Vulnerability Assessment e Penetration Test Report

Transcript

1 Vulnerability Assessment e Penetration Test Report Target: $nome_organizzazione Durata temporale dell attività: data inizio data fine Attività eseguita da: nome cognome SEC4U 1

2 Il Vulnerability Assessment e Penetration Test è stato effettuato da personale di SEC4U certificato CEH ed ecppt, con i consigli descritti nel documento NIST SP e seguendo quanto definito nell Open Source Security Testing Methodology Manual (OSSTMM 3). 2

3 Indice generale Sommario Esecutivo...4 Sintesi Dei Risultati...4 Grafico Vulnerabilità...6 Grafico 1: Vulnerabilità per impatto (Fattore di rischio)...6 Report Vulnerabilità...7 Apache Tomcat Manager Common Administrative Credentials...7 Default Password (root) for 'root' Account...8 Ulteriore esempio di vulnerabilità riscontrata...9 Piano Di Risanamento...10 Raccomandazioni...10 Livello Di Rischio...11 Appendice A: Dettaglio delle vulnerabilità e loro mitigazione/soluzione...12 Apache Tomcat Manager Common Administrative Credentials...12 Default Password (root) for 'root' Account...12 Ulteriore esempio di vulnerabilità riscontrata...12 Allegato A - screenshots...13 Logs

4 Sommario Esecutivo Nel mese di mm/aaaa l organizzazione $nome_organizzazione ha richiesto a SEC4U l esecuzione di un attività di Vulnerability Assessment e Penetration Test, al fine di verificare la postura difensiva della propria infrastruttura. Il report è relativo ad uno scenario Black Box, nel quale l'attaccante non ha precedente conoscenza dell'infrastruttura oggetto di analisi e gli esaminatori necessitano di determinare architettura e servizi dei sistemi prima di iniziare l'analisi. La descrizione dello scenario è la seguente: test da eseguire come intruder presente all'interno della rete $network. Lo scope of engagement sono tutti gli host potenzialmente raggiungibili da un host presente in quella rete e facenti parte di networks di proprietà di $nome_organizzazione. Il test è stato eseguito mettendosi nei panni di una persona esterna (es. un consulente, l'addetto alle pulizie, un cliente), senza alcuna precedente conoscenza dell'infrastruttura, ma spinta ad effettuare un test per verificare le debolezze dell'infrastruttura stessa, a scopo di spionaggio industriale o per semplice curiosità. Il test è iniziato con un'attenta analisi del traffico visibile dall'host utilizzato come vettore di attacco, al termine della quale sono state ritenute interessanti allo scopo, tra quelle individuate, le seguenti networks: (nn hosts rilevati) (nn hosts rilevati) (nn hosts rilevati) (nn hosts rilevati) La valutazione è stata condotta in conformità con i consigli descritti nel documento NIST SP e seguendo quanto definito nell Open Source Security Testing Methodology Manual (OSSTMM 3) 2. Il risultato di questa valutazione sarà utilizzato da $nome_organizzazione per effettuare le proprie decisioni strategiche future in tema di sicurezza delle informazioni. Tutti i test e le azioni sono stati condotti in condizioni controllate. Sintesi Dei Risultati Durante l'esecuzione dei test si è fatta attenzione a non uscire dai confini delle networks gestite da $nome_organizzazione e dalle networks identificabili come di proprietà di $nome_organizzazione

5 Il rischio complessivo dell'infrastruttura è alto. A causa della gravità di alcune delle vulnerabilità, è auspicabile un intervento immediato. Le seguenti azioni sono da prendere in considerazione e da valutare come consigli da mettere in pratica il prima possibile: aggiungere un livello di autenticazione logico tra il client ed il layer 1 (fisico) dell'infrastruttura di rete; aggiungere un IPS (Intrusion Prevention System), capace di riconoscere e prevenire tipologie di attacco quali la arp cache poisoning ed il dns spoofing; utilizzare protocolli cifrati al posto di protocolli in chiaro, ovunque sia possibile; 5

6 Grafico Vulnerabilità Grafico 1: Vulnerabilità per impatto (Fattore di rischio) Numero Critico Alto Medio Basso 0 Riga 1 Fattore di rischio della vulnerabilità 6

7 Report Vulnerabilità Apache Tomcat Manager Common Administrative Credentials Descrizione L'istanza di Tomcat installata sugli hosts sta utilizzando un set di credenziali conosciute ('tomcat', 'tomcat'). Un potenziale attaccante remoto può sfruttare questa vulnerabilità per installare applicazioni maligne sui sistemi affetti ed eseguire codice arbitrario con i privilegi dell'utente Tomcat (di solito l'utente SYSTEM su sistemi Windows, utente senza privilegi amministrativi su sistemi Unix). Impatto CVSS Base Score: 10.0 CVSS Vector Score: AV:N/AC:L/Au:N/C:C/I:C/A:C Referenze Vulnerability ID CVE OSVDB BID Proof of Concept Target vulnerabili 7

8 Default Password (root) for 'root' Account Descrizione L'account 'root' sull'host remoto utilizza come password 'root'. Un attaccante può sfruttare questo problema per guadagnare il totale controllo del sistema. Impatto CVSS Base Score: 10.0 CVSS Vector Score: AV:N/AC:L/Au:N/C:C/I:C/A:C Referenze Vulnerability ID CVE OSVDB Proof of Concept It was possible to execute the command 'id' on the remote host : uid=0(root) gid=0(root) gruppi=0(root) Target vulnerabili 8

