Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Informe de Auditoría SEED 2023
Informe de Auditoría SEED 2023
INFORME DE AUDITORÍA DE
CIBERSEGURIDAD DEL PROYECTO SEED
En base a las Políticas de seguridad de
SmartTag Systems
Auditores
Alejandro Sánchez Aguilar
José Julián Escobar González
29 de junio, 2023
1
RESUMEN. Informe de auditoría de ciberseguridad de la Empresa
SmartTag Systems, junio 2023.
2
RESUMEN. Informe de auditoría de ciberseguridad de la Empresa
SmartTag Systems, junio 2023.
ÍNDICE
Introducción
1.1 Objetivo de la auditoría
1.2 Alcance de la auditoría
1.3 Metodología utilizada
Recopilación de información
3.1 Detalles de hardware y software
Enumeración de activos
4.1 Raspberry Pi (servidor y dispositivo de alta de usuarios RFID)
4.2 ESP32 y RFID
4.3 Servidor DNS (Bind9)
4.4 Servidor web (Apache2)
4.5 Base de datos (PostgreSQL)
4.6 Otros servicios y aplicaciones relevantes
Análisis de vulnerabilidades
5.1 Uso de herramientas; Nikto, Nmap y Nessus
5.2 Resultados de las escaneos y evaluaciones de vulnerabilidades
5.3 Identificación y clasificación de las vulnerabilidades encontradas
3
RESUMEN. Informe de auditoría de ciberseguridad de la Empresa
SmartTag Systems, junio 2023.
Evaluación de configuraciones
4
RESUMEN. Informe de auditoría de ciberseguridad de la Empresa
SmartTag Systems, junio 2023.
Conclusiones y soluciones
13.1 Resumen de los hallazgos y resultados obtenidos
13.2 Implementando soluciones
Anexos
14.1 Detalles técnicos adicionales
14.2 Información adicional relevante
5
RESUMEN. Informe de auditoría de ciberseguridad de la Empresa
SmartTag Systems, junio 2023.
Introducción
6
RESUMEN. Informe de auditoría de ciberseguridad de la Empresa
SmartTag Systems, junio 2023.
Se utilizaron herramientas como Nikto, Nmap y OWASP ZAP para llevar a cabo un
análisis exhaustivo de vulnerabilidades en los sistemas y servicios involucrados.
Además, se realizaron pruebas de pentesting utilizando Metasploit y diversas
herramientas para identificar posibles puntos de entrada no deseados en el sistema
y evaluar la resistencia frente a ataques.
El resultado de esta auditoría es un informe detallado que incluye los hallazgos, las
recomendaciones y las soluciones realizadas para fortalecer la seguridad del
proyecto SEED. Este informe servirá como base para implementar las medidas
necesarias y mejorar la protección de la información y los sistemas involucrados.
Objetivo de la auditoría
7
RESUMEN. Informe de auditoría de ciberseguridad de la Empresa
SmartTag Systems, junio 2023.
Al alcanzar estos objetivos, se busca brindar al proyecto SEED una visión clara de
su estado actual en términos de seguridad, así como establecer una base sólida
para implementar medidas correctivas y preventivas que garanticen la protección
adecuada de la información y los sistemas involucrados.
8
RESUMEN. Informe de auditoría de ciberseguridad de la Empresa
SmartTag Systems, junio 2023.
Alcance de la auditoría
La auditoría se realizó con un enfoque integral y abarcó los siguientes elementos y
aspectos relacionados con el proyecto SEED:
Servidor Apache2
9
RESUMEN. Informe de auditoría de ciberseguridad de la Empresa
SmartTag Systems, junio 2023.
10
RESUMEN. Informe de auditoría de ciberseguridad de la Empresa
SmartTag Systems, junio 2023.
