TALLER DE VULNERABILIDADES DE SEGURIDAD v2

GESTION DE LA SEGURIDAD INFORMATICA

PRESENTADO POR:

JHON ERICK CABARCAS LOPEZ

ALDAIR RAMIRO TURIZO GAMARRA

UNIVERSIDAD DEL SINÚ ELÍAS BECHARA ZAINÚM

SECCIONAL CARTAGENA

ESCUELA DE INGENIERÍA DE SISTEMAS

CARTAGENA-COLOMBIA
FEBRERO 2020
 GESTIÓN DE LA SEGURIDAD INFORMÁTICA
Taller de Vulnerabilidades de Seguridad
Febrero de 2020

A continuación, se detalla una vulnerabilidad detectada en una aplicación concreta. Esta

vulnerabilidad es ficticia y no se corresponde a ninguna vulnerabilidad real.

Se ha detectado un buffer overflow en una aplicación de ofimática que no utiliza ningún servicio de
red. El buffer overflow se da cuando la aplicación intenta abrir un archivo con un path muy largo. Esta
aplicación es principalmente utilizada en los computadores de las oficinas de atención al cliente de
varias sucursales bancarias. Para acceder a la aplicación, una vez se ha iniciado la sesión en el
computador, no hay que hacer ningún login.

El buffer overflow permite a cualquier usuario la ejecución de código arbitrario con permisos de
administrador o root. La vulnerabilidad afecta a la primera versión de la aplicación que se calcula que
todavía utilizan aproximadamente un 10% de los usuarios.

Esta vulnerabilidad tiene asignado un código CVE. De todos modos, no hay ningún exploit disponible
que permita explotarla de forma directa, pero sí que hay scripts que permiten demostrar parcialmente
su existencia. La compañía responsable de la aplicación ha reconocido la existencia de la
vulnerabilidad y las actualizaciones posteriores de la aplicación ya la tienen resuelta.

Para el cálculo del nivel de severidad (score) de las vulnerabilidades existe un sistema llamado
CVSS-SIG el cual permite evaluar mediante unas métricas las vulnerabilidades de forma
estandarizada. Estas métricas están detalladas en la Guía CVSSv2 que pueden encontrar en la URL
https://www.first.org/cvss/v2/guide. Deben consultar esta guía y responder las siguientes preguntas:

a) Pregunta 1: Decir cuáles de las siguientes afirmaciones son ciertas y cuáles son falsas. Es
necesario que se justifique cada respuesta.

1) La métrica base no se utiliza para calcular la métrica de entorno.

2) La métrica temporal se utiliza para calcular la métrica base.

3) La métrica de entorno no tiene ninguna influencia en la métrica base.

4) La métrica temporal se utiliza para calcular la métrica de entorno.

5) Las métricas de impacto dentro de la métrica de entorno evalúan el riesgo potencial que la pérdida
de confidencialidad, integridad o disponibilidad del sistema provocaría, no el riesgo causado por una
vulnerabilidad determinada.

b) Pregunta 2: Para la vulnerabilidad descrita anteriormente, se pide calcular el score CVSSv2. Por
lo tanto, deben detallar las tres métricas, justificar cada parámetro y calcular los scores
correspondientes utilizando las fórmulas que se detallan en la guía CVSSv2. Pueden usar alguna
calculadora CVSSv2, como por ejemplo la que encuentran en NVD en el siguiente enlace:
https://nvd.nist.gov/vuln-metrics/cvss/v2-calculator
 SOLUCIÓN.

1) La métrica base no se utiliza para calcular la métrica de entorno.

 La métrica base cuenta con parámetros que no influyen con la métrica de
entorno, sin embargo, en la métrica entorno hay parámetros que permiten
modificar el impacto de la triada CID en la métrica base, por lo tanto, la
afirmación es VERDADERA.

2) La métrica temporal se utiliza para calcular la métrica base.

 Los parámetros de la métrica temporal no influyen con la métrica base ya que
cada métrica cuenta con parámetros totalmente específicos, por lo tanto, la
afirmación es FALSA.

