seguridad informatica - corpourabaintranet.corpouraba.gov.co/seduridad/informe informat… · web...

Por: Nelson E. Polo

Ir a la tabla de contenido

SEGURIDAD INFORMATICA

Administrador - [email protected]

CORPOURABA APARTADO – ANTIOQUIA

Tabla de contenido

Vulnerabilidad web……………………………………………………………………………………………………3

- Sinap ………………………………………………………………………………………………………………………….3- Cita …………………………………………………………………………………………………………………………….6

Vulnerabilidad LAN………………………………………………………………………………

- 192.168.0.2: Mikrotik …………………………………………………………………………………….8- 192.168.0.5: server ……………………………………………………………………………………….12- 192.168.0.6: server antivirus …………………………………………………………………………13- 192.168.0.7: server directorio ……………………………………………………………………….17- 192.168.0.16: server cita ……………………………………………………………………………….18- 192.168.0.129: server Exchange …………………………………………………………………….19- 192.168.0.134: server sinap …………………………………………………………………………..20- 192.168.0.172: equipo pc ………………………………………………………………………………21- 192.168.0.202: equipo pc ………………………………………………………………………………22- 192.168.0.223: equipo pc ………………………………………………………………………………23- 192.168.0.237: equipo pc ………………………………………………………………………………24- 192.168.0.228: equipo pc ………………………………………………………………………………26


Informe: Seguridad informática en equipos de la corporación.

Vulnerabilidad: software SINAP

1. Ataque a cookies del sistema red local – LAN:

Vulnerabilidad en la siguiente dirección: http://sinap.corpouraba.gov.co:8084

En total 4 alertas.


http://sinap.corpouraba.gov.co:8084/

http://sinap.corpouraba.gov.co:8084/login.aspx?AspxAutoDetectCookieSupport=1http://sinap.corpouraba.gov.co:8084/login.aspx?AspxAutoDetectCookieSupport=1

1. El encabezado X-Frame-Options no está incluido en la respuesta HTTP para proteger contra los ataques de 'ClickJacking'.

- ClickJacking: es una técnica maliciosa para engañar a usuarios de Internet con el fin de que revelen información confidencial o tomar control de su ordenador cuando hacen clic en páginas web aparentemente inocentes

Solución: La mayoría de los navegadores web modernos admiten el encabezado HTTP X-Frame-Options. Asegúrese de que esté configurado en todas las páginas web devueltas por su sitio (si espera que la página esté enmarcada solo por páginas en su servidor (por ejemplo, es parte de un FRAMESET), entonces querrá usar SAMEORIGIN, de lo contrario, si nunca espera la página para enmarcar, debe usar DENY. ALLOW-FROM permite que sitios web específicos marquen la página web en navegadores web compatibles).

2. Se ha configurado una cookie sin el indicador HttpOnly, lo que significa que se puede acceder a la cookie mediante JavaScript. Si se puede ejecutar un script malicioso en esta página, se podrá acceder a la cookie y se podrá transmitir a otro sitio. Si se trata de una cookie de sesión, puede ser posible el secuestro de la sesión.

Solución: Asegúrese de que el indicador HttpOnly esté configurado para todas las cookies

3. Navegador web. La protección XSS no está habilitada, o está desactivada por la configuración del encabezado de respuesta HTTP 'X-XSS-Protection' en el servidor web

Solución: Asegúrese de que el filtro XSS del navegador web esté habilitado, configurando el encabezado de respuesta HTTP de X-XSS-Protección en '1'.

Direcciones : http://sinap.corpouraba.gov.co:8084/robots.txthttp://sinap.corpouraba.gov.co:8084/sitemap.xmhttp://sinap.corpouraba.gov.co:8084/login.aspx?AspxAutoDetectCookieSupport=1


http://sinap.corpouraba.gov.co:8084/login.aspx?AspxAutoDetectCookieSupport=1

http://sinap.corpouraba.gov.co:8084/sitemap.xm

http://sinap.corpouraba.gov.co:8084/robots.txt



4. El encabezado Anti-MIME-X-Content-Type-Options no se configuró en 'nosniff'. Esto permite a las versiones anteriores de Internet Explorer y Chrome realizar el rastreo de MIME en el cuerpo de la respuesta, lo que puede causar que el cuerpo de la respuesta se interprete y se muestre como un tipo de contenido distinto del tipo de contenido declarado. Las versiones actuales (principios de 2014) y heredadas de Firefox utilizarán el tipo de contenido declarado (si está configurado), en lugar de realizar el rastreo de MIME.

Solución: Cabecera X-Content-Type-Options para evitar problemas de Seguridad

Asegúrese de que la aplicación / servidor web configure el encabezado de tipo de contenido de manera adecuada y que establezca el encabezado X-Content-Type-Options en 'nosniff' para todas las páginas web.

Si es posible, asegúrese de que el usuario final utilice un navegador web moderno y compatible con los estándares que no realice ningún tipo de detección MIME, o que la aplicación web / servidor web pueda indicarle que no realice el rastreo MIME.

Direcciones comprometidas: http://sinap.corpouraba.gov.co:8084/login.aspx

http://sinap.corpouraba.gov.co:8084/WebResource.axd?d=9v61NiwReX50j3ubbySJhmdkbB1hn3sDfuijMhhI5ADrMAidm-ok1bmylNu1vQP9R5LJ__B9a92tzF9SXhGZHrDiMZFskhykvy4q0G6LRwI1&t=635521340822907181





http://sinap.corpouraba.gov.co:8084/login.aspx

Vulnerabilidad en la siguiente dirección: http://citalinux.corpouraba.gov.co:8282

1. Esta página contiene un mensaje de error / advertencia que puede divulgar información confidencial como la ubicación del archivo que produjo la excepción no controlada. Esta información puede usarse para lanzar ataques adicionales contra la aplicación web. La alerta podría ser un falso positivo si el mensaje de error se encuentra dentro de una página de documentación.

Solución: Revisa el código fuente de esta página. Implementar páginas de error personalizadas. Considere implementar un mecanismo para proporcionar una referencia / identificador de error único al cliente (navegador) mientras registra los detalles en el lado del servidor y no los expone al usuario.

2. El encabezado X-Frame-Options no está incluido en la respuesta HTTP para proteger contra los ataques de 'ClickJacking'.Solución : La mayoría de los navegadores web modernos admiten el encabezado HTTP X-Frame-Options. Asegúrese de que esté configurado en todas las páginas web devueltas por su sitio (si espera que la página esté enmarcada solo por páginas en su servidor (por ejemplo, es parte de un FRAMESET), entonces querrá usar SAMEORIGIN, de lo contrario, si nunca espera la página para enmarcar, debe usar DENY. ALLOW-FROM permite que sitios web específicos marquen la página web en navegadores web compatibles).


http://citalinux.corpouraba.gov.co:8282/

3. Se ha encontrado una IP privada (como 10.x.x.x, 172.x.x.x, 192.168.x.x) o un nombre de host privado de Amazon EC2 (por ejemplo, ip-10-0-56-78) en el cuerpo de respuesta HTTP. Esta información puede ser útil para futuros ataques dirigidos a sistemas internos. http://citalinux.corpouraba.gov.co:8282/cita/phpinfo.php<tr><td class="e">SERVER_ADDR </td><td class="v">192.168.0.16 </td></tr><tr><td class="e">SERVER_PORT </td><td class="v">80 </td></tr><tr><td class="e">REMOTE_ADDR </td><td class="v">192.168.0.126 </td></tr>

Solucion: Elimine la dirección IP privada del cuerpo de respuesta HTTP. Para comentarios, use el comentario JSP / ASP / PHP en lugar del comentario HTML / JavaScript que pueden ver los navegadores de los clientes.

4. Navegador web La protección XSS no está habilitada, o está desactivada por la configuración del encabezado de respuesta HTTP 'X-XSS-Protection' en el servidor webSolución: Asegúrese de que el filtro XSS del navegador web esté habilitado, configurando el encabezado de respuesta HTTP de X-XSS-Protection en '1'.