Metodología utilizada
La auditoría se llevará a cabo siguiendo una metodología estructurada que incluye
los siguientes pasos:
Recopilación de información
Ejecución de pruebas
Análisis de hallazgos
Documentación de resultados
11
RESUMEN. Informe de auditoría de ciberseguridad de la Empresa
SmartTag Systems, junio 2023.
ESP32
Dispositivos RFID
Raspberry Pi
Apache2
BIND9
PostgreSQL
Estos componentes y tecnologías forman la base del proyecto SEED, brindando las
funcionalidades necesarias para el control de acceso y la gestión de usuarios
mediante el uso de dispositivos RFID y una infraestructura de servidor.
12
RESUMEN. Informe de auditoría de ciberseguridad de la Empresa
SmartTag Systems, junio 2023.
Recopilación de información
Enumeración de activos
Raspberry Pi (servidor y dispositivo de alta de usuarios RFID)
Se utiliza una Raspberry Pi 4b que funciona como servidor, con un sistema operativo
Linux Ubuntu (Debian) dónde se encuentra el servidor web de Apache, la gestión
de base de datos con PostgreSQL, Bind9 para la configuración de DNS, Python
para desarrollo de scripts, entre otros. Además, tenemos un segundo Raspberry Pi
que sirve como registro de RFID que funciona con Python.
ESP32 y RFID
13
RESUMEN. Informe de auditoría de ciberseguridad de la Empresa
SmartTag Systems, junio 2023.
Utilizamos el servicio de Bind9 para realizar una configuración de DNS que funciona
con un dominio local para el servidor web.
14
RESUMEN. Informe de auditoría de ciberseguridad de la Empresa
SmartTag Systems, junio 2023.
Análisis de vulnerabilidades
Se utilizó Nikto para llevar a cabo un escaneo exhaustivo de los servicios web, como
el servidor Apache2 utilizado en el sistema de login. Nikto busca vulnerabilidades
conocidas, como archivos y directorios sin protección, versiones desactualizadas de
software y configuraciones inseguras.
Nmap se empleó para realizar un escaneo de puertos en los sistemas del proyecto
SEED. Esto ayudó a identificar los puertos abiertos y los servicios que se están
ejecutando en cada uno de ellos. Además, Nmap puede proporcionar información
sobre la versión del software que se está ejecutando, lo que ayuda a identificar
posibles vulnerabilidades asociadas.
15
RESUMEN. Informe de auditoría de ciberseguridad de la Empresa
SmartTag Systems, junio 2023.
El primer escaneo muestra los puertos abiertos y los sistemas que utilizan esos
puertos, el puerto 22 indica que está abierto y corre el servicio SSH, el puerto 53
está abierto y corre el servicio domain, que quiere decir Bind9 para el DNS, el puerto
80 igual está abierto y corre el servicio HTTP que es apache2, el puerto 5432 está
abierto y corre el servicio de PostgreSQL, el puerto 5900 está abierto y corre el
servicio VNC, el puerto 10000 está abierto y corre el servicio snet-sensor-mgmt que
quiere decir que es webmin para la administración gráfica de Bind9.
16
RESUMEN. Informe de auditoría de ciberseguridad de la Empresa
SmartTag Systems, junio 2023.
Este escaneo nos muestra más información acerca del servidor, nos muestra lo
mismo que el escaneo anterior, pero aquí también nos especifica las versiones de
cada servicio que corre en los puertos abiertos del servidor, y finalmente muestra el
sistema operativo que utiliza el servidor, en este caso Linux Kernel 4.15, nos
especifica que es una Raspberry Pi y nos muestra su dirección MAC.
SSH
17
RESUMEN. Informe de auditoría de ciberseguridad de la Empresa
SmartTag Systems, junio 2023.
Bind9
18
RESUMEN. Informe de auditoría de ciberseguridad de la Empresa
SmartTag Systems, junio 2023.
PostgreSQL
19
RESUMEN. Informe de auditoría de ciberseguridad de la Empresa
SmartTag Systems, junio 2023.
