viernes, 17 de junio de 2022

SAI2021 CSIRT Cedia - Reporte de Alerta/s de Seguridad: UCE, 2022/06

 

 
El CSIRT Cedia remite información y el Equipo de DTIC toma acción correctiva
 
Un ejemplo de la información que se recibe, eliminando la parte crítica 


"Estimados:

Es importante tomar acción referente a este reporte. Tenemos toda la disposición a guiarles para solucionarlo. Pueden llamarnos al ...... para apoyarles en la solución inmediata.

Esta IP tiene el servicio .......  configurado. Estos protocolos deben estar deshabilitados ya que contienen fallas de seguridad que permiten a un atacante hacerse, de forma sencilla, de información confidencial y/o sensitiva de los usuarios de este equipo y, potencialmente, del servidor. Es extremadamente poco deseable que información confidencial de su organización pueda ser obtenida por esta, o cualquier otra, vía y utilizada con fines no autorizados.

A continuación algunas sugerencias para eliminar este problema:
1- Si es un servidor Linux, utilizar ....

2- Si es un servidor Windows, utilizar .... 
3- Si utiliza otro tipo de sistema operativo, verificar las instrucciones para desactivar ....

4- Valorar la posibilidad de apagar este servicio si no se está haciendo un uso consciente de él, esto es: si no se conoce para qué está activo, lo más probable que se pueda desactivar. Esta es, posiblemente, la mejor alternativa.

5- Bloquear el acceso al puerto ..... (y, de ser posible todo intento de conexión entrante este puerto a toda la red). De forma tal que desde internet no se pueda acceder a este puerto del equipo. Esta variante es útil si es que delante de este equipo ustedes mantienen un firewall que les permita realizar dicho bloqueo.

6- Si el equipo pertenece a un proveedor externo, contactar e insistir al proveedor externo hasta que cierren el mencionado puerto.

Sugerencias para mitigar este reporte:
 
Advertencia: Mitigación no significa solución total. Estas son sugerencias que hacemos en el afán de minimizar cualquier impacto a la confidencialidad de la información que puede ser obtenida. Seguramente ustedes pueden proponer e implementar sus propias medidas de mitigación. Esto es: no deben tomarse estas propuestas como las únicas y definitivas soluciones.

1- Validar poner este servicio detrás del WAF del CEDIA. Pueden contactar a ... para obtener mayor información sobre este proceso. Es importante comprender que, una vez implementado el servicio a través del WAF debemos permitir el acceso a esta IP solamente del equipo de WAF del CEDIA y a nadie más.

2- Validar la opción de apagar este servicio mientras se actualiza, reconfigura o cambia el servicio de SSL ofrecido.

3- Limitar el acceso a este servicio a un grupo de redes en que confiemos (ej: las redes de nuestra institución) y que los demás usuarios deban acceder a través de una VPN

4- Limitar el acceso a este servicio a las redes de un país o proveedor de internet determinado, esto no solucionará el problema, pero limitará los lugares desde donde pueden provenir potenciales ataques.

5- Informar responsablemente a los usuarios de los problemas de confidencialidad a que pueden verse sometidos en caso de utilizar este servicio.

De no tomarse medidas actores externos no autorizados pueden aprovechar estos protocolos para acceder a información sensible, confidencial, sensitiva de usuarios y administradores de este equipo.

Validando correcta configuración:
Para validar hemos reconfigurado adecuadamente, o apagado o bloqueado adecuadamente este puerto, podemos ejecutar la siguiente herramienta: ....

En este caso no debería permitir (debería cerrar o rechazar) el intento de establecer comunicación utilizando ..."
 
Por favor revise y sea parte del proyecto
La seguridad es un compromiso de TODOS

CSIRT Proyecto UCE

 

 

No hay comentarios.:

Publicar un comentario

Nota: sólo los miembros de este blog pueden publicar comentarios.