Vulnerabilidad: Equipos de la corporación – a nivel de LAN

MIKROTIC

DIRECCION IP: 192.168.0.2

2 1 2 0 21CRITICAL HIGH MEDIUM LOW INFO

Severity CVSS Plugin Name

CRITICAL 10.0 99763

MikroTik RouterOS HTTP Server Arbitrary Write RCE (ChimayRed)

SinopsisEl host remoto se ve afectado por una vulnerabilidad de ejecución remota de código.

DescripciónEl software MikroTik RouterOS que se ejecuta en el host remoto se ve afectado por una falla en su proceso de servidor web HTTP debido a la validación incorrecta de la entrada proporcionada por el usuario. Un atacante remoto no autenticado puede explotar esto, a


través de una solicitud POST especialmente diseñada, para escribir datos en una ubicación arbitraria dentro del proceso del servidor web, dando como resultado una condición de denegación de servicio o la ejecución de código arbitrario. Tenga en cuenta que esta vulnerabilidad es, según los informes, parte del exploit ChimayRed de las filtraciones de Vault 7.

SoluciónActualice a MikroTik RouterOS versión 6.38.5 o posterior.

CRITICAL 10.0 108521 MikroTik RouterOS < 6.41.3 SMB Buffer Overflow

SinopsisEl dispositivo de red remoto se ve afectado por una vulnerabilidad de desbordamiento de búfer.

DescripciónSegún su versión auto informada, el dispositivo de red remoto está ejecutando una versión de MikroTik RouterOS antes 6.41.3. Por lo tanto, se ve afectado por una vulnerabilidad de desbordamiento de búfer de SMB remota que puede ser aprovechada por un atacante remoto no autenticado para ejecutar código arbitrario.

SoluciónActualice a MikroTik RouterOS 6.41.3 o posterior.

HIGH 7.541028SNMP Agent Default Community Name (public)


SinopsisSe puede adivinar el nombre de la comunidad del servidor SNMP remoto.

DescripciónEs posible obtener el nombre de comunidad predeterminado del servidor SNMP remoto. Un atacante puede usar esta información para obtener más información sobre el host remoto o para cambiar la configuración del sistema remoto (si la comunidad predeterminada permite tales modificaciones).

SoluciónDeshabilite el servicio SNMP en el host remoto si no lo usa. Filtre los paquetes UDP entrantes que van a este puerto o cambie la cadena de comunidad predeterminada

MEDIUM 5.8 50686 IP Forwarding Enabled

SinopsisEl host remoto tiene el reenvío de IP habilitado.

DescripciónEl host remoto tiene el reenvío de IP habilitado. Un atacante puede explotar esto para enrutar paquetes a través del host y posiblemente omitir algunos firewalls / enrutadores / filtros NAC. A menos que el host remoto sea un enrutador, se recomienda deshabilitar el reenvío de IP.


http://www.nessus.org/plugins/index.php?view=single&id=50686

SoluciónEn Linux, puede deshabilitar el reenvío de IP haciendo: echo 0> / proc / sys / net / ipv4 / ip_forward En Windows, establezca la clave 'IPEnableRouter' en 0 en HKEY_LOCAL_MACHINE \ System \ CurrentControlSet \ Services \ Tcpip \ Parameters en Mac OS X, puede deshabilitar el reenvío de IP ejecutando el comando: sysctl -w net.inet.ip.forwarding = 0 Para otros sistemas, consulte con su proveedor.

MEDIUM5.0

12217

DNS Server Cache Snooping Remote Information Disclosure

SinopsisEl servidor DNS remoto es vulnerable a los ataques de intrusión de caché.

DescripciónEl servidor DNS remoto responde a las consultas de dominios de terceros que no tienen establecido el bit de recursividad. Esto puede permitir que un atacante remoto determine qué dominios se han resuelto recientemente a través de este servidor de nombres y, por lo tanto, qué hosts se han visitado recientemente. Por ejemplo, si un atacante estaba interesado en si su compañía utiliza los servicios en línea de una institución financiera en particular, podría usar este ataque para construir un modelo estadístico con respecto al uso de la compañía de esa institución financiera. Por supuesto, el ataque también se puede usar para encontrar socios B2B, patrones de navegación web, servidores de correo externo y más.

Nota: Si se trata de un servidor DNS interno al que no pueden acceder las redes externas, los ataques se limitarán a la red interna. Esto puede incluir empleados, consultores y usuarios potenciales en una red de invitado o conexión WiFi si es compatible.




SoluciónPóngase en contacto con el proveedor del software DNS para una solución.

Servidor

192.168.0.5


Severity

CVS

S

Plugi

n Name

CRITICAL10.0

45004 Apache 2.2.x < 2.2.15 Multiple Vulnerabilities

CRITICAL10.0

57603

Apache 2.2.x < 2.2.13 APR apr_palloc Heap Overflow

CRITICAL10.0

58987 PHP Unsupported Version Detection

CRITICAL10.0

62758

Microsoft XML Parser (MSXML) and XML Core Services Unsupported

CRITICAL10.0

84729

Microsoft Windows Server 2003 Unsupported Installation Detection

CRITICAL 10. 9773 MS17-010: Security Update for Microsoft


0 7

Windows SMB Server (4013389) (ETERNALBLUE) (ETERNALCHAMPION) (ETERNALROMANCE) (ETERNALSYNERGY) (WannaCry) (EternalRocks) (Petya)

CRITICAL10.0

97833

MS17-010: Security Update for Microsoft Windows SMB Server (4013389) (ETERNALBLUE) (ETERNALCHAMPION) (ETERNALROMANCE) (ETERNALSYNERGY) (WannaCry) (EternalRocks) (Petya) (uncredentialed check)

CRITICAL10.0

97994

Microsoft IIS 6.0 Unsupported Version Detection

CRITICAL10.0

100464

Microsoft Windows SMBv1 Multiple Vulnerabilities:Aplique la actualización de seguridad aplicable para su versión de Windows

CRITICAL10.0

100791

Microsoft Security Advisory 4025685: Guidance for older platforms (XP / 2003) (EXPLODINGCAN)

CRITICAL10.0

108797 Unsupported Windows OS

CRITICAL10.0

108958

Adobe Flash Player <= 29.0.0.113 (APSB18-08)

Servidor antivirus

192.168.0.6


Severity CVS Plugin Name


S

CRITICAL 10.0 22024Microsoft Internet Explorer Unsupported Version Detection

CRITICAL 10.0 45004 Apache 2.2.x < 2.2.15 Multiple Vulnerabilities

CRITICAL 10.0 46015HP System Management Homepage < 6.0.0.96 / 6.0.0-95 Multiple Vulnerabilities

CRITICAL 10.0 49996Oracle Java SE Multiple Vulnerabilities (October 2010 CPU)

CRITICAL 10.0 51904

MS11-004: Vulnerability in Internet Information Services (IIS) FTP Service Could Allow Remote Code Execution (2489256)

CRITICAL 10.0 52002Oracle Java SE Multiple Vulnerabilities (February 2011 CPU)

CRITICAL 10.0 53514MS11-030: Vulnerability in DNS Resolution Could Allow Remote Code Execution (2509553) (remote check)

CRITICAL 10.0 53532HP System Management Homepage < 6.3 Multiple Vulnerabilities

CRITICAL 10.0 54997 Oracle Java SE Multiple Vulnerabilities (June 2011 CPU)

CRITICAL 10.0 55958 Oracle Java JRE Unsupported Version Detection

CRITICAL 10.0 56566Oracle Java SE Multiple Vulnerabilities (October 2011 CPU) (BEAST)

CRITICAL 10.0 57603 Apache 2.2.x < 2.2.13 APR apr_palloc Heap Overflow


CRITICAL 10.0 58811HP System Management Homepage < 7.0 Multiple Vulnerabilities


CRITICAL 10.0 58987 PHP Unsupported Version Detection


CRITICAL 10.0 61529

MS12-054: Vulnerabilities in Windows Networking Components Could Allow Remote Code Execution (2733594)


CRITICAL 10.0 62758Microsoft XML Parser (MSXML) and XML Core Services Unsupported


CRITICAL 10.0 64784 Microsoft SQL Server Unsupported Version Detection

CRITICAL 10.0 64790Oracle Java SE Multiple Vulnerabilities (February 2013 CPU Update 1)