Apache
20
RESUMEN. Informe de auditoría de ciberseguridad de la Empresa
SmartTag Systems, junio 2023.
21
RESUMEN. Informe de auditoría de ciberseguridad de la Empresa
SmartTag Systems, junio 2023.
Nikto también informó a cerca de la versión del servicio apache que corre en el
puerto 80 del servidor.
Encontró 7 alertas, una alerta roja, 2 alertas medianas, 3 alertas bajas y 1 alerta
informacional. La alerta roja dice que encontró vulnerabilidades en el servidor web
ante ataques Cross Site Scripting (XSS).
22
RESUMEN. Informe de auditoría de ciberseguridad de la Empresa
SmartTag Systems, junio 2023.
23
RESUMEN. Informe de auditoría de ciberseguridad de la Empresa
SmartTag Systems, junio 2023.
Evaluación de configuraciones
Revisión de las configuraciones de seguridad de los dispositivos y servicios
Existen varios puertos abiertos, como lo son el puerto 22 que utiliza el servicio SSH,
el puerto 53 que utiliza el servicio de Bind, el puerto 80 que utiliza apache2, el puerto
5432 que utiliza PostgreSQL, el puerto 5900 que utiliza el servicio VNC y el puerto
10000 que utiliza el servicio de Webmin.
Se cerraron los puertos dónde se ejecutaban los servicios de VNC y Webmin ya que
no serán utilizados, de igual manera los servicios fueron eliminados.
24
RESUMEN. Informe de auditoría de ciberseguridad de la Empresa
SmartTag Systems, junio 2023.
Se utilizó nmap para realizar ataques de fuerza bruta, nmap cuenta con un script de
explotación que permite realizar un ataque de fuerza bruta mediante el protocolo
SSH con una base de datos de usuarios y contraseñas comunes.
Finalmente, Hydra para realizar ataques de fuerza bruta con la utilización de más
protocolos, usando combinaciones de contraseñas hechas en directorios por
Crunch, y en bases de datos de contraseñas y usuarios comunes.
25
RESUMEN. Informe de auditoría de ciberseguridad de la Empresa
SmartTag Systems, junio 2023.
CVE-2014-6271 (Shellshock)
PostgreSQL
A pesar de haber analizado los archivos de configuración, los accesos a través del
tráfico de red y demás análisis del servicio, se realizó una prueba de pentesting con
Metasploit, con auxiliary/scanner/postgres/postgres_login, lo cual hace un
intento de inicio de sesión inyectando código en diferentes lenguajes de base de
datos, con MySQL, PostgreSQL y Oracle, un ataque que duró aproximadamente 20
minutos y no tuvo éxito.
26
RESUMEN. Informe de auditoría de ciberseguridad de la Empresa
SmartTag Systems, junio 2023.
El ataque de fuerza bruta tuvo una duración de 9 horas y 37 minutos, eso fue lo que
tardó en encontrar la combinación correcta. Se utilizó la herramienta de Crunch para
crear un directorio con todas las combinaciones posibles en base al texto que se le
proporcionó, en este caso, se le indicó que tuviera un límite de fijo de 9 caracteres,
lo cual sabemos que actualmente son los que abarcan la contraseña del servidor.
Se le pasó como parámetro la palabra “utbb” los números del 1 al 9, y un “_”, también
se le indicó que utilizara letras mayúsculas. Con esas simples condiciones logró
crear un directorio con más de 40 millones de combinaciones, era demasiado para
el poco tiempo que al que se le podía dedicar al ataque, así que se redujo a 30 mil.
Para ejecutar el ataque de fuerza bruta se utilizó la herramienta de Hydra, al cual
se le pasó como parámetro el usuario seed con la condición -l, a través del protocolo
ssh a la IP del servidor.
SQL Inyeccion
27
RESUMEN. Informe de auditoría de ciberseguridad de la Empresa
SmartTag Systems, junio 2023.
CVