente la evolución de la organización, interrumpiendo la entrega de servicios o afectando el cumplimiento de sus necesidades comerciales, por ejemplo. El papel de los directivos o líderes de las organizaciones es central en la toma de decisiones que permitan avanzar a las entidades para implementar nuevas soluciones. Estos no solo deben estar informados sobre los riesgos que significan mantener sistemas heredado, sino los desafíos y beneficios de los cambios, también deben ser conscientes sobre los avances tecnológicos y la rápida obsolescencia tecnológica. Entre los argumentos para migrar los sistemas legacy de una organización se pueden contar los siguientes:
Altos costos de mantenimiento. Pocas o nulas posibilidades de crecimiento tecnológico. Difícil o poca integración entre sistemas antiguos y nuevos.
-
Página 7 de 26
Análisis de Amenazas Cibernéticas #16 Sistemas Legacy Natalia Pérez Muñoz y Paula Moraga Montero Martes 1 de Septiembre de 2020
Seguridad reducida. Al no poseer actualizaciones, no habrá mitigaciones o parches disponibles frente a las nuevas vulnerabilidades en sistemas operativos o aplicaciones más antiguos. También puede haber configuraciones de producción que causen problemas de seguridad. En consecuencia, al no poseer actualizaciones, las fallas no tendrán solución.
Un sistema heredado podría no estar equipado para cumplir normas exigidas por los reguladores sobre atributos de seguridad.
Y finalmente, existe la necesidad de no perder información importante o histórica almacenada en los sistemas.
-
Página 8 de 26
Análisis de Amenazas Cibernéticas #16 Sistemas Legacy Natalia Pérez Muñoz y Paula Moraga Montero Martes 1 de Septiembre de 2020
4. Modernización de sistemas legacy Luego de su desarrollo, la evolución de un software depende de su mantenimiento, la capacidad de modernización, o el remplazo del sistema. Asumiendo que, por un lado, el mantenimiento no implica mayores cambios estructurales, mientras que el reemplazo o discontinuidad de un sistema depende de su contribución en la organización, para los casos en que es necesario preservar un sistema la modernización surge como única opción para los sistemas que son necesarios en una organización. La modernización de un sistema heredado pasa necesariamente por los resultados de la evaluación del mismo, el que se puede definir por el entorno del sistema y la propia aplicación.5 El entorno se evalúa en relación a aspectos como la coyuntura tecnológica y los proveedores, mientras que la aplicación se mide por los atributos no funcionales del sistema, como aspectos técnicos, comerciales y de infraestructura organizacional.6 La modernización requiere la aplicación de procesos de evaluación con métodos acordes a las complejidades del propio sistema, para así, permitir su actualización con el uso de tecnologías de última generación que le permitan respaldar y ejecutar operaciones. Sin embargo, la adecuación de cambios no es sencilla, porque demanda cumplir múltiples requisitos del sistema antiguo enfrentado a la seguridad de las nuevas tecnologías y protocolos. 4.1. Modelos de evaluación Los modelos de evaluación dependen necesariamente de los beneficios que las organizaciones buscan obtener sobre una escala de prioridades. Bajo esa consideración, la evaluación exige definir los criterios a evaluar del sistema. Cuatro aspectos se pueden considerar para realizar esta evaluación:
1) Soporte: (Incluye el análisis del software, hardware y soporte) Examina la disponibilidad del código fuente y el equipo de respaldo.
2) Modelo de negocios: (Incluye el modelo de negocios y las políticas de la organización) Dependerá de este aspecto la decisión de mantener el sistema y la magnitud del desafío, su reemplazo, la migración o su terminación.
3) Arquitectura: Tiene relación con la forma en que los usuarios inter-operan con el sistema a través de sus funcionalidades, los patrones de incorporación e interacción de datos.
4) Tecnología: Discute la tecnología adoptada en un sistema legacy y si esta es apropiada en relación a las necesidades del negocio.
4.2. Métodos de modernización En general, hay cuatro conceptos estratégicos para identificar la solución más apropiada en la modernización de un sistema heredado:
5 Summerville, I., Software Engineering, 2010. 6 Alkazemi, B., A Framework to Assess Legacy Software Systems, Departamento de Ciencia y Computación, Umm Al-Qura University, Arabia Saudita.
-
Página 9 de 26
Análisis de Amenazas Cibernéticas #16 Sistemas Legacy Natalia Pérez Muñoz y Paula Moraga Montero Martes 1 de Septiembre de 2020
Reemplazar sistemas con nuevas soluciones Mantener los sistemas heredados con una evolución limitada Rediseñar la arquitectura del sistema manteniendo la funcionalidad intacta Mantener el sistema, utilizar interfaces y estándares para la interacción con otros sistemas
Cada estrategia implica una investigación rigurosa del impacto de estas soluciones en el futuro y los retos de su implementación deben ser limitados. 4.3. Migraciones exitosas Si la decisión final implica la migración a nuevos sistemas, las organizaciones deben considerar a menos tres condiciones para que este tránsito a un nuevo o mejorado sistema sea exitoso:
La migración de datos de un sistema heredado comienza por asegurarse de que todo se pueda extraer de forma segura.
Transformando datos para que coincidan con los nuevos formatos. Esto es vital para garantizar que el nuevo sistema comprenda los datos del sistema heredado.
Limpieza de los datos durante el proceso de migración. Es un buen momento para limpiar los datos eliminando las duplicaciones, los datos incompletos y los datos que no están formateados correctamente.