CRITICAL 10.0 65995 Oracle Java SE Multiple Vulnerabilities (April 2013 CPU)


CRITICAL 10.0 70335MS13-083: Vulnerability in Windows Common Control Library Could Allow Remote Code Execution (2864058)


CRITICAL 10.0 71966Oracle Java SE Multiple Vulnerabilities (January 2014 CPU)


CRITICAL 10.0 73985MS14-026: Vulnerability in .NET Framework Could Allow Elevation of Privilege (2958732)


CRITICAL 10.0 76532 Oracle Java SE Multiple Vulnerabilities (July 2014 CPU)

CRITICAL 10.0 78432MS14-057: Vulnerabilities in .NET Framework Could Allow Remote Code Execution (3000414)


CRITICAL 10.0 80908Oracle Java SE Multiple Vulnerabilities (January 2015 CPU) (POODLE)

CRITICAL 10.0 82771MS15-034: Vulnerability in HTTP.sys Could Allow Remote Code Execution (3042553)

CRITICAL 10.0 82820Oracle Java SE Multiple Vulnerabilities (April 2015 CPU) (FREAK)

CRITICAL 10.0 84824Oracle Java SE Multiple Vulnerabilities (July 2015 CPU) (Bar Mitzvah)

CRITICAL 10.0 85181HP System Management Homepage < 7.2.5 / 7.4.1 Multiple Vulnerabilities (POODLE)


CRITICAL 10.0 88045Oracle Java SE Multiple Vulnerabilities (January 2016 CPU) (SLOTH)

CRITICAL 10.0 90150HP System Management Homepage < 7.5.4 Multiple Vulnerabilities (Logjam)

CRITICAL 10.0 91222HP System Management Homepage Multiple Vulnerabilities (HPSBMU03593)

CRITICAL 10.0 91605 MS16-077: Security Update for WPAD (3165191)


CRITICAL 10.0 94654 HP System Management Homepage < 7.6 Multiple


Vulnerabilities (HPSBMU03653) (httpoxy)

CRITICAL 10.0 100761Windows 7 and Windows Server 2008 R2 June 2017 Security Updates

CRITICAL 10.0 101367Windows 7 and Windows Server 2008 R2 July 2017 Security Updates

Server Directorio activo

192.168.0.7


Severity

CVS

S Plugin Name




CRITICAL 10.0 80908Oracle Java SE Multiple Vulnerabilities (January 2015 CPU) (POODLE)



(FREAK)

CRITICAL 10.0 84824Oracle Java SE Multiple Vulnerabilities (July 2015 CPU) (Bar Mitzvah)


CRITICAL 10.0 88045Oracle Java SE Multiple Vulnerabilities (January 2016 CPU) (SLOTH)


CRITICAL 10.0 100762 Windows Server 2012 June 2017 Security Updates

CRITICAL 10.0 103132 Windows Server 2012 September 2017 Security Updates

CRITICAL 10.0 108958 Adobe Flash Player <= 29.0.0.113 (APSB18-08)

CRITICAL 10.0 108962KB4093110: Security update for Adobe Flash Player (April 2018)

Server Cita

192.168.0.16


8 28 39 5 32


CRITICAL HIGH MEDIUM LOW INFO

Severity

CVS

S Plugin Name

CRITICAL 10.0 58987 PHP Unsupported Version Detection

CRITICAL 10.0 60086 PHP 5.4.x < 5.4.5 _php_stream_scandir Overflow

CRITICAL 10.0 76281 PHP 5.4.x < 5.4.30 Multiple Vulnerabilities

CRITICAL 10.0 78555 OpenSSL Unsupported



CRITICAL 10.0 90888OpenSSL 1.0.1 < 1.0.1o ASN.1 Encoder Negative Zero Value Handling RCE

CRITICAL 10.0 93814OpenSSL 1.0.1 < 1.0.1u Multiple Vulnerabilities (SWEET32)

Server Exchange:

192.168.0.129


Severity

CVS

S Plugin Name


CRITICAL 10.0 100760KB4022715: Windows 10 Version 1607 and Windows Server 2016 June 2017 Cumulative Update

