03.-Presentación y valoración de vulnerabilidades

En este caso, nos ponemos en el lado de los auditores y tenemos que analizar las siguientes vulnerabilidades que se han localizado durante las pruebas. Para cada una de ellas, hay que completar la siguiente descripción:

  • Valoración de la vulnerabilidad, especificando los grupos de métricas base y temporal. Además, indica el vector CVSS resultante, y realiza capturas de pantalla de los valores indicados.
  • Es muy importante justificar la elección de cada punto en el formulario CVSS.
  • Justificar si es una vulnerabilidad que afecta al servidor o a los clientes.

Las vulnerabilidades localizadas son las siguientes:

  1. Una vulnerabilidad en el sistema de correo de la compañía que permite tomar el control del servidor y acceder a los mensajes de correo de cualquier usuario. También permite enviar correos electrónicos suplantando la identidad de los usuarios. El servidor de correo se encuentra expuesto en internet. La vulnerabilidad presenta tanto un exploit público accesible desde exploit-db como un parche propuesto por el fabricante.

  2. Una vulnerabilidad de inyección SQL que permite consultar datos de otras bases de datos, como la base de datos de contabilidad. El servidor web está expuesto en internet, pero se requiere un usuario para acceder a la funcionalidad vulnerable. No es una vulnerabilidad conocida; el auditor la localizó durante la auditoría.

  3. Una vulnerabilidad de ejecución remota de código en un servidor FTP en la red interna de la organización. El servicio FTP se ejecuta con privilegios del sistema (puede realizar cualquier acción en el sistema). Además, el acceso al servidor permite acceder a una subred de administración que no está accesible desde la red LAN de usuarios. Existe un parche público para corregir la vulnerabilidad. No hay exploit público, pero sí una prueba de concepto que el auditor ha tenido que modificar para explotar la vulnerabilidad de manera correcta.