9 Ulteriore esempio di vulnerabilità riscontrata Descrizione Descrizione vulnerabilità Impatto CVSS Base Score: valore vulnerabilità CVSS Vector Score: dettagli vector score Referenze link referenze Vulnerability ID id della vulnerabilità Proof of Concept eventuale proof of concept della vulnerabilità, se disponibile Target vulnerabili 9

10 Piano Di Risanamento Durante il Vulnerabily Assessment e Penetration Test eseguito, sono state trovate diverse vulnerabilità, alcune delle quali consentono dei semplici exploit. Se questi exploit fossero effettuati da un attaccante, nella situazione attuale potrebbe esserci notevole danno d'immagine per la società e probabile impossibilità di lavorare per un periodo di tempo non definito, nonché un'eventuale acquisizione di tutto il codice sorgente aziendale. Questo soprattutto perchè nel caso preso in considerazione, le vulnerabilità più gravi sono anche quelle più semplici da exploitare e vanno a danneggiare quello che è il cuore tecnologico della società, vale a dire l'infrastruttura di rete e dei sistemi e le informazioni in esse contenute. Raccomandazioni Le vulnerabilità individuate sono per la maggior parte di gravità elevata. Alcune sono di semplice risoluzione, mentre altre sono più complesse e necessitano di investimenti dal punto di vista infrastrutturale, quali: inserimento di un livello di autenticazione logico (NAC Network Access Control server) tra il client ed i layers 2/3 (datalink e network) dell'infrastruttura di rete; aggiunta di un IPS (Intrusion Prevention System), capace di riconoscere e prevenire tipologie di attacco quali la arp cache poisoning ed il dns spoofing; Si consiglia inoltre la stesura di policies per la configurazione di sistemi il più possibile sicuri, in modo tale da rendere complessi eventuali tentativi di attacco (a titolo di esempio, hardening dei servizi post-installazione, cifratura del disco, password di autenticazione per l'accesso al BIOS). A causa dell'impatto che le vulnerabilità trovate avrebbero sull'organizzazione complessiva, come scoperto dal Vulnerability Assessment e Penetration Test effettuato, devono essere allocate tutte le possibili risorse in modo tale da garantire che le operazioni di bonifica vengano svolte in modo tempestivo. 10

11 Mentre una lista completa di elementi che dovrebbero essere implementati all'interno dell'organizzazione va al di fuori dello scopo di questo Vulnerability Assessment e Penetration Test e di conseguenza del presente report, è bene ricordare alcuni utili elementi di alto livello. Attuare un programma di gestione delle patch. La gestione di un programma coerente di gestione delle patch, secondo le linee guida delineate nel documento NIST SP Version è una componente importante per mantenere un buon livello di sicurezza. Ciò contribuirà a limitare la superficie di attacco, che risulta attaccabile in modo semplice in quei servizi sprovvisti di patch. Condurre Vulnerability Assessment e Penetration Test regolari Come parte di una strategia efficace di gestione del rischio organizzativo, le valutazioni di vulnerabilità dovrebbero essere condotte in modo regolare e continuativo. Approntare un programma regolare e continuativo di valutazione delle vulnerabilità consente di determinare se sono stati eseguiti correttamente i controlli di sicurezza richiesti dai report precedenti, atti a raggiungere il risultato desiderato. Consultare il documento NIST SP Revision 1 4 per le linee guida sul funzionamento di un efficace gestione del rischio. Per vedere i dettagli di ciascuna vulnerabilità trovata ed i relativi rimedi, vedere l'appendice A. Livello Di Rischio Il livello di rischio attuale, come risultato del Vulnerability Assessment e Penetration Test effettuato, è alto

12 Appendice A: Dettaglio delle vulnerabilità e loro mitigazione/soluzione Apache Tomcat Manager Common Administrative Credentials Dettagli L'istanza di Tomcat installato sugli hosts sta utilizzando un set di credenziali conosciute ('tomcat', 'tomcat'). Un potenziale attaccante remoto può sfruttare questa vulnerabilità per installare applicazioni maligne sui sistemi affetti ed eseguire codice arbitrario con i privilegi dell'utente Tomcat (di solito l'utente SYSTEM su sistemi Windows, utente senza privilegi amministrativi su sistemi Unix). Soluzione Editare il file 'tomcat-users.xml' e cambiare o rimuovere le credenziali affette dalla vulnerabilità. Fattore di rischio Critico Default Password (root) for 'root' Account Dettagli L'account 'root' sull'host remoto utilizza come password 'root'. Un attaccante può sfruttare questo problema per guadagnare il totale controllo del sistema. Soluzione Cambiare la password per questo account o disabilitarlo. Fattore di rischio Critico Ulteriore esempio di vulnerabilità riscontrata Dettagli Descrizione vulnerabilità. Soluzione Consiglio per il risanamento della vulnerabilità. Fattore di rischio Livello di rischio della vulnerabilità. 12

13 Allegato A - screenshots Di seguito sono riportati gli screenshots effettuati durante il test. Le immagini sono state volutamente sfuocate ove riportanti dati personali. Illustrazione 1: esempio screenshot 13

14 Logs Data Autore Descrizione Tools 04/06/18 $nome $cognome Start Report 05/06/18 $nome $cognome Information Gathering $nome_tools 05/06/18 $nome $cognome Exploitation $nome_tools 07/06/18 $nome $cognome Exploitation $nome_tools 10/06/18 $nome $cognome End Report 14