Auditorias de seguridad

Javier Bermejo Higuera

Pablo Blanco Iñigo

Un caso real. RFP, informe e información

de interes

Sareb-Público
INDICE

• RFP

• Confidencialidad

• RFP Auditoria

• Carta de autorización

• Informe

TEMA 3. El proceso y las fases de la auditoría de Sistemas de Información

Sareb-Público
INDICE

• RFP
• Confidencialidad

• RFP Auditoria

• Carta de autorización

• Informe

TEMA 3. El proceso y las fases de la auditoría de Sistemas de Información

Sareb-Público
 RFP
¿Que es un RFP?

Request for proposal → RFP (Solicitud de propuesta)

Principios básicos de una RFP:

• Informa a los proveedores de que una organización posee alguna necesidad y anima a los
proveedores a realizar sus mejores ofertas (técnicas y económicas).
• Requiere que la organización demandante especifique de manera detallada qué se
propone adquirir.
• Alerta a los proveedores de que el proceso de selección es competitivo.
• Permite amplias distribución y respuesta.
• Asegura que los proveedores responden factualmente a los requisitos establecidos.
• Se espera generalmente que siga un proceso estructurado de evaluación y selección, de
modo que una organización pueda demostrar imparcialidad y transparencia.

TEMA 3. El proceso y las fases de la auditoría de Sistemas de Información

Sareb-Público
INDICE

• RFP

• Confidencialidad
• RFP Auditoria

• Carta de autorización

• Informe

TEMA 3. El proceso y las fases de la auditoría de Sistemas de Información

Sareb-Público
 Confidencialidad
En XXX a XXX de XXXX de 201X.

…………………….. con domicilio en ………………….. y CIF nº …………………, está interesado en participar en el proceso de
presentación de propuestas para la provisión de servicios de auditoría de seguridad de IT, sirviendo de base al mismo la información
facilitada por LA EMPRESA, de su propiedad, por cuanto con carácter previo a su inicio, suscribe el presente,

COMPROMISO DE CONFIDENCIALIDAD

Cualquier información técnica y comercial, programas, aplicaciones informáticas, componentes y sistemas que LA EMPRE facilite a EL
PROVEEDOR para la ejecución del contrato tendrán la consideración de Información Reservada, aunque no se haga constar así
expresamente, y sea cual sea el soporte en que esté plasmada.
EL PROVEEDOR se compromete y obliga a utilizar cualquier Información Reservada exclusivamente para cuestiones directamente
relacionadas con la ejecución del contrato. En consecuencia, no dispondrá de la Información Reservada para la realización de otros
trabajos o proyectos.
EL PROVEEDOR no pondrá Información Reservada alguna en conocimiento de terceros por motivo alguno y ni en momento alguno,
incluso tras la finalización y entrega de los productos objeto del presente contrato.
EL PROVEEDOR sólo facilitará el acceso a la Información Reservada al personal de su organización que lo requiera para la debida
ejecución de este contrato y adoptará las medidas adecuadas para evitar su divulgación a personal no autorizado o a terceros.
La puesta a disposición de EL PROVEEDOR de cualquier Información Reservada no implica licencia o cesión de uso, ni confiere a EL
PROVEEDOR derecho alguno de propiedad industrial o intelectual sobre la misma.
A la finalización de la producción y entrega del pedido contratado, EL PROVEEDOR se compromete y obliga a devolver a LA
EMPRESAtoda la Información Reservada, así como a entregar o destruir todos los ejemplares o copias de la misma, en cualquier
soporte.