-
Página 10 de 26
Análisis de Amenazas Cibernéticas #16 Sistemas Legacy Natalia Pérez Muñoz y Paula Moraga Montero Martes 1 de Septiembre de 2020
5. Estado de sistemas Las autoras consideraron como sistema legacy aquellos que no poseen soporte por parte de la marca, mientras que definieron como a los sistemas operativos como aquellos que poseen soporte por parte del fabricante (considerando las últimas versiones que se encuentran en el mercado). Ambas nociones sirvieron para realizar búsquedas utilizando shodan para construir un panorama de los sistemas operativos y los sistemas legacy expuestos a internet en el ecosistema cibernético nacional. 5.1. Sistemas operativos actuales y sistemas legacy A continuación, se enlistan los sistemas operativos legacy y sistemas operativos no legacy para Windows, Linux (versión de kernel) y MAC. 5.1.1. Windows con soporte
Nombre de producto Última versión Fecha de disponibilidad Soporte hasta
Convencional Extendido
Windows Server 2012 NT 6.2.9200 Septiembre 4, 2012 Octubre 9, 2018 Octubre 10, 2023
Windows 8.1 NT 6.3.9600 Octubre 17, 2013 Enero 9, 2018 Enero 10, 2023
Windows Server 2012 R2 NT 6.3.9600 Octubre 18, 2013 Octubre 9, 2018 Octubre 10, 2023
Windows 10 NT 10.0.18363 Julio 29, 2015 18 desde la última versión
Windows Server 2016 NT 10.0.14393 Octubre 12, 2016 Enero 11, 2022 Enero 12, 2027
Windows Server 2019 NT 10.0.17763 Octubre 2, 2018 Enero 9, 2024 Enero 9, 2029
5.1.2. Windows sin soporte
Nombre de producto Última versión Fecha de disponibilidad
Windows 1.0 1.01 Noviembre 20, 1985
Windows 2.0 2.03 Diciembre 9, 1987
Windows 2.1 2.11 Mayo 27, 1988
Windows 3.0 3.0 Mayo 22, 1990
Windows 3.1 3.1 Abril 6, 1992
Windows For Workgroups 3.1 3.1 Octubre 1992
Windows NT 3.1 NT 3.1.528 Julio 27, 1993
Windows For Workgroups 3.11 3.11 Agosto 11, 1993
Windows 3.2 3.2 Noviembre 22, 1993
Windows NT 3.5 NT 3.5.807 Septiembre 21, 1994
Windows NT 3.51 NT 3.51.1057 Mayo 30, 1995
Windows 95 4.0.950 Agosto 24, 1995
Windows NT 4.0 NT 4.0.1381 Julio 31, 1996
Windows 98 4.10.1998 June 25, 1998
Windows 98 SE 4.10.2222 Mayo 5, 1999
Windows 2000 NT 5.0.2195 Febrero 17, 2000
Windows Me 4.90.3000 Septiembre 14, 2000
Windows XP NT 5.1.2600 Octubre 25, 2001
Windows XP 64-bit Edition NT 5.2.3790 Marzo 28, 2003
Windows Server 2003 NT 5.2.3790 Abril 24, 2003
Windows XP Professional x64 Edition NT 5.2.3790 Abril 25, 2005
Windows Fundamentals for Legacy PCs NT 5.1.2600 Julio 8, 2006
Windows Vista NT 6.0.6003 Enero 30, 2007
Windows Home Server NT 5.2.4500 Noviembre 4, 2007
Windows Server 2008 NT 6.0.6003 Febrero 27, 2008
Windows 7 NT 6.1.7601 Octubre 22, 2009
-
Página 11 de 26
Análisis de Amenazas Cibernéticas #16 Sistemas Legacy Natalia Pérez Muñoz y Paula Moraga Montero Martes 1 de Septiembre de 2020
Windows Server 2008 R2 NT 6.1.7601 Octubre 22, 2009
Windows Home Server 2011 NT 6.1.8400 Abril 6, 2011
Windows 8 NT 6.2.9200 Octubre 26, 2012
5.1.3. Linux con soporte
Versión Fecha de lanzamiento Última versión Soporte hasta
4.4 10 Enero 2016 4.4.232 Enero 2016 a Febrero 2022. Canonical soporte extendido
Abril 2021. Soporte hasta 2026, posible 2036.
4.9 11 Diciembre 2016 4.9.232 Diciembre 2016 a Enero 2023.
4.14 12 Noviembre 2017 4.14.193 Noviembre 2017 a Enero 2024
4.19 22 Octubre 2018 4.19.139 Octubre 2018 a Diciembre 2024.
5.4 24 Noviembre 2019 5.4.58 Noviembre 2019 a Diciembre 2025
5.7 31 Mayo 2020 5.7.15
5.8 2 Agosto 2020 5.8.1
5.1.4. Linux sin soporte
Versión Fecha de lanzamiento Última versión
0.01 17 Septiembre 1991 0.03
0.02 05 Octubre 1991
0.10 Noviembre 1991 0.12
0.95 08 Marzo 1992 0.99.15
1.0 14 Marzo 1994 1.0.9
1.1 06 Abril 1994 1.1.95
1.2 07 Marzo 1995 1.2.13
1.3 12 Julio 1995 1.3.100
pre2.0 12 Mayo 1996 pre2.0.14
2.0 9 Julio 1996 2.0.40
2.2 26 Enero 1999 2.2.26
2.4 4 Enero 2001 2.4.37.11
2.6 17 Diciembre 2003 2.6.10
2.6.11 2 Marzo 2005 2.6.11.12
2.6.12 18 Julio 2005 2.6.12.6
2.6.13 28 Agosto 2005 2.6.13.5
2.6.14 27 Octubre 2005 2.6.14.7
2.6.15 2 Enero 2006 2.6.15.7
2.6.16 20 Marzo 2006 2.6.16.62
2.6.17 17 Julio 2006 2.6.17.14
2.6.18 20 Septiembre 2006 2.6.18.8
2.6.19 26 Noviembre 2006 2.6.19.7
2.6.20 4 Febrero 2007 2.6.20.21
2.6.21 25 Abril 2007 2.6.21.7
2.6.22 8 Julio 2007 2.6.22.19
2.6.23 9 Octubre 2007 2.6.23.17
2.6.24 24 Enero 2008 2.6.24.7
2.6.25 16 Abril 2008 2.6.25.20
2.6.26 13 Julio 2008 2.6.26.8
2.6.27 9 Octubre 2008 2.6.27.62
2.6.28 24 Diciembre 2008 2.6.28.10
2.6.29 23 Marzo 2009 2.6.29.6
2.6.30 9 Julio 2009 2.6.30.9
2.6.31 9 Septiembre 2009 2.6.31.14
2.6.32 2 Diciembre 2009 2.6.32.71
-
Página 12 de 26
Análisis de Amenazas Cibernéticas #16 Sistemas Legacy Natalia Pérez Muñoz y Paula Moraga Montero Martes 1 de Septiembre de 2020
2.6.33 24 Febrero 2010 2.6.33.20
2.6.34 16 Mayo 2010 2.6.34.15
2.6.35 1 Agosto 2010 2.6.35.14
2.6.36 20 Octubre 2010 2.6.36.4
2.6.37 4 Enero 2011 2.6.37.6
2.6.38 14 Marzo 2011 2.6.38.8
2.6.39 18 Mayo 2011 2.6.39.4
3.0 21 Julio 2011 3.0.101
3.1 24 Octubre 2011 3.1.10
3.2 4 Enero 2012 3.2.102
3.3 18 Marzo 2012 3.3.8
3.4 20 Mayo 2012 3.4.113
3.5 21 Julio 2012 3.5.7
3.6 30 Septiembre 2012 3.6.11
3.7 10 Diciembre 2012 3.7.10
3.8 18 Febrero 2013 3.8.13
3.9 28 Abril 2013 3.9.11
3.10 30 Julio 2013 3.10.108
3.11 2 Septiembre 2013 3.11.10
3.12 3 Noviembre 2013 3.12.74
3.13 19 Enero 2014 3.13.11
3.14 30 Marzo 2014 3.14.79
3.15 8 Julio 2014 3.15.10
3.16 3 Agosto 2014 3.16.85
3.17 5 Octubre 2014 3.17.8
3.18 7 Diciembre 2014 3.18.140
3.19 8 Febrero 2015 3.19.8
4.0 12 Abril 2015 4.0.9
4.1 22 Julio 2015 4.1.52
4.2 30 Agosto 2015 4.2.8
4.3 1 Noviembre 2015 4.3.6
4.5 13 Marzo 2016 4.5.7
4.6 15 Mayo 2016 4.6.7
4.7 24 Julio 2016 4.7.10
4.8 25 Septiembre 2016 4.8.17
4.10 19 Febrero 2017 4.10.17
4.11 30 Abril 2017 4.11.12
4.12 2 Julio 2017 4.12.14
4.13 3 Septiembre 2017 4.13.16
4.15 28 Enero 2018 4.15.18
4.16 1 Abril 2018 4.16.18
4.17 3 Julio 2018 4.17.19
4.18 12 Agosto 2018 4.18.20
4.20 23 Diciembre 2018 4.20.17
5.0 3 Marzo 2019 5.0.21
5.1 5 Mayo 2019 5.1.21
5.2 7 Julio 2019 5.2.20
5.3 15 Septiembre 2019 5.3.18
5.5 26 Enero 2020 5.5.19
5.6 29 Marzo 2020 5.6.19
-
Página 13 de 26
Análisis de Amenazas Cibernéticas #16 Sistemas Legacy Natalia Pérez Muñoz y Paula Moraga Montero Martes 1 de Septiembre de 2020
5.1.5. MAC con soporte
Versión Nombre Fecha de
lanzamiento Soporte hasta Última versión
macOS 10.13 High Sierra Septiembre 25, 2017 Noviembre 30, 2020 10.13.6 (17G14019) (Julio 15, 2020)
macOS 10.14 Mojave Septiembre 24, 2018 Septiembre 2021 10.14.6 (18G6020) (Julio 15, 2020)
macOS 10.15 Catalina Octubre 7, 2019 TBA 10.15.6 (19G73) (Julio 15, 2020)
5.1.6. MAC sin soporte
Versión Nombre Fecha de lanzamiento
Rhapsody Developer Release Grail1Z4 / Titan1U Agosto 31, 1997
Mac OS X Server 1.0 Hera Marzo 16, 1999
Mac OS X Developer Preview Marzo 16, 1999
Mac OS X Public Beta Kodiak Septiembre 13, 2000
Mac OS X 10.0 Cheetah Marzo 24, 2001
Mac OS X 10.1 Puma Septiembre 25, 2001
Mac OS X 10.2 Jaguar Agosto 24, 2002
Mac OS X 10.3 Panther Octubre 24, 2003
Mac OS X 10.4 Tiger Abril 29, 2005
Mac OS X 10.5 Leopard Octubre 26, 2007
Mac OS X 10.6 Snow Leopard Agosto 28, 2009
Mac OS X 10.7 Lion Julio 20, 2011
OS X 10.8 Mountain Lion Julio 25, 2012
OS X 10.9 Mavericks Octubre 22, 2013
OS X 10.10 Yosemite Octubre 16, 2014
OS X 10.11 El Capitan Septiembre 30, 2015
macOS 10.12 Sierra Septiembre 20, 2016
Mac OS X 10.6 Snow Leopard Agosto 28, 2009
Mac OS X 10.7 Lion Julio 20, 2011
OS X 10.8 Mountain Lion Julio 25, 2012
OS X 10.9 Mavericks Octubre 22, 2013
OS X 10.10 Yosemite Octubre 16, 2014
OS X 10.11 El Capitan Septiembre 30, 2015
macOS 10.12 Sierra Septiembre 20, 2016
-
Página 14 de 26
Análisis de Amenazas Cibernéticas #16 Sistemas Legacy Natalia Pérez Muñoz y Paula Moraga Montero Martes 1 de Septiembre de 2020
5.2. Servidores Web Legacy Se realizó una consulta general sobre los servidores web legacy y actuales para Apache, Nginx e IIS, la que entregó los siguientes resultados. 5.2.1. Apache con soporte
Nombre de producto Última versión Fecha de lanzamiento
Apache 2.4 2.4.46 Agosto 7, 2020
5.2.2. Apache sin soporte
Nombre de producto Última versión Fecha
Apache 2.4 2.4.43 Abril 1, 2020
Apache 2.3 2.3.16 Diciembre 19, 2011
Apache 2.2 2.2.34 Julio 24, 2017
Apache 2.1 2.1.9 Noviembre 5, 2005
Apache 2.0 2.0.65 Julio 2, 2013
Apache 1.3 1.3.42 Marzo 5, 2010
5.2.3. Nginx con soporte
Versión Última versión Fecha de lanzamiento
1.19 1.19.2 Agosto 11, 2020
1.19 (Windows) Windows-1.19.2 Agosto 11, 2020
1.18 1.18.0 1.14.2
1.18 (Windows) Windows-1.18.0 Abril 21, 2020
5.2.4. Nginx sin soporte
Versión Última versión Fecha de lanzamiento
1.16 1.16.1 Agosto 13, 2019
1.16 (Windows) Windows-1.16.1 Agosto 13, 2019
1.14 1.14.2 Diciembre 4, 2018
1.14 (Windows) Windows-1.14.2 Diciembre 4, 2018
1.12 1.12.2 Octubre 17, 2017
1.12 (Windows) Windows-1.12.2 Octubre 17, 2017
1.10 1.10.3 Enero 31, 2017
1.10 (Windows) Windows-1.10.3 Enero 31, 2017
1.8 1.8.1 Enero 26, 2016
1.8 (Windows) Windows-1.8.1 Enero 26, 2016
1.6 1.6.3 Abril 7, 2015
1.6 (Windows) Windows-1.6.3 Abril 7, 2015
1.4 1.4.7 Marzo 18, 2014
1.4 (Windows) Windows-1.4.7 Marzo 18, 2014
1.2 1.2.9 Mayo 13, 2013
1.2 (Windows) Windows-1.2.9 Mayo 13, 2013
1.0 1.0.15 Abril 12, 2012
1.0 (Windows) Windows-1.0.15 Abril 12, 2012
0.8 0.5.55 Julio 19, 2011
0.8 (Windows) Windows-0.8.55 Julio 19, 2011
0.7 0.7.69 Julio 19, 2011
0.7 (Windows) Windows-0.7.69 Julio 19, 2011
0.6 0.6.39 Septiembre 14, 2009
0.5 0.5.38 Septiembre 14, 2009
-
Página 15 de 26
Análisis de Amenazas Cibernéticas #16 Sistemas Legacy Natalia Pérez Muñoz y Paula Moraga Montero Martes 1 de Septiembre de 2020
5.2.5. IIS con soporte Versión Fecha lanzamiento Sistema operativo
IIS/10.0 12/10/2016 W10, WS2016 y WS2019
IIS/8.5 13/11/2013 W8.1 y WS2012 R2
IIS/8.0 30/10/2012 W8 y WS2012
IIS/7.5 22/10/2009 W7 y WS2008 R2
5.2.6. IIS sin soporte
Versión Fecha lanzamiento Sistema operativo Fin soporte
IIS/7.0 25/01/2007 W Vista y WS2008 14/01/2020
IIS/6.0 28/05/2003 W XP x64 y WS2003 14/04/2009
IIS/5.1 31/12/2001 Windows XP 08/04/2014
IIS/5.0 17/05/2000 Windows 2000 13/07/2010
IIS/4.0 15/11/1997 Windows NT 4.0 RTM
IIS/3.0 20/03/1997 Windows NT 4.0 SP3 31/03/2000
IIS/2.0 27/10/1996 Windows NT 4.0 30/06/1997
IIS/1.0 27/07/1993 Windows NT 3.51 SP3
5.3. Gestores de contenidos actuales y legacy A continuación, se encuentran Gestores de contenidos (CMS) legacy y no legacy para Wordpress, Joomla! y Drupal. 5.3.1. Wordpress con soporte
Versión Fecha de lanzamiento Última versión
5.5 Agosto 11, 2020 5.5
5.3.2. Wordpress sin soporte
Versión Fecha de lanzamiento Última versión
5.4 Junio 10, 2020 5.4.2
5.3 Junio 10, 2020 5.3.4
5.2 Junio 10, 2020 5.2.7
5.1 Junio 10, 2020 5.1.6
5.0 Junio 10, 2020 5.0.10
4.9 Junio 10, 2020 4.9.15
4.8 Junio 10, 2020 4.8.14
4.7 Junio 10, 2020 4.7.18
4.6 Junio 10, 2020 4.6.18
4.5 Junio 10, 2020 4.5.22
4.4 Junio 10, 2020 4.4.23
4.3 Junio 10, 2020 4.3.24
4.2 Junio 10, 2020 4.2.28
4.1 Junio 10, 2020 4.1.31
4.0 Junio 10, 2020 4.0.31
3.9 Junio 10, 2020 3.9.32
3.8 Junio 10, 2020 3.8.34
3.7 Junio 10, 2020 3.7.34
-
Página 16 de 26
Análisis de Amenazas Cibernéticas #16 Sistemas Legacy Natalia Pérez Muñoz y Paula Moraga Montero Martes 1 de Septiembre de 2020
3.6 Septiembre 11, 2013 3.6.1
3.5 Junio 21, 2013 3.5.2
3.4 Septiembre 6, 2012 3.4.2
3.3 Junio 27, 2012 3.3.3
3.2 Julio 12, 2011 3.2.1
3.1 Junio 29, 2011 3.1.4
3.0 Abril 26, 2011 3.0.6
2.9 Febrero 15, 2010 2.9.2
2.8 Noviembre 12, 2009 2.8.6
2.7 Febrero 10, 2009 2.7.1
2.6 Noviembre 25, 2008 2.6.5
2.5 Abril 25, 2008 2.5.1
2.3 Febrero 5, 2008 2.3.3
2.2 Septiembre 24, 2007 2.2.3
2.1 Septiembre 24, 2007 2.1.3
2.0 Septiembre 24, 2007 2.0.11
1.5 Septiembre 24, 2007 1.5.2
1.2 Septiembre 24, 2007 1.2.2
1.0 Septiembre 24, 2007 1.0.2-blakey
0.71 Septiembre 24, 2007 0.71-gold
5.3.3. Joomla! Con soporte
Versión Fecha de lanzamiento Última versión Soporte hasta
3.9 Agosto 25, 2020 3.9.21 Lanzamiento 4.0
5.3.4. Joomla! Sin soporte
Versión Fecha de lanzamiento Última versión Soporte hasta
3.8 Septiembre 19, 2017 3.8.13 Lanzamiento 3.9
3.7 Abril 25, 2017 3.7.5 Lanzamiento 3.8
3.6 Julio 12, 2016 3.6.5 Lanzamiento 3.7
3.5 Marzo 21, 2016 3.5.1 Lanzamiento 3.6
3.4 Febrero 24, 2015 3.4.8 Lanzamiento 3.5
3.3 Abril 20, 2014 3.3.6 Lanzamiento 3.4
3.2 Noviembre 6, 2013 3.2.7 Octubre 2014
3.1 Abril 24, 2013 3.1.6 Diciembre 2013
3.0 Septiembre 27, 2012 3.0.4 Mayo 2013
2.5 Enero 24, 2012 2.5.28 Diciembre 31, 2014
1.7 Julio 19, 2011 1.7.5 Febrero 2012
1.6 Abril 22, 2009 1.6.6 Agosto 2011
1.5 Enero 22, 2008 1.5.26 Septiembre 2012
1.0 Septiembre 22, 2005 1.0.15 Julio 22, 2009
-
Página 17 de 26
Análisis de Amenazas Cibernéticas #16 Sistemas Legacy Natalia Pérez Muñoz y Paula Moraga Montero Martes 1 de Septiembre de 2020
5.3.5. Drupal con soporte Versión Fecha de lanzamiento Soporte hasta 9.0.3 Agosto 5, 2020 Junio 2021
8.9.3 Agosto 5, 2020 Noviembre 2021
8.8.8 Junio 17, 2020 Diciembre 2020
7.7.2 Junio 17, 2020 Noviembre 2022
5.3.6. Drupal sin soporte
Versión Fecha de lanzamiento Última versión Soporte hasta
8.6.0 Septiembre 5, 2018 8.6.18 Diciembre 2019
8.5.0 Marzo 7, 2018 8.5.15 Octubre 2018
8.4.0 Octubre 4, 2017 8.4.8 Mayo 2018
8.3.0 Abril 5, 2017 8.3.9 Noviembre 2017
8.2.0 Octubre 5, 2016 8.2.8 Mayo 2017
8.1.0 Abril 20, 2016 8.1.10 Noviembre 2016
8.0.0 Noviembre 19, 2015 8.0.6 Junio 2016
6 Noviembre 2006 6.38 Febrero 24, 2016
5 Enero 2007 5.23 Enero 2011
4 Junio 2002 4.7.11
-
Página 18 de 26
Análisis de Amenazas Cibernéticas #16 Sistemas Legacy Natalia Pérez Muñoz y Paula Moraga Montero Martes 1 de Septiembre de 2020
6. Resultados 6.1. Sistemas Operativos Legacy en Chile Utilizando Shodan con el tag “OS”, se realizó una búsqueda de los Sistemas Operativos en Chile que ya no cuenten con soporte. Lo resultados fueron los siguientes: 6.1.1. Sistemas Windows en Chile sin soporte
Sistema Operativo Cantidad Top servicios Cantidad (servicios)
Windows XP / 5.1 33 HTTP 25
Windows 7 468 SMB 438
Windows 7 u 8 30 Puerto 139 20
Windows 8 14 SMB 11
Windows Server 2003 11 SMB 9
Windows Server 2008 / R2 375 SMB 353
6.1.2. Sistemas Linux en Chile sin soporte Sistema Operativo Cantidad Top servicios Cantidad (servicios)
Linux 3.X 167 HTTP 37
Linux 2.6.X 35 HTTP 10
Linux 2.4-2.6 4 HTTP 3
4%
50%
3%2%1%
40%
Windows Legacy en Chile
Windows XP / 5.1 Windows 7 Windows 7 u 8
Windows 8 Windows Server 2003 Windows Server 2008 / R2
81%
17%
2%
Linux Legacy en Chile
Linux 3.X Linux 2.6.X Linux 2.4-2.6
-
Página 19 de 26
Análisis de Amenazas Cibernéticas #16 Sistemas Legacy Natalia Pérez Muñoz y Paula Moraga Montero Martes 1 de Septiembre de 2020
6.2. Sistemas web legacy en Chile Utilizando Shodan con tags específicos se realizó una búsqueda de los sistemas web que ya no cuenten con soporte. Lo resultados fueron los siguientes: 6.2.1. Sistemas Apache en Chile sin soporte
Versiones Cantidad Top servicios Cantidad (servicios)
2.4.0 – 2.4.43 13283 HTTP 976
2.3.0 – 2.3.16 628 HTTP 60
2.2.0 – 2.2.34 6431 HTTP 734
2.1.0 – 2.1.9 9 Puerto 8081 7
2.0.0 – 2.0.65 508 HTTP 284
1.3.0 – 1.3.42 906 HTTP 101
6.2.2. Sistemas Nginx en Chile sin soporte
Versiones Cantidad Top servicios Cantidad (servicios)
1.16.0 – 1.16.1 511 HTTPS 60
1.14.0 – 1.14.2 1016 HTTP 140
1.12.0 – 1.12.2 332 HTTP 62
1.10.0 – 1.10.3 1360 HTTPS 105
1.8.0 – 1.8.1 174 Puerto 8080 77
1.6.0 – 1.6.3 253 HTTP 54
1.4.0 – 1.4.7 121 HTTP 65
1.2.0 – 1.2.9 34 HTTP 13
1.0.0 – 1.0.15 145 HTTP 89
0.8.0 – 0.8.55 5 Puerto 8081 4
0.7.0 – 0.7.69 7 HTTP 6
0.6.0 – 0.6.39 22 HTTPS 13
0.5.0 – 0.5.38 0 - -
61%
3%
30%
0%
2% 4%
Apache Legacy en Chile
2.4.* 2.3.* 2.2.* 2.1.* 2.0.* 1.3.*
-
Página 20 de 26
Análisis de Amenazas Cibernéticas #16 Sistemas Legacy Natalia Pérez Muñoz y Paula Moraga Montero Martes 1 de Septiembre de 2020
6.2.3. Sistemas IIS en Chile sin soporte
Versiones Cantidad Top servicios Cantidad (servicios)
IIS/7.0 458 HTTP 64
IIS/6.0 716 HTTP 58
IIS/5.1 23 HTTP 16
IIS/5.0 87 HTTP 58
IIS/4.0 167 HTTP 23
IIS/3.0 170 HTTP 49
IIS/2.0 13 HTTP 6
IIS/1.0 256 Puerto 8081 29
13%
26%
8%34%
4%
6%3%
1%4% 0% 0% 1%
Nginx Legacy en Chile
1.16.* 1.14.* 1.12.* 1.10.* 1.8.* 1.6.* 1.4.*
1.2.* 1.0.* 0.8.* 0.7.* 0.6.* 0.5.*
24%
38%
1%
5%
9%
9%
1% 13%
IIS Legacy en Chile
IIS/7.0 IIS/6.0 IIS/5.1 IIS/5.0 IIS/4.0 IIS/3.0 IIS/2.0 IIS/1.0
-
Página 21 de 26
Análisis de Amenazas Cibernéticas #16 Sistemas Legacy Natalia Pérez Muñoz y Paula Moraga Montero Martes 1 de Septiembre de 2020
7. ¿Cuál es la real amenaza en materia de ciberseguridad? Las amenazas, en un entorno dinámico de interconectividad, pueden venir de cualquier parte, sea interna o externa, e íntimamente relacionada con el entorno de las organizaciones. Las vulnerabilidades son una debilidad en la tecnología o en los procesos asociados con la información, y como tal, se consideran características propias de los sistemas o de la infraestructura que lo soporta. Para mantener un cierto grado de protección de la información conectada a la red, las organizaciones, entidades y personas en general, deben comprender que su seguridad, y las formas en que esta se trata de vulnerar, mejoran constantemente. Los atacantes siempre buscan vulnerabilidades en los softwares y sistemas operativos que se emplean. Una vulnerabilidad podría ser algo tan fácil como encontrar un punto de acceso a su red de Windows. Las empresas de desarrollo de software ponen todo su empeño en crear parches y actualizaciones que resuelven estas vulnerabilidades, por lo que es una recomendación básica en ciberseguridad mantener actualizado los softwares y sistemas operativos a su última versión. Tomamos de muestra la versión legacy de Windows Server versión 2003 la cual carece de soporte por parte de los proveedores desde el 14 de julio de 2015, a la fecha existen reportadas un total de 426 vulnerabilidades para esa versión de Windows y de ellas 127 son críticas con un score 9-10.
Tabla vulnerabilidades Windows Server 2003
Año # de
Vulnerabilidades DoS
Code Execution
Overflow Memory
Corruption XSS
Directory Traversal
Bypass something
Gain Information
Gain Privileges
2002 1 1
2003 11 2 8 7 1 1
2004 35 12 21 14 1 3
2005 58 14 32 21 1 5
2006 45 13 28 23 7 1 1 1 3
2007 31 8 16 10 6 1 5
2008 20 6 12 6 2 1 3
2009 38 8 25 16 8 1 1 4
2010 72 13 32 14 10 2 5 4 21
2011 85 12 13 13 9 3 1 64
2012 7 2 1 1 4
2013 8 7 8
2015 15 1 1 1 2 3 12
Total 426 89 190 133 44 7 1 9 14 132
89
190
133
447 1 9 14
132
Vulnerabilidades por tipo
-
Página 22 de 26
Análisis de Amenazas Cibernéticas #16 Sistemas Legacy Natalia Pérez Muñoz y Paula Moraga Montero Martes 1 de Septiembre de 2020
Listado de vulnerabilidades críticas en Windows Server 2003 (score 10 - 9)7
# CVE ID Tipo de vulnerabilidad Publicación Puntaje Elevación de
privilegios Acceso Complejidad Autenticación
1 CVE-2003-0528 Exec Code Overflow 17-09-2003 10.0 Admin Remote Low Not required
2 CVE-2003-0715 Exec Code Overflow 17-09-2003 10.0 Admin Remote Low Not required
3 CVE-2004-0201 Exec Code Overflow 06-08-2004 10.0 Admin Remote Low Not required
4 CVE-2004-0209 Exec Code 03-11-2004 10.0 Admin Remote Low Not required
5 CVE-2004-0568 Exec Code Overflow 10-01-2005 10.0 Admin Remote Low Not required
6 CVE-2004-0571 Exec Code 10-01-2005 10.0 Admin Remote Low Not required
7 CVE-2004-0574 Exec Code Overflow 03-11-2004 10.0 Admin Remote Low Not required
8 CVE-2004-0575 Exec Code Overflow 03-11-2004 10.0 Admin Remote Low Not required
9 CVE-2004-0840 Exec Code 03-11-2004 10.0 Admin Remote Low Not required
10 CVE-2004-0897 Exec Code Overflow 11-01-2005 10.0 Admin Remote Low Not required
11 CVE-2004-0901 Exec Code 10-01-2005 10.0 Admin Remote Low Not required
12 CVE-2004-1080 Exec Code 10-01-2005 10.0 Admin Remote Low Not required
13 CVE-2005-0050 DoS Exec Code 02-05-2005 10.0 None Remote Low Not required
14 CVE-2005-0551 Overflow +Priv 02-05-2005 10.0 Admin Remote Low Not required
15 CVE-2005-1208 Exec Code Overflow 14-06-2005 10.0 Admin Remote Low Not required
16 CVE-2005-2122 Exec Code Overflow 21-10-2005 10.0 Admin Remote Low Not required
17 CVE-2006-2373 Exec Code 13-06-2006 10.0 Admin Remote Low Not required
18 CVE-2006-3439 Exec Code Overflow 08-08-2006 10.0 Admin Remote Low Not required
19 CVE-2006-3440 Exec Code Overflow 08-08-2006 10.0 Admin Remote Low Not required
20 CVE-2006-3441 Exec Code Overflow 08-08-2006 10.0 Admin Remote Low Not required
21 CVE-2006-5583 Exec Code Overflow Mem.
Corr. 12-12-2006 10.0 Admin Remote Low Not required
22 CVE-2006-6901 31-12-2006 10.0 Admin Remote Low Not required
23 CVE-2006-6902 31-12-2006 10.0 Admin Remote Low Not required
24 CVE-2007-0040 Exec Code 10-07-2007 10.0 Admin Remote Low Not required
25 CVE-2007-1748 Exec Code Overflow 13-04-2007 10.0 Admin Remote Low Not required
26 CVE-2009-0568 10-06-2009 10.0 None Remote Low Not required
27 CVE-2009-1930 Exec Code 12-08-2009 10.0 Admin Remote Low Not required
28 CVE-2010-0231 10-02-2010 10.0 None Remote Low Not required
29 CVE-2010-0269 Exec Code 14-04-2010 10.0 None Remote Low Not required
30 CVE-2010-0476 DoS Exec Code Mem. Corr. 14-04-2010 10.0 None Remote Low Not required
31 CVE-2010-2550 Exec Code Overflow 11-08-2010 10.0 Admin Remote Low Not required
32 CVE-2011-0654 DoS Exec Code Overflow 15-02-2011 10.0 None Remote Low Not required
33 CVE-2011-0661 Exec Code 13-04-2011 10.0 None Remote Low Not required
34 CVE-2011-1268 Exec Code 16-06-2011 10.0 None Remote Low Not required
35 CVE-2011-1868 Exec Code Overflow Mem.
Corr. 16-06-2011 10.0 None Remote Low Not required
7 Vs. https://www.cvedetails.com/product/2594/?q=Windows+2003+Server
-
Página 23 de 26
Análisis de Amenazas Cibernéticas #16 Sistemas Legacy Natalia Pérez Muñoz y Paula Moraga Montero Martes 1 de Septiembre de 2020
36 CVE-2003-0825 DoS Exec Code 03-03-2004 9.3 Admin Remote Medium Not required
37 CVE-2004-0200 Exec Code Overflow 28-09-2004 9.3 Admin Remote Medium Not required
38 CVE-2006-0005 Exec Code Overflow 14-02-2006 9.3 Admin Remote Medium Not required
39 CVE-2006-0006 Exec Code Overflow 14-02-2006 9.3 Admin Remote Medium Not required
40 CVE-2006-0010 Exec Code Overflow 10-01-2006 9.3 Admin Remote Medium Not required
41 CVE-2006-0020 DoS Exec Code Overflow Mem.
Corr. 10-01-2006 9.3 Admin Remote Medium Not required
42 CVE-2006-1311 Exec Code Mem. Corr. 13-02-2007 9.3 Admin Remote Medium Not required
43 CVE-2006-2379 Exec Code Overflow 13-06-2006 9.3 None Remote Medium Not required
44 CVE-2007-0025 Exec Code Overflow Mem.
Corr. 13-02-2007 9.3 Admin Remote Medium Not required