Server sinap

192.168.0.134


Severity CVS

S

Plugi

n

Name

CRITICAL 10.0 72704

Microsoft .NET Framework Unsupported

CRITICAL 10.0 78432

MS14-057: Vulnerabilities in .NET Framework Could Allow Remote Code Execution (3000414)

CRITICAL 10.0 86576

Oracle Database Multiple Vulnerabilities (October 2015 CPU)

CRITICAL 10.0 90150

HP System Management Homepage < 7.5.4 Multiple Vulnerabilities (Logjam)

CRITICAL 10.0 91222

HP System Management Homepage Multiple Vulnerabilities (HPSBMU03593)

CRITICAL 10.0 91605

MS16-077: Security Update for WPAD (3165191)

CRITICAL 10.0 94654

HP System Management Homepage < 7.6 Multiple Vulnerabilities (HPSBMU03653) (httpoxy)

CRITICAL 10.0 100057

Windows 8.1 and Windows Server 2012 R2 May 2017 Security Updates


Windows 8.1 and Windows Server 2012 R2 June 2017 Security Updates


Windows 8.1 and Windows Server 2012 R2 July 2017 Security Updates



Microsoft Windows Search Remote Code Execution Vulnerability (CVE-2017-8543)


Windows 8.1 and Windows Server 2012 R2 September 2017 Security Updates

Equipo computo: usuario jferrer

192.168.0.172


Severity

CVS

S Plugin Name

CRITICAL 10.0 97833


CRITICAL 10.0 100464 Microsoft Windows SMBv1 Multiple Vulnerabilities


Equipo computo: usuario eramos

192.168.0.202


Severity

CVS

S Plugin Name


CRITICAL 10.0 97833



Equipo computo: usuario

192.168.0.223


Severity

CVS

S Plugin Name


CRITICAL 10.0 97833


CRITICAL 10.0 102683Microsoft Windows Search Remote Code Execution Vulnerability (CVE-2017-8543)


Equipo computo: usuario jquintero

192.168.0.237


Severity

CVS

S Plugin Name



CRITICAL 10.0 56213 Adobe Reader Unsupported Version Detection

CRITICAL 10.0 72704 Microsoft .NET Framework Unsupported

CRITICAL 10.0 74012Adobe Reader < 10.1.10 / 11.0.07 Multiple Vulnerabilities (APSB14-15)

CRITICAL 10.0 97737 MS17-010: Security Update for Microsoft Windows SMB Server (4013389) (ETERNALBLUE) (ETERNALCHAMPION) (ETERNALROMANCE)


(ETERNALSYNERGY) (WannaCry) (EternalRocks) (Petya)

CRITICAL 10.0 97743MS17-012: Security Update for Microsoft Windows (4013078)

CRITICAL 10.0 100051MS Security Advisory 4022344: Security Update for Microsoft Malware Protection Engine

CRITICAL 10.0 100058Windows 7 and Windows Server 2008 R2 May 2017 Security Updates

CRITICAL 10.0 100761Windows 7 and Windows Server 2008 R2 June 2017 Security Updates

CRITICAL 10.0 105109Microsoft Malware Protection Engine < 1.1.14405.2 RCE


Equipo computo: usuario jpalencia

192.168.0.228


Severity

CVS

S Plugin Name


CRITICAL 10.0 56213 Adobe Reader Unsupported Version Detection

CRITICAL 10.0 59196 Adobe Flash Player Unsupported Version Detection

CRITICAL 10.0 62758Microsoft XML Parser (MSXML) and XML Core Services Unsupported

CRITICAL 10.0 72704 Microsoft .NET Framework Unsupported

CRITICAL 10.0 73182 Microsoft Windows XP Unsupported Installation


Detection

CRITICAL 10.0 74012Adobe Reader < 10.1.10 / 11.0.07 Multiple Vulnerabilities (APSB14-15)

CRITICAL 10.0 108797 Unsupported Windows OS

CRITICAL 10.0 108958 Adobe Flash Player <= 29.0.0.113 (APSB18-08)


seguridad informatica - corpourabaintranet.corpouraba.gov.co/seduridad/informe informat… · web...

Documents