FIRMA

TEMA 3. El proceso y las fases de la auditoría de Sistemas de Información

Sareb-Público
INDICE

• RFP

• Confidencialidad

• RFP Auditoria
• Carta de autorización

• Informe

TEMA 3. El proceso y las fases de la auditoría de Sistemas de Información

Sareb-Público
 RFP - Auditoría.
1. ALCANCE Y OBJETO DEL CONTRATO
• 1.1. Antecedentes
• 1.2. Objeto

2. REQUISITOS TÉCNICOS
• 2.1. Consideraciones previas
• 2.2. Descripción de los trabajos
• 2.3. Programa de trabajo
• 2.4. Entregables
– 2.4.1. Documentación mínima por servicio
– 2.4.2. Memoria final
– 2.4.3. Documento acreditativo de borrado
• 2.5. Medios técnicos aportados por la Empresa

TEMA 3. El proceso y las fases de la auditoría de Sistemas de Información

Sareb-Público
 RFP - Auditoría.
3. METODOLOGÍA

4. PLANIFICACIÓN
• 4.1. Reunión de lanzamiento
• 4.2. Reuniones de seguimiento
• 4.3. Cierre del proyecto y memoria final

5. DIRECCIÓN Y SEGUIMIENTO DE LOS TRABAJOS

6. FORMA DE EJECUCIÓN
• 6.1. Lugar de realización de trabajos
• 6.2. Control de calidad
• 6.3. Obligaciones de información y documentación
• 6.4. Hitos de facturación
• 6.5. Acuerdos de nivel de servicio

TEMA 3. El proceso y las fases de la auditoría de Sistemas de Información

Sareb-Público
 RFP - Auditoría.
7. PRESENTACIÓN DE LAS OFERTAS TÉCNICAS
• 7.1. Datos generales
• 7.2. Formato de la propuesta técnica (sobre nº 2)

8. CRITERIOS DE VALORACIÓN

TEMA 3. El proceso y las fases de la auditoría de Sistemas de Información

Sareb-Público
 RFP - Auditoría. Puntos relevantes y de interés
1.2. Objeto
• El objeto del contrato es la prestación bajo demanda de servicios de
auditorías de seguridad, tanto de aplicaciones como de sistemas de
información presentes en las infraestructuras de LA EMPRESA, con la
finalidad de conocer sus vulnerabilidades ante posibles ataques
externos o internos, intencionados o no, y aconsejar las medidas
adecuadas para mitigarlos o reducirlos a un nivel aceptable.

• El detalle de los trabajos a realizar por el equipo de trabajo está

recogido en el apartado “2 REQUISITOS TÉCNICOS”.

TEMA 3. El proceso y las fases de la auditoría de Sistemas de Información

Sareb-Público
 RFP - Auditoría. Puntos relevantes y de interés
2.2. Descripción de los trabajos
El alcance del contrato comprende los siguientes tipos de trabajo:

• Auditoría de seguridad de aplicaciones software en ejecución: con la

aplicación en ejecución, y mediante técnicas de hacking, el contratista
analizará la aplicación software en busca de posibles vulnerabilidades
de seguridad. Las pruebas y análisis de seguridad a realizar deberán
incluir, donde proceda, al menos los siguientes: posibilidades de
inyección de código, gestión de sesiones, escalada de privilegios,
pruebas de autorización, gestión de errores, propagación de
vulnerabilidades, posibles exploits que se pudieran usar, pruebas de
denegación de servicio, sistemas de autenticación, posibles
suplantaciones de entrada de datos y de tráfico y comunicaciones, etc.

TEMA 3. El proceso y las fases de la auditoría de Sistemas de Información

Sareb-Público
 RFP - Auditoría. Puntos relevantes y de interés
2.2. Descripción de los trabajos

• Auditoría de código de aplicaciones software: el contratista analizará la

aplicación en busca de posibles vulnerabilidades de seguridad
existentes en el código fuente de la aplicación o en las librerías
empleadas en la misma. Las aplicaciones a analizar podrán hacer uso
de cualquiera de los siguientes lenguajes, no debiendo considerarse el
siguiente listado como definitivo, ya que durante la ejecución del
contrato podrían aparecer nuevas tecnologías en los servicios prestados
por LA EMPRESA:
- Android
- C/C++
- Go
- HTML
- ….
TEMA 3. El proceso y las fases de la auditoría de Sistemas de Información
Sareb-Público
 RFP - Auditoría. Puntos relevantes y de interés
2.2. Descripción de los trabajos

• Auditoría de seguridad contra la intrusión en la red de LA EMPRESA

desde Internet: evaluación de la seguridad de los sistemas de
protección perimetral así como de otros servicios o sistemas que
pudieran estar accesibles desde Internet (routers, IDS’s, firewalls,
servicios VPN, WEB, de correo electrónico, de ficheros y cualesquiera
otros servicios potencialmente accesibles…).

• Auditoría de seguridad contra la intrusión desde una red interna:

evaluación de la seguridad de los sistemas de información de LA
EMPRESA suponiendo que el intruso ha conseguido acceso a una red
interna de la empresa, pudiendo esta red ser la DMZ o cualquier otra
que se indique.

TEMA 3. El proceso y las fases de la auditoría de Sistemas de Información

Sareb-Público
 RFP - Auditoría. Puntos relevantes y de interés
2.2. Descripción de los trabajos

• Auditoría de seguridad de información accesible desde Internet: con el

objeto de identificar toda la información sobre LA EMPRESA, sus redes,
sistemas, organización, u otros, que está accesible desde INTERNET y
que pudiera ser usada para facilitar la labor de un atacante, junto con
las recomendaciones para eliminar o reducir la exposición.

• Auditoría de ingeniería social: con el objeto de comprender como de

vulnerable es LA EMPRESA contra atacantes que hagan uso de
técnicas de ingeniería social, y realizar planes para reducir el riesgo.

TEMA 3. El proceso y las fases de la auditoría de Sistemas de Información

Sareb-Público
 RFP - Auditoría. Puntos relevantes y de interés
2.2. Descripción de los trabajos

Para los servicios de auditoría se definen dos modalidades en lo que a

plazos se refiere:

• Ordinarias: auditorías habituales cuyos plazos se miden en días

laborables.

• Urgentes: auditorías en las cuales, dado su carácter extraordinario en

cuanto a urgencia se refiere, los plazos se miden en días naturales. Por
lo tanto estos plazos deberán cumplirse independientemente de que
haya fines de semana o festivos.

TEMA 3. El proceso y las fases de la auditoría de Sistemas de Información

Sareb-Público
 RFP - Auditoría. Puntos relevantes y de interés
2.4. Entregables
2.4.1. Documentación mínima por servicio

• El contratista deberá proporcionar a LA EMPRESA al menos un informe

de auditoría por servicio. En caso de que el informe presente varias
vulnerabilidades o incidencias a solventar en el servicio auditado, la
dirección técnica de LA EMPRESA podrá solicitar una segunda iteración
sobre la auditoría inicial (con el consiguiente informe).

TEMA 3. El proceso y las fases de la auditoría de Sistemas de Información

Sareb-Público
 RFP - Auditoría. Puntos relevantes y de interés
2.4. Entregables
2.4.1. Documentación mínima por servicio

• Los informes de auditoría incluirán, como mínimo, los siguientes

apartados:

– Objeto y alcance de la auditoría detallando los sistemas,

aplicaciones o servicios auditados.
– Metodología empleada, análisis realizado, clasificación de
vulnerabilidades, estado de seguridad, etc.
– Resultados obtenidos: vulnerabilidades detectadas, descripción de
las vulnerabilidades asignando su nivel de criticidad, evidencias y
recomendaciones de solución para los equipos de desarrollo y de
sistemas de información.

TEMA 3. El proceso y las fases de la auditoría de Sistemas de Información

Sareb-Público
 RFP - Auditoría. Puntos relevantes y de interés
2.4. Entregables
2.4.1. Documentación mínima por servicio

– Otras consideraciones: todas aquellas observaciones relacionadas

con seguridad u otras características (funcionalidad, eficiencia, etc.)
que hayan sido detectadas en las auditorías y que se consideren
relevantes para el correcto funcionamiento.
– Justificación de la factura: se deben indicar todos los datos
relevantes de cara a la facturación de la auditoría, como el tipo de
auditoría realizada, número de horas de perfil auditor empleadas,
justificación de las mismas.
– Conclusiones: resumen de las principales vulnerabilidades
detectadas y recomendaciones de mejora.

TEMA 3. El proceso y las fases de la auditoría de Sistemas de Información

Sareb-Público
 RFP - Auditoría. Puntos relevantes y de interés
3. METODOLOGÍA

• Los licitadores deberán proponer de manera clara la metodología a

seguir durante la ejecución de cada uno de los servicios de auditoría,
cumpliendo los objetivos expuestos en el presente Pliego de
Condiciones Técnicas. El nivel de detalle aportado será como mínimo el
necesario para demostrar que el método propuesto permitirá alcanzar
los objetivos perseguidos.

TEMA 3. El proceso y las fases de la auditoría de Sistemas de Información

Sareb-Público
 RFP - Auditoría. Puntos relevantes y de interés
4.1. Reunión de lanzamiento
[..]

4.2. Reuniones de seguimiento

A raíz de la reunión de lanzamiento y con periodicidad mensual el contratista se
reunirá con la dirección técnica del proyecto de LA EMPRESA, si este lo considera
oportuno, con la finalidad de realizar un seguimiento periódico de las tareas
asociadas al contrato.
• En dicha reunión se revisarán los siguientes puntos:
– Auditorías realizadas en el periodo anterior.
– Auditorías planificadas para el siguiente periodo.
– Seguimiento económico del contrato.
– Incidencias surgidas y áreas de mejora.
4.3. Cierre del proyecto y memoria final
[..]
TEMA 3. El proceso y las fases de la auditoría de Sistemas de Información
Sareb-Público
 RFP - Auditoría. Puntos relevantes y de interés
6. FORMA DE EJECUCIÓN
6.1. Lugar de realización de trabajos

El centro habitual de trabajo serán las oficinas e instalaciones de la

empresa contratista, salvo para aquellos casos en que la prestación del
servicio requiera su realización en otras instalaciones, o en casos
especiales que se justifiquen por motivos de seguridad y confidencialidad.

En caso de discrepancia, prevalecerá el juicio del Director Técnico de LA

EMPRESA.

TEMA 3. El proceso y las fases de la auditoría de Sistemas de Información

Sareb-Público
INDICE

• RFP

• Confidencialidad

• RFP Auditoria

• Carta de autorización
• Informe

TEMA 3. El proceso y las fases de la auditoría de Sistemas de Información

Sareb-Público
 Carta de autorización

LA EMPRESA, con domicilio en XXXXX de XXX y con CIF_______________________, inscrita en el Registro Mercantil
de____________________, autoriza a:
EL PROVEEDOR
a realizar una auditoria de seguridad de sus sitemas de información y comunicaciones, donde se incluye pero no se limita a
diferentes pruebas para comprobar el nivel de ciberseguridad que posee la infraestructura tecnologica. Esta revisión se
realizará con fecha de ____ de ____ de 201X.
Excepto indicación expresa por parte de LA EMPRESA, EL PROVEEDOR NO intentará provocar que los servidores queden
fuera de servicio, del mismo modo que no realizará ataques de denegación de servicios. Sin embargo, dada la naturaleza de
la de la revisión, tales circunstancias podrían presentarse de forma involuntaria, incluso aunque hayamos llevado a cabo la
debida diligencia profesional.
POR TANTO, EL PROVEEDOR DECLINA CUALQUIER TIPO DE RESPONSABILIDAD POR TODOS LOS DAÑOS QUE
PUDIERAN DERIVARSE DIRECTA O INDIRECTAMENTE DE LA REALIZACIÓN DEL “TEST DE INTRUSIÓN”, ENTRE
ELLOS, Y A TÍTULO MERAMENTE INDICATIVO, LOS TIEMPOS SIN SERVICIO, LA PÉRDIDA DE DATOS, ETC.
LA EMPRESA declara que ha leído y está de acuerdo con lo expresado en el presente documento.
Por otra parte, EL PROVEEDOR manifiesta que realizará este trabajo con la debida diligencia profesional y de conformidad a
lo definido en el alcance, de tal manera que, en la medida en que sea posible, no se proceda a la caída o inutilización de los
sistemas informáticos del LA EMPRESA.
El abajo firmante manifiesta que está debidamente autorizado por su representado para autorizar a LA EMPRESA a la
realización del servicio en los términos señalados.
Nombre: __________________________________
Lugar y fecha: __________________________________
Firma y sello: __________________________________

TEMA 3. El proceso y las fases de la auditoría de Sistemas de Información

Sareb-Público
INDICE

• RFP

• Confidencialidad

• RFP Auditoria

• Carta de autorización

• Informe

TEMA 3. El proceso y las fases de la auditoría de Sistemas de Información

Sareb-Público
 Informe
INTRODUCCIÓN
• Antecedentes
– De acuerdo con los términos de nuestra propuesta de servicios
profesionales, de fecha XX de XXXXXX de 201X para la prestación de
servicios sobre una revisión técnica de ciberseguridad, hemos realizado este
informe y sus anexos, preparados para uso exclusivo para personal de LA
EMPRESA, por lo que no deberá ser utilizado para fines distintos a los
descritos, ni ser distribuido a terceras personas sin nuestra autorización.

• Proyecto
– El proyecto consiste en evaluar la seguridad y las medidas necesarias para
solucionar aquellas vulnerabilidades detectadas en la aplicación móvil de LA
EMPRESA, realizadas todas las acciones desde nuestra sede ubicada en
XXXX.

TEMA 3. El proceso y las fases de la auditoría de Sistemas de Información

Sareb-Público
 Informe
• Objetivo
El objetivo principal del documento es dar a conocer las debilidades relativas a la
seguridad de la aplicación auditada y las acciones necesarias para solucionarlas. La
aplicación de dichas medidas está sujeta a los criterios que aporte el cliente para
determinar la criticidad real de cada vulnerabilidad, considerando el impacto que se
pueda tener en caso de explotación exitosa de las vulnerabilidades reportadas.
El análisis de seguridad realizado tiene los objetivos específicos siguientes:

Descubrimiento de vulnerabilidades existentes que puedan comprometer la

seguridad en términos de confidencialidad de la información de los clientes, la
integridad de los datos de los mismos y de la disponibilidad de los servicios
ofrecidos por la aplicación.
Estimar el riesgo que representa cada vulnerabilidad encontrada siempre en
términos de impacto real, probabilidad de ocurrencia y amenazas, si bien se asume
dentro de las amenazas que el atacante tiene conocimientos y habilidades de
hacking para detectar y explotar las vulnerabilidades.
Posibles puntos de mejora y plan de acción para corregir o contrarrestar el
impacto que podrían tener la explotación de las vulnerabilidades.

TEMA 3. El proceso y las fases de la auditoría de Sistemas de Información

Sareb-Público
 Informe
• Objetivo
El objetivo principal del documento es dar a conocer las debilidades relativas a la
seguridad de la aplicación auditada y las acciones necesarias para solucionarlas. La
aplicación de dichas medidas está sujeta a los criterios que aporte el cliente para
determinar la criticidad real de cada vulnerabilidad, considerando el impacto que se
pueda tener en caso de explotación exitosa de las vulnerabilidades reportadas.
El análisis de seguridad realizado tiene los objetivos específicos siguientes:

Descubrimiento de vulnerabilidades existentes que puedan comprometer la

seguridad en términos de confidencialidad de la información de los clientes, la
integridad de los datos de los mismos y de la disponibilidad de los servicios
ofrecidos por la aplicación.
Estimar el riesgo que representa cada vulnerabilidad encontrada siempre en
términos de impacto real, probabilidad de ocurrencia y amenazas, si bien se asume
dentro de las amenazas que el atacante tiene conocimientos y habilidades de
hacking para detectar y explotar las vulnerabilidades.
Posibles puntos de mejora y plan de acción para corregir o contrarrestar el
impacto que podrían tener la explotación de las vulnerabilidades.

TEMA 3. El proceso y las fases de la auditoría de Sistemas de Información

Sareb-Público
 Informe
• Alcance
– Este documento contiene los resultados del plan de pruebas diseño por el
Departamento de Ciberseguridad de XXX a la siguiente aplicación:
• XXXXX
– Las pruebas realizadas han sido ejecutadas durante las fechas desde el
xxx de xxx hasta el xxx de xxx.

• Aspectos positivos
– A continuación, se enumeran aquellos aspectos de seguridad que se han
revisado durante la auditoría y se han identificado como buenas prácticas de
seguridad aplicadas en la aplicación:
• Parámetros correctamente validados
• Token de seguimiento
• Cifrado SSL seguro
• Incidencias
– No se han producido incidencias durante la realización de las pruebas.

TEMA 3. El proceso y las fases de la auditoría de Sistemas de Información

Sareb-Público
 Informe
METODOLOGÍA
Se ha realizado una revisión de todas las aplicaciones de LA EMPRESA con las mismas
herramientas y técnicas de un usuario malintencionado con el objetivo de tratar de encontrar y
explotar las vulnerabilidades del mismo. En estas pruebas no han contemplado cualquier tipo
de prueba que pudiese causar cualquier tipo de denegación de servicio de los sistemas.
Como base para la realización de servicios de seguridad, y más concretamente las auditorías
de seguridad, Hacking ético y pentesting, se utilizan diferentes tipos de metodologías y
estándares internacionalmente difundidos y reconocidos como son:

• OWASP Mobile Project (Open Web Application Security Mobile Project) – Guía de
realización de pruebas de seguridad en aplicaciones móviles. https://www.owasp.org
• OSSTM - Manual de Metodología de pruebas de seguridad de código abierto:
http://www.osstmm.org
• ISSAF - Marco de Evaluación de Sistemas de Información de Seguridad:
http://isstf.sourceforge.net

Como resultado, este informe contiene los diferentes riesgos identificados durante las pruebas
de penetración y todas las recomendaciones necesarias para resolver estas vulnerabilidades.

TEMA 3. El proceso y las fases de la auditoría de Sistemas de Información

Sareb-Público
 Informe
RESUMEN EJECUTIVO
El Departamento de Ciberseguridad de EL PROVEEDOR ha realizado una evaluación de la
seguridad técnica de la infraestructura corporativa desarrollando un plan de pruebas con el
objetivo de realizar una prueba de penetración con el mismo punto de vista de un usuario
malicioso.
Todas las pruebas han sido ejecutadas durante la fecha acordada y se ha incluido pruebas
automáticas y manuales con el fin de cubrir todos los posibles vectores de ataque.

Nivel de seguridad: MUY BAJO (18.0)

Teniendo en cuenta los niveles de impacto de las vulnerabilidades, así como el tiempo
necesario para realizar un ataque explotando las mismas, se ha determinado que el nivel de
seguridad para la aplicación Android es muy bajo.

Esto se debe a que la vulnerabilidad de fuerza bruta obtiene un ratio de explotabilidad del
100% y su CVSS es de 9,0. Por tanto, el resultado final es de 18,0.

TEMA 3. El proceso y las fases de la auditoría de Sistemas de Información

Sareb-Público
 Informe
Evaluación de riesgos
Una vez detectadas y analizadas las vulnerabilidades y el nivel de seguridad del aplicativo, se
exponen los principales riesgos asociados que determinan las acciones que un atacante
podría llevar a cabo.
• Un atacante podría obtener nombres de usuarios y contraseñas de los clientes de la
aplicación a través de intentos repetidos de autenticación.
• Se podría dejar sin servicio el servidor de la aplicación, por lo que está también
perdería la disponibilidad y dejaría de funcionar.
• Debido a una versión desactualizada del servidor, un atacante podría tener control total
de este, pudiendo manipular la interacción con la aplicación, ver archivos, etcétera.
• La aplicación permite que otras aplicaciones interactúen con ella, por lo que se podrían
realizar acciones indebidas por parte de un malware. Estas acciones dependen de los
permisos de la aplicación en cuestión a explotar.
• Al almacenarse los datos de forma local en el teléfono, cualquiera con acceso a este
puede sustraer información sobre la autenticación del usuario propietario del teléfono.
• Cualquier persona puede ver el código de la aplicación para buscar cómo sacar provecho
de ella gracias a esta fuga de información.
Las causas de estas acciones son debidas a las vulnerabilidades que posteriormente se
enumeran, explican y evidencian a lo largo del documento
TEMA 3. El proceso y las fases de la auditoría de Sistemas de Información
Sareb-Público
 Informe
Vulnerabilidades y ocurrencias:
El proceso de auditoría se ha centrado en un enclave crítico de la seguridad de la aplicación
Android. Analizando los resultados obtenidos, se puede afirmar que la aplicación dispone de
8 vulnerabilidades críticas y altas. En la siguiente imagen se muestra el resultado final de
las pruebas:

TEMA 3. El proceso y las fases de la auditoría de Sistemas de Información

Sareb-Público
 Informe
Las vulnerabilidades más relevantes encontradas y que deben tenerse en
consideración son las siguientes:

[Crítica] Múltiples vulnerabilidades en ISS 7.5

Se ha detectado el uso de la versión 7.5 de IIS durante la auditoría. La versión utilizada posee
múltiples vulnerabilidades que ponen en peligro la seguridad del sistema, permitiendo a un
atacante tomar control total de este o dejarlo sin disponibilidad. Los identificadores de dichas
vulnerabilidades son los siguientes:
CVE-2012-2532 CVE-2012-2531 CVE-2010-3972
CVE-2010-2730 CVE-2010-1899 CVE-2010-1256

Para más detalles, véase la referencia “2017-11-LOG-APK-01” en el apartado Informe Técnico.

TEMA 3. El proceso y las fases de la auditoría de Sistemas de Información

Sareb-Público
 Informe
Informe técnico
Descripción detallada de cada una de las pruebas y ficha de cada hallazgo:
Múltiples vulnerabilidades en ISS 7.5 REF: 2017-11-LOG-APK-01
Riesgo Crítica Exposición Internet
Categoría Configuración Subcategoría Versión
CVSS v2 10.0 (AV:N/AC:L/Au:N/C:C/I:C/A:C) Estado Abierta
Activo PRO - com.XXXX.spaintobacconistapp
Descripción
Internet Information Services (IIS) es un servidor web y un conjunto de servicios para el sistema operativo
Microsoft Windows. Originalmente era parte del “Option Pack” para Windows NT. Luego fue integrado en
otros sistemas operativos de Microsoft destinados a ofrecer servicios, como Windows 2000 o Windows Server
2003. Los servicios que ofrece son: FTP, SMTP, NNTP y HTTP/HTTPS.

Este servicio convierte un equipo en un servidor web para Internet o una intranet, es decir, que en los
ordenadores que tienen este servicio instalado se pueden publicar páginas web tanto local como
remotamente.

Se basa en varios módulos que le dan capacidad para procesar distintos tipos de páginas. Por ejemplo,
Microsoft incluye los de Active Server Pages (ASP) y ASP.NET. También pueden ser incluidos los de otros
fabricantes, como PHP o Perl.

Se ha detectado el uso de la versión 7.5 de IIS durante la auditoría. La versión utilizada posee múltiples
vulnerabilidades que ponen en peligro la seguridad del sistema. Los identificadores de dichas vulnerabilidades
son los siguientes:

TEMA 3.CVE-2012-2532
CVE-2010-2730
CVE-2012-2531
El proceso y las fases CVE-2010-3972
de la auditoríaCVE-2010-1256
Sareb-Público
CVE-2010-1899
de Sistemas de Información
 Descripción
Internet Information Services (IIS) es un servidor web y un conjunto de servicios para el sistema operativo
Microsoft Windows. Originalmente era parte del “Option Pack” para Windows NT. Luego fue integrado en
otros sistemas operativos de Microsoft destinados a ofrecer servicios, como Windows 2000 o Windows Server

Informe 2003. Los servicios que ofrece son: FTP, SMTP, NNTP y HTTP/HTTPS.