45 CVE-2007-0038 DoS Exec Code Overflow Mem.
Corr. 30-03-2007 9.3 Admin Remote Medium Not required
46 CVE-2007-0069 DoS Exec Code Mem. Corr. 08-01-2008 9.3 None Remote Medium Not required
47 CVE-2007-0214 Exec Code 13-02-2007 9.3 Admin Remote Medium Not required
48 CVE-2007-1205 Exec Code Mem. Corr. 10-04-2007 9.3 Admin Remote Medium Not required
49 CVE-2007-1765 DoS Exec Code Mem. Corr. 29-03-2007 9.3 None Remote Medium Not required
50 CVE-2007-2218 DoS Exec Code 12-06-2007 9.3 Admin Remote Medium Not required
51 CVE-2007-2219 Exec Code 12-06-2007 9.3 Admin Remote Medium Not required
52 CVE-2007-2224 Exec Code Overflow 14-08-2007 9.3 None Remote Medium Not required
53 CVE-2007-2374 Exec Code 30-04-2007 9.3 Admin Remote Medium Not required
54 CVE-2007-3034 Exec Code Overflow 14-08-2007 9.3 None Remote Medium Not required
55 CVE-2007-6026 Exec Code Overflow 19-11-2007 9.3 Admin Remote Medium Not required
56 CVE-2008-0015 Exec Code Overflow 07-07-2009 9.3 Admin Remote Medium Not required
57 CVE-2008-0020 Exec Code Mem. Corr. 07-07-2009 9.3 None Remote Medium Not required
58 CVE-2008-0083 Exec Code 08-04-2008 9.3 None Remote Medium Not required
59 CVE-2008-1083 Exec Code Overflow 08-04-2008 9.3 None Remote Medium Not required
60 CVE-2008-1086 Exec Code Mem. Corr. 08-04-2008 9.3 Admin Remote Medium Not required
61 CVE-2008-1087 Exec Code Overflow 08-04-2008 9.3 Admin Remote Medium Not required
62 CVE-2008-2245 Exec Code Overflow 12-08-2008 9.3 None Remote Medium Not required
63 CVE-2008-2249 Exec Code Overflow 10-12-2008 9.3 Admin Remote Medium Not required
64 CVE-2008-3008 Exec Code Overflow 10-09-2008 9.3 Admin Remote Medium Not required
65 CVE-2008-3465 DoS Exec Code Overflow 10-12-2008 9.3 None Remote Medium Not required
66 CVE-2009-0087 Exec Code Mem. Corr. 15-04-2009 9.3 None Remote Medium Not required
67 CVE-2009-0235 Exec Code Overflow Mem.
Corr. 15-04-2009 9.3 None Remote Medium Not required
68 CVE-2009-1537 Exec Code 29-05-2009 9.3 None Remote Medium Not required
69 CVE-2009-1545 Exec Code 12-08-2009 9.3 Admin Remote Medium Not required
70 CVE-2009-1923 Exec Code Overflow 12-08-2009 9.3 Admin Remote Medium Not required
71 CVE-2009-1924 Exec Code Overflow 12-08-2009 9.3 Admin Remote Medium Not required
72 CVE-2009-1929 Exec Code Overflow 12-08-2009 9.3 Admin Remote Medium Not required
73 CVE-2009-2493 Exec Code Bypass 29-07-2009 9.3 None Remote Medium Not required
-
Página 24 de 26
Análisis de Amenazas Cibernéticas #16 Sistemas Legacy Natalia Pérez Muñoz y Paula Moraga Montero Martes 1 de Septiembre de 2020
74 CVE-2009-2500 Exec Code Overflow 14-10-2009 9.3 Admin Remote Medium Not required
75 CVE-2009-2501 Exec Code Overflow 14-10-2009 9.3 Admin Remote Medium Not required
76 CVE-2009-2502 Exec Code Overflow 14-10-2009 9.3 Admin Remote Medium Not required
77 CVE-2009-2503 Exec Code Mem. Corr. 14-10-2009 9.3 Admin Remote Medium Not required
78 CVE-2009-2504 Exec Code Overflow 14-10-2009 9.3 Admin Remote Medium Not required
79 CVE-2009-2507 Mem. Corr. 14-10-2009 9.3 None Remote Medium Not required
80 CVE-2009-2514 Exec Code 11-11-2009 9.3 None Remote Medium Not required
81 CVE-2009-2528 Exec Code Mem. Corr. 14-10-2009 9.3 Admin Remote Medium Not required
82 CVE-2009-3126 Exec Code Overflow 14-10-2009 9.3 Admin Remote Medium Not required
83 CVE-2009-4210 DoS Mem. Corr. 12-12-2009 9.3 None Remote Medium Not required
84 CVE-2009-4309 Exec Code Overflow 12-12-2009 9.3 None Remote Medium Not required
85 CVE-2009-4310 Exec Code Overflow 12-12-2009 9.3 None Remote Medium Not required
86 CVE-2009-4311 Exec Code 12-12-2009 9.3 None Remote Medium Not required
87 CVE-2009-4312 Exec Code 12-12-2009 9.3 None Remote Medium Not required
88 CVE-2009-4313 DoS Exec Code Overflow 12-12-2009 9.3 None Remote Medium Not required
89 CVE-2010-0018 Exec Code Overflow 13-01-2010 9.3 Admin Remote Medium Not required
90 CVE-2010-0027 22-01-2010 9.3 None Remote Medium Not required
91 CVE-2010-0252 Exec Code 10-02-2010 9.3 None Remote Medium Not required
92 CVE-2010-0267 Exec Code Mem. Corr. 31-03-2010 9.3 Admin Remote Medium Not required
93 CVE-2010-0480 Exec Code Overflow 14-04-2010 9.3 None Remote Medium Not required
94 CVE-2010-0486 Exec Code 14-04-2010 9.3 None Remote Medium Not required
95 CVE-2010-0487 Exec Code 14-04-2010 9.3 None Remote Medium Not required
96 CVE-2010-0489 Exec Code Mem. Corr. 31-03-2010 9.3 None Remote Medium Not required
97 CVE-2010-0490 Exec Code Mem. Corr. 31-03-2010 9.3 None Remote Medium Not required
98 CVE-2010-0491 Exec Code Mem. Corr. 31-03-2010 9.3 None Remote Medium Not required
