Por que uma varredura PCI falharia devido a componentes que não estão instalados?

Navegue suas respostas
2

Recentemente, uma verificação PCI foi executada em um servidor da Web e o resultado foi uma falha. Alguns dos problemas podem ser resolvidos, mas outros simplesmente não fazem sentido para mim.

A máquina era uma instalação limpa, existem apenas duas coisas em execução, o site .NET 3.5 e o firewall do aplicativo da web dotDefender.

No entanto, existem vários erros semelhantes a:

Web server vulnerability Impact: /servlet/SessionServlet: JRun or Netware WebSphere default servlet found. All default code should be removed from servers. Risk Factor: Medium/ CVSS2 Base Score: 6.4 CVE: CVE-2000-0539

Não tenho certeza do que é isso, mas não consigo encontrar nada no servidor que se pareça com isso.

Web server vulnerability Impact: /some.php?=PHPE9568F35- D428-11d2-A769-00AA001ACF42: PHP reveals potentially sensitive information via certain HTTP requests that contain specific QUERY strings. Risk Factor: Medium/ CVSS2 Base Score: 5.0

O PHP não está instalado. Tentar adicionar essa cadeia de consulta a qualquer página não faz nada porque o aplicativo a ignora. E fazendo isso phpVersion check resulta em um 404. Similar a isso, existem dezenas de erros relacionados ao JSP e ao Oracle que também não estão instalados.

Web server vulnerability Impact: /admin/database/wwForum.mdb: Web Wiz Forums pre 7.5 is vulnerable to Cross-Site Scripting attacks. Default login/pass is Administrator/letmein Risk Factor: Medium/ CVSS2 Base Score: 4.0

Existem vários erros como este, dizendo-me que os fóruns da Web Wiz, o Alan Ward A-Cart 2.0, o IlohaMail, etc. estão todos vulneráveis. Estes não são instalados ou referenciados em qualquer lugar que eu possa encontrar.

Existem até referências a páginas que simplesmente não existem, como o OpenAutoClassifieds.

Alguém pode me apontar a direção certa de por que esses erros estão aparecendo ou onde eu poderia procurar esses componentes se eles estivessem de fato instalados?

Observação: este site e servidor são para um subdomínio do site principal. O site principal é executado em um servidor que está executando o Apache / PHP, mas eu não tenho acesso a esse servidor. O relatório diz que o subdomínio era o site que estava sendo varrido, mas é possível que ele tenha varrido o site principal também?

    
por Brandon 28.08.2012 / 17:26

1 resposta

3

Resposta curta: não seria.

Resposta longa: uma de três coisas aconteceu:

  1. Seu auditor examinou a máquina errada, como o @ HopelessN00b disse.
    (Este é o cenário mais provável - Você diz que o site PCI é um subdomínio e o site acima está em um site Apache / PHP, então é totalmente possível que eles tenham varrido o site e encontrado as vulnerabilidades listadas)

  2. A sua máquina ficou comprometida rapidamente.
    (Sim, isso também acontece - embora se você verificou a máquina e achou os resultados da auditoria inválidos, acho que podemos descartá-la).

  3. Seu auditor de segurança é um idiota
    (Não contrate esse cara!)

Como o número 1 é o mais provável com base no que você nos disse, descubra qual máquina (hostname e endereço IP) o auditor examinou, confirme se é a máquina correta e, se não estiver faça a verificação refeita.

Verifique também essas vulnerabilidades contra o servidor principal (e se elas forem de fato válidas, faça as partes responsáveis corrigi-las). Esses são problemas relativamente sérios, e mesmo que haja (e de fato pelos padrões PCI deve ) haver separação entre o equipamento de dados do portador do cartão e seus outros sites, você continuará a aumentar bandeiras vermelhas na sua auditoria, se você não as resolver.
(Se o seu site principal estiver em um provedor de hospedagem compartilhada que esteja executando todas essas ações, convém movê-lo para uma caixa dedicada ou VPS para sua própria paz de espírito.)

    
por 28.08.2012 / 18:09

Tags

Proxy do webmin com nginx [fechado] É seguro usar o S3 sobre HTTP do EC2, ao contrário do HTTPS