Aura Portal - Azure - Caja Negra Manual

(1)

2016 - Aura Portal - Azure - Caja Negra

Manual

10/08/2016

Versión 1

(2)

1

CONTENIDO

1. INTRODUCCIÓNINTRODUCCIÓN 1.1. OBJETIVO

1.2. DESCRIPCIÓN DEL PROYECTO 2. ALCANCEALCANCE

2.1. ACTIVOS 2.2. VENTANAS

2.3. DETALLE DE LAS PRUEBAS 3. RESUMEN EJECUTIVORESUMEN EJECUTIVO

3.1. VULNERABILIDADES DETECTADAS 4. DETALLE DE VULNERABILIDADESDETALLE DE VULNERABILIDADES

4.1. VULNERABILIDADES DE CONFIGURACIÓN

4.2. VULNERABILIDADES DE VERSIÓN DE PRODUCTO 5. ANEXOSANEXOS

5.1. REFERENCIAS 5.2. NOMENCLATURA

(3)

2

INTRODUCCIÓN

1.1 O B JE TI VO

El objetivo de las pruebas de intrusión es evaluar la seguridad de los sistemas y redes simulando ataques para analizar las posibles vulnerabilidades y su facilidad de explotación. En las pruebas de caja negra el auditor solo dispone de información pública sobre el objetivo y a través de esta intenta identiﬁcar agujeros de seguridad que puedan comprometer información sensible o las operaciones del sistema.

1.2 DE SC R I P C I Ó N DE L P R O YE C TO

El servicio de Análisis Manual de Vulnerabilidades permite detectar las deﬁciencias de seguridad que pudieran existir en las aplicaciones auditadas, proponiendo las soluciones más adecuadas a dichas deficiencias.

Asimismo, en caso de detectar aspectos de mejora en la seguridad de la aplicación, se ofrecen recomendaciones para solventarlas.

Con este objetivo, se realizarán distintas actuaciones que permitirán revisar todos aquellos aspectos de seguridad que deberían haberse contemplado durante el desarrollo de la aplicación y que, en caso contrario, derivan en deficiencias y vulnerabilidades de seguridad.

(4)

3

ALCANCE

2.1 AC TI VO S

RESUMEN RESUMEN Ti po Ti po N úmeroN úmero Servidores 1 Aplicaciones Web 1 Total 2

Tabla 1. Resumen de activos

(5)

4

ALCANCE ALCANCE

A continuación se muestran los activos dentro del alcance de la auditoría.

N ombre

N ombre Ti poTi po Di recci ónDi recci ón

52.169.108.17 - Host Host 52.169.108.17

vanilla.northeurope.cloudap... Aplicación Web http://vanilla.northeurope.cloudapp.azure.com/Archives/we...

Tabla 2. Activos del Proyecto

(6)

5

2.2 VE N TAN AS

A continuación se muestran las ventanas de tiempo habilitadas para la realización de las pruebas así como los activos sobre los cuales se han realizado las mismas y las restricciones aplicables.

Fecha Ini ci o

Fecha Ini ci o Fecha Fi nFecha Fi n Acti vosActi vos Res tri cci onesRes tri cci ones

09/08/2016 08:00 09/08/2016 15:00

Tabla 3. Ventanas de tiempo

(7)

6

A continuación se muestran las ventanas de ejecución para la realización de las pruebas así como las IPs origen desde las cuales se han realizado las mismas.

Ventana de Ej ecuci ón

Ventana de Ej ecuci ón 09/08/2016 08:00 09/08/2016 08:00 - - 09/08/2016 15:0009/08/2016 15:00

IP Ori g en:

IP Ori g en: 195.53.204.247 Acti vos :

Acti vos : 62.43.206.23 - Host, 52.169.108.17 - Host, 62.43.206.23 - Web App, vanilla.northeurope.cloudapp.azure.com - Web App IP Ori g en:

Acti vos : 62.43.206.23 - Host, 52.169.108.17 - Host, 62.43.206.23 - Web App, vanilla.northeurope.cloudapp.azure.com - Web App

Tabla 4. Ventanas de ejecución

(8)

7

2.3 DE TALLE DE LAS P R UE B AS

Se ha llevado a cabo una auditoria web de tipo Caja Negr aCaja Negr a de for m a Manual de for m a Manual .

Teniendo como base la m etodología OWASPm etodología OWASP para auditoria de aplicativos web, metodología usada como referencia para este tipo de análisis. Se han dividido las pruebas en 3 grandes bloques, realizado pruebas de descubrimiento, análisis del aplicativo y exploiting.

Para las pruebas de descubr im ientodescubr im iento se han empleado técnicas como fuzzing sobre recursos o análisis de banners de servicios. En esta fase hemos podido obtener información sobre la estructura y funcionamiento de los aplicativos analizados.

Adicionalmente, para el análisisanálisis de los aplicativos, se han realizado pruebas para encontrar métodos http inseguros habilitados e implementados en servidores web, detección de archivos con fugas de información o módulos que han sido incorrectamente conﬁgurados. Esta batería de pruebas nos permite conocer las vulnerabilidades que afectan al objetivo y que ponen en peligro la integridad, disponibilidad y confidencialidad.

Por último, en cuanto a las pruebas de exploitingexploiting , se han llevado a cabo técnicas para evaluar el código HTML, detectar ataques del lado del cliente, inyecciones de SQL, detección de accesos no autorizados a partes privadas de aplicaciones y detección de errores o fugas de información. El resultado obtenido nos permite conocer el nivel de seguridad en cuanto a vulnerabilidades críticas o con un riesgo elevado.

(9)

8

RESUMEN EJECUTIVO

CONCLUSIONES CONCLUSIONES

Tras haber realizado una Auditor ia Manual de tipo Caja Negra sobr e AuraPor tal en Azur eAuditor ia Manual de tipo Caja Negra sobr e AuraPor tal en Azur e , se puede considerar que el nivel de segur idad global de los sistem as bajo estudio es m uy altonivel de segur idad global de los sistem as bajo estudio es m uy alto dado que no se han detectado vulnerabilidades.

Adicionalmente aunque se han realizado pruebas de fuerza bruta sobre la Autenticación Básica, no se han obtenido credenciales validos en el aplicativo.

RECOMENDACIONES GENERALES RECOMENDACIONES GENERALES

A nivel de pruebas de autenticación y autor izaciónautenticación y autor ización , se ha detectado en ambos sistemas un acceso controlado por Autenticación Básica.

Como se puede ver en la imagen, se realizó una prueba utilizando diferentes identiﬁcadores de usuario y una lista de palabras (diccionario de contraseñas) con el ﬁn de realizar un ataque para intentar conseguir acceso al aplicativo. Cabe destacar que en el transcurso de las pruebas NO se obtuvier onNO se obtuvier on cr edenciales válidos

cr edenciales válidos .

(10)

9

ESTADO ACTUAL ESTADO ACTUAL

A continuación se muestran dos diagramas circulares que representan en porcentaje la severidad de todas las vulnerabilidades detectadas en esta auditoría y el riesgo sobre los activos deﬁnidos en este proyecto.

No se han encontrado vulnerabilidades.

Gráfico 1. Porcentaje de Vulnerabilidades por Severidad

Gráfico 2. Porcentaje de Vulnerabilidades por Tipo y Ámbito

(11)

10

3.1 VULN E R AB I LI DADE S DE TE C TADAS

La siguiente tabla muestra el número de ocurrencias de vulnerabilidades por severidad encontradas en la auditoría para cada uno de los activos.

(12)

11

La siguiente tabla muestra las vulnerabilidades encontradas por tipo y las agrupa por vulnerabilidad y activo, detallando la severidad.

(13)

13

DETALLE DE VULNERABILIDADES

4.1 VULN E R AB I LI DADE S DE C O N FI GUR AC I Ó N

(14)

14

4.2 VULN E R AB I LI DADE S DE VE R SI Ó N DE P R O DUC TO

(15)

16

ANEXOS

5.1 R E FE R E N C I AS

OWASP. http://www.owasp.or g/ OWASP. http://www.owasp.or g/

OWASP es una comunidad abierta dedicada a facilitar que las organizaciones desarrollen, adquieran, mantengan y operen aplicaciones seguras.

OWASP Guide. Guía para diseñar, desarrollar y desplegar aplicaciones web y sistemas seguros OWASP Testing Guide. Guía que deﬁne una metodología de pruebas de seguridad de aplicaciones web no solo centrada en pruebas de intrusión sino también en el ciclo de vida de desarrollo de software, definición de modelos de riesgo y revisión de código fuente.

Open Sour ce Secur ity Testing Methodology Manual (OSSTMM). Open Sour ce Secur ity Testing Methodology Manual (OSSTMM). http://www.isecom .or g/

http://www.isecom .or g/

Metodología Abierta de Testeo de Seguridad que reúne diversas pruebas y métricas de seguridad utilizadas por los profesionales durante las Auditorías de Seguridad desarrollado por Institute for Security and Open Methodologies (ISECOM)

SANS Institute Refer ences. http://www.sans.or g SANS Institute Refer ences. http://www.sans.or g

El Instituto SANS tiene como principales objetivos reunir información sobre todo lo referente a seguridad informática y ofrecer capacitación y certiﬁcación en el ámbito de la seguridad informática.

CVSS - Com m on Vulner ability Scor ing System . http://nvd.nist.gov/cvss.cfm CVSS - Com m on Vulner ability Scor ing System . http://nvd.nist.gov/cvss.cfm

Common Vulnerability Scoring System (CVSS) proporciona un marco abierto para la comunicación de las características y el impacto de las vulnerabilidades de Tecnologías de Información. Se trata de un sistema de puntuación de las vulnerabilidades estandarizado para clasiﬁcar las vulnerabilidades de TI. Ayuda a priorizar y coordinar una respuesta conjunta a las vulnerabilidades de seguridad mediante la comunicación de las propiedades base, temporales y ambientales de una vulnerabilidad.

CVE - Com m on Vulner abillity and Exposur es http://www.cve.m itr e.or g/ CVE - Com m on Vulner abillity and Exposur es http://www.cve.m itr e.or g/

Provee una nomenclatura común para las vulnerabilidades de los sistemas de información. Este sistema es mantenido por MITRE. La información y nomenclatura de esta lista es usada en la National Vulnerability Database, el repositorio de los Estados Unidos de América de información sobre vulnerabilidades

CAPEC -

CAPEC - Com m on Com m on Attack Attack Patter n Patter n Enum eration Enum eration and and ClassiﬁcationClassiﬁcation http://capec.m itr e.or g/

http://capec.m itr e.or g/

Provee una lista de patrones de ataque comunes según un esquema exhaustivo y una taxonomía de clasiﬁcación. Esta información permite tener una sólida comprensión de la perspectiva del atacante y los métodos utilizados para explotar los sistemas de software. CAPEC proporciona esta información con el ﬁn de ayudar a mejorar la seguridad de todo el ciclo de vida de desarrollo software y apoyar las necesidades de los desarrolladores, probadores y educadores.

CWE -

CWE - Com m on Com m on Weakness Enum er ation http://cwe.m itr e.or g/Weakness Enum er ation http://cwe.m itr e.or g/

CWE proporciona un conjunto de debilidades software uniﬁcado y medible. Permite una mejor comprensión y gestión de los puntos débiles relacionados con la arquitectura y diseño del software.

(16)

17

5.2 N O ME N C LATUR A

Vulner abilidad Vulner abilidad

Un error, fallo, debilidad, o exposición de una aplicación, sistema, dispositivo o servicio que podría comprometer la confidencialidad, integridad o disponibilidad del sistema o de la información que trata. Activo

Activo

Recurso de valor empleado en una empresa u organización. Am enaza

Am enaza

Se trata de circunstancias o eventos que tienen una probabilidad de ocasionar un daño a un recurso de información al explotar las vulnerabilidades que posea.

Riesgo Riesgo

Se trata de la probabilidad de que una amenaza explote una vulnerabilidad y pueda ocasionar un daño potencial a los activos de la organización.

N.I.D. N.I.D.

NID es Nessus ID correspondiente al script NASL de Nessus. B.I.D.

B.I.D.

Bugtrack ID, es un identificador de los resultados de las vulnerabilidades encontradas por programas de seguimiento de vulnerabilidades.

O.S.V.D.B. O.S.V.D.B.

Es una base de datos independiente y de código abierto, creada por un grupo de especialistas en el ámbito de la seguridad.

C.V.E. C.V.E.

Provee una nomenclatura común para las vulnerabilidades de los sistemas de información. Este sistema es mantenido por MITRE. La información y nomenclatura de esta lista es usada en la National Vulnerability Database, el repositorio de los Estados Unidos de América de información sobre vulnerabilidades.

(17)

18

Com m on Vulner ability Scor ing System o C.V.S.S. Com m on Vulner ability Scor ing System o C.V.S.S.

Es un conjunto de valores estándar para medir la severidad de una vulnerabilidad en la seguridad de un sistema informático. Establece una serie de parámetros comparados para poder establecer prioridades en el tratamiento de una vulnerabilidad. El vector CVSS Base tiene el siguiente formato:

(AV:[L,A,N]/AC:[H,M,L]/Au:[N,S,M]/C:[N,P,C]/I:[N,P,C]/A:[N,P,C])

Las letras entre paréntesis representan los valores posibles de una métrica CVSS.

Se debe seleccionar una opción entre cada conjunto de corchetes. Las letras que aparecen fuera de los corchetes son obligatorias y deben incluirse a ﬁn de crear un vector CVSS válido. Cada letra o par de letras es una abreviatura de un valor de métrica en valor CVSS. Estas abreviaturas se deﬁnen a continuación.

Métricas: AV = Vector de Acceso (Relacionado con el rango de explotación) Posibles valores: L = acceso local, A = Red adyacente, N = Internet Métricas: AC = Complejidad de Acceso (Requerido ataque complejidad)

Posibles valores: H = Alta, M = Mediano, L = Bajo

Métricas: Au = Autenticación (Nivel de autenticación necesarios para explotar)

Posibles valores: N = No se requiere, S = Requiere única instancia, M = Requiere varias instancias

Métricas: C = ConfImpact (Impacto a la Confidencialidad) Posibles valores: N = No, P = Parcial, C = Completa Métricas: I = IntegImpact (Impacto a la Integridad)

Posibles valores: N = No, P = Parcial, C = Completa Métricas: A = AvailImpact (Impacto a la Disponibilidad)

Posibles valores: N=No, P=Parcial, C=Completa NVD Valor ación de Sever idad de Vulner abilidad NVD Valor ación de Sever idad de Vulner abilidad

La NVD, Base de Datos Nacional de Vulnerabilidades de Estados Unidos de América, proporciona clasificaciones de la gravedad de las vulnerabilidades:

La vulnerabilidad etiquetada de ' Baja ' gravedad tienen un CVSS base de puntuación de 0.0-3.9. La vulnerabilidad etiquetada de ' Media ' gravedad tienen un CVSS base de puntuación de 4.0-6.9. La vulnerabilidad etiquetada de ' Alta ' gravedad tienen un CVSS base de puntuación de 7.0-10.0. CPE

CPE

Common Platform Enumeration (CPE) Se trata de esquema de nomenclatura estructurado para sistemas informáticos, plataformas y paquetes. Basado en la sintaxis de uso general “Uniform Resource Indentiﬁers” (URI). CPE incluye un formato para la deﬁnición de nombres, un lenguaje que permite describir plataformas complejas y un método que permite buscar sistemas a partir de nombre.

(18)