99 CVE-2010-0492 Exec Code Mem. Corr. 31-03-2010 9.3 None Remote Medium Not required
100 CVE-2010-0806 Exec Code Mem. Corr. 10-03-2010 9.3 None Remote Medium Not required
101 CVE-2010-0807 Exec Code Mem. Corr. 31-03-2010 9.3 None Remote Medium Not required
102 CVE-2010-0811 Exec Code 08-06-2010 9.3 Admin Remote Medium Not required
103 CVE-2010-1882 Exec Code Overflow 11-08-2010 9.3 Admin Remote Medium Not required
104 CVE-2010-1883 Exec Code Overflow 13-10-2010 9.3 Admin Remote Medium Not required
105 CVE-2010-1885 Exec Code Bypass 15-06-2010 9.3 None Remote Medium Not required
106 CVE-2010-2566 Exec Code 11-08-2010 9.3 Admin Remote Medium Not required
107 CVE-2010-2568 Exec Code 22-07-2010 9.3 None Remote Medium Not required
108 CVE-2010-3147 27-08-2010 9.3 None Remote Medium Not required
109 CVE-2010-3956 16-12-2010 9.3 None Remote Medium Not required
110 CVE-2010-4182 Exec Code 04-11-2010 9.3 None Remote Medium Not required
111 CVE-2011-0029 09-03-2011 9.3 None Remote Medium Not required
112 CVE-2011-0033 Exec Code 10-02-2011 9.3 None Remote Medium Not required
113 CVE-2011-0034 Exec Code Overflow 13-04-2011 9.3 None Remote Medium Not required
-
Página 25 de 26
Análisis de Amenazas Cibernéticas #16 Sistemas Legacy Natalia Pérez Muñoz y Paula Moraga Montero Martes 1 de Septiembre de 2020
114 CVE-2011-0041 Exec Code Overflow 13-04-2011 9.3 None Remote Medium Not required
115 CVE-2011-0658 Exec Code 16-06-2011 9.3 None Remote Medium Not required
116 CVE-2011-0660 Exec Code 13-04-2011 9.3 None Remote Medium Not required
117 CVE-2011-1247 11-10-2011 9.3 None Remote Medium Not required
118 CVE-2011-1991 15-09-2011 9.3 None Remote Medium Not required
119 CVE-2011-2003 Exec Code Overflow 11-10-2011 9.3 None Remote Medium Not required
120 CVE-2012-0175 Exec Code 10-07-2012 9.3 None Remote Medium Not required
121 CVE-2012-2556 Exec Code 11-12-2012 9.3 None Remote Medium Not required
122 CVE-2006-4696 Exec Code 10-10-2006 9.0 Admin Remote Low Single system
123 CVE-2008-1456 Exec Code 13-08-2008 9.0 Admin Remote Low Single system
124 CVE-2008-1457 Exec Code 13-08-2008 9.0 None Remote Low Single system
125 CVE-2009-0230 10-06-2009 9.0 None Remote Low Single system
126 CVE-2009-1544 DoS +Priv Mem. Corr. 12-08-2009 9.0 Admin Remote Low Single system
127 CVE-2010-0020 Exec Code Overflow 10-02-2010 9.0 Admin Remote Low Single system
-
Página 26 de 26
Análisis de Amenazas Cibernéticas #16 Sistemas Legacy Natalia Pérez Muñoz y Paula Moraga Montero Martes 1 de Septiembre de 2020
8. Conclusiones Este artículo tenía como propósito, por una parte, construir una imagen de los sistemas heredados que están expuestos a la internet en organizaciones locales, y por otra, abrir un debate en las organizaciones sobre el incierto futuro que arrastran las instituciones que no pueden dar soporte a los sistemas que utilizan en sus operaciones informáticas y que podrían tener consecuencias que pueden poner en peligro la continuidad operacional de sus servicios. La necesidad de poner en la balanza la necesidad de mejorar, mudar o cambiar ciertas tecnologías por cuestiones de soporte y seguridad, frente a los costos que esos cambios representan, es una reflexión necesaria y que, en algunos casos, no puede ser postergada. Las autoras entienden que parte del problema tecnológico. La inviabilidad de dar soporte a ciertas versiones de las tecnologías o sistemas completos, es parte de la “naturaleza” de esta cuarta revolución industrial. No importa quién sea el actor que se vea enfrentado al problema, o su peso político o económico al interior de la sociedad, el avance tecnológico no hace distinciones ni excepciones, y la obsolescencia puede transformarse en la ruina del propio negocio. Sin embargo también consideran que la escasa consciencia y educación en la materia, no permiten ponderar los riesgos que traen aparejados los sistemas heredados. La actualización y protección de sistemas es inviable cuando no existe soporte tecnológico disponible. Las vulnerabilidades de los sistemas pueden ser explotadas con facilidad por los atacantes, y tener un sistema de esta naturaleza multiplica los factores de riesgo. La evaluación de riesgos y las mitigaciones a los sistemas son un debate necesario, en todo nivel. La evaluación de migrar a nuevas soluciones, incluidas las migraciones en la nube en forma segura, son alternativas que están disponibles, las que deben ser creadas en la medida que las organizaciones q las necesiten, las cuales deben ser asimiladas y reflexionadas en profundidad por quienes toman las decisiones.
2020-09-01T22:19:01-0400CSIRT Gobierno de Chile