Este servicio convierte un equipo en un servidor web para Internet o una intranet, es decir, que en los

Informe técnico
ordenadores que tienen este servicio instalado se pueden publicar páginas web tanto local como
remotamente.
Descripción detallada de cada una de las pruebas y ficha de cada hallazgo:
Se basa en varios módulos que le dan capacidad para procesar distintos tipos de páginas. Por ejemplo,
Microsoft incluye los de Active Server Pages (ASP) y ASP.NET. También pueden ser incluidos los de otros
fabricantes, como PHP o Perl.

Se ha detectado el uso de la versión 7.5 de IIS durante la auditoría. La versión utilizada posee múltiples
vulnerabilidades que ponen en peligro la seguridad del sistema. Los identificadores de dichas vulnerabilidades
son los siguientes:

CVE-2012-2532 CVE-2012-2531 CVE-2010-3972

CVE-2010-2730 CVE-2010-1899 CVE-2010-1256

Detalles
Debido a que algunas de las vulnerabilidades detectadas provocan una denegación del servicio no se ha
llevado a cabo ningún tipo de ataque que pudiese poner en peligro su disponibilidad.

Por otra parte, debido a la inaccesibilidad a ciertas funcionalidades afectadas, la inexistencia de exploits
públicos o la inexistencia de información detallada sobre las vulnerabilidades no se ha podido llevar a cabo
un ataque real para explotar alguna de las otras vulnerabilidades aquí presentes no relacionadas con la
denegación de servicio.

Toda la información aquí expuesta está basada únicamente en el “banner” mostrado por el servidor web
afectado, el cual muestra la versión de IIS utilizada.

TEMA 3. El proceso y las fases de la auditoría de Sistemas de Información

Sareb-Público
 Informe
Informe técnico
Descripción detallada de cada una de las pruebas y ficha de cada hallazgo:
Debido a que algunas de las vulnerabilidades detectadas provocan una denegación del servicio no se ha
llevado a cabo ningún tipo de ataque que pudiese poner en peligro su disponibilidad.

Por otra parte, debido a la inaccesibilidad a ciertas funcionalidades afectadas, la inexistencia de exploits
públicos o la inexistencia de información detallada sobre las vulnerabilidades no se ha podido llevar a cabo
un ataque real para explotar alguna de las otras vulnerabilidades aquí presentes no relacionadas con la
denegación de servicio.

Toda la información aquí expuesta está basada únicamente en el “banner” mostrado por el servidor web
afectado, el cual muestra la versión de IIS utilizada.

Impacto
Debido a la existencia de varias vulnerabilidades en el software afectado, un atacante podría:

• Provocar una denegación de servicio.

TEMA 3. El proceso y las fases de la auditoría de Sistemas de Información
Sareb-Público
 Toda la información aquí expuesta está basada únicamente en el “banner” mostrado por el servidor web
afectado, el cual muestra la versión de IIS utilizada.

Informe
Informe técnico
Descripción detallada de cada una de las pruebas y ficha de cada hallazgo:

Impacto
Debido a la existencia de varias vulnerabilidades en el software afectado, un atacante podría:

• Provocar una denegación de servicio.

• Ejecutar código en el servidor de forma remota.

• Aprovecharse de diversas fugas de información.

Recomendaciones
Se recomienda mantener el software actualizado, ya sea mediante parches de seguridad o instalando las
versiones más recientes del producto. Para más información:

https://technet.microsoft.com/en-us/library/security/dn610807.aspx

También es aconsejable, siempre que sea posible, ejecutar este tipo de software con privilegios limitados
para que, en caso de que un atacante consiga ejecutar código mediante una vulnerabilidad del producto, no
posea los máximos privilegios posibles en el sistema.

Para obtener más información, véase el artículo:

TEMA 3. El proceso y las fases de la auditoría de Sistemas de Información

Sareb-Público
 ¿PREGUNTAS?
TEMA 3. El proceso y las fases de la auditoría de Sistemas de Información
Sareb-Público
www.unir.net

Sareb-Público