3) La métrica de entorno no tiene ninguna influencia en la métrica base.

 La métrica entorno tiene parámetros que permiten modificar el impacto de la
métrica base. La afirmación es FALSA.

4) La métrica temporal se utiliza para calcular la métrica de entorno.

 La métrica temporal contiene parámetros que no interfieren con la métrica
entorno, por lo tanto, la afirmación FALSA.

5) Las métricas de impacto dentro de la métrica de entorno evalúan el riesgo

potencial que la pérdida de confidencialidad, integridad o disponibilidad del sistema
provocaría, no el riesgo causado por una vulnerabilidad determinada.
 Los parámetros de impacto de la métrica de entorno si permiten modificar el
impacto de la triada CID en la métrica base, por lo tanto, la afirmación es
VERDADERA.

Métricas Base

Métricas de Explotabilidad

o Acceso Vectorial (AV)

(AV): L
La calificación del acceso vectorial es “L” debido a que buffer overflow
en una aplicación de ofimática que no utiliza ningún servicio de red,
por lo tanto, es de manera local.

o Complejidad de Acceso (AC)

(AC): L
La calificación de la complejidad de acceso es “L” porque no existen
condiciones especiales para el acceso a la vulnerabilidad.
 o Autenticación (AU)
(Au): N
La calificación de la autenticación es “N” ya que no hay ningún
requisito para que el atacante se autentique.

Métricas de Impacto

o Impacto de Confidencialidad (C)

(C): C
La calificación del impacto de confidencialidad es “C”, porque el
atacante tiene permisos de administrador o de root y conlleva a una
exposición total de información, además, el atacante está libre para
leer todos los archivos del sistema, incluyendo la memoria.

o Impacto de Integridad (I)

(I): C
La calificación del impacto de integridad es “C”. La integridad queda
totalmente comprometida ya que el atacante puede alterar la
información.

o Impacto de Disponibilidad (A)

(A): C
La calificación del impacto de disponibilidad es “C”. Al ser un buffer de
overflow, el sistema se pondrá lento y el atacante puede hacer el
recurso completamente no disponible.

Métricas de Puntuación Temporales

o Explotabilidad (E)
(E): POC
La calificación de la explotabilidad es “POC” porque no hay ningún
exploit disponible que permita explotarla de forma directa, sin
embargo, existe un script que permite corroborar su existencia.

o Nivel Remediación (RL)

(RL): OF
La calificación del nivel de remediación es “OF” porque la compañía
reparo la vulnerabilidad con una actualización de la aplicación.

o Informe de Confianza (RC)

(RC): C
La calificación del informe de confianza es “C” porque la compañía
reconoció la existencia de esta vulnerabilidad y fue corregida
posteriormente con una actualización.
Métricas Ambientales

o Daño Potencial Colateral (CDP)

(CDP): N
La calificación para el daño potencial colateral es “N” ya que No hay
potencial de pérdida de vidas, activos físicos o ingresos.

o Distribución Objetivo (TD)

(TD): L
La calificación para la distribución objetivo es “L” porque solo un 10%
de usuarios siguen utilizando esa versión de la aplicación.

o Requisito de Confidencialidad (CR)

(CR): H
La calificación para el requisito de la confidencialidad es “H” porque la
confidencialidad es vulnerada.

o Requisito de Integridad (IR)

(IR): H
La calificación para el requisito de la integridad es “H”
porque la integridad es vulnerada.

o Requisito de Disponibilidad (AR)

(AR): H
La calificación para el requisito de la disponibilidad es “H”
porque la disponibilidad es vulnerada.

El overall de la vulnerabilidad dentro del rango de puntuaciones que van desde 0

hasta 10 fue de 1.4 haciendo esta vulnerabilidad baja.
El vector completo quedaría de la siguiente forma:
CVSS v2=(AV:L/AC:L/Au:N/C:C/I:C/A:C/E:POC/RL:OF/RC:C/CDP:N/TD:L/CR:H/IR:H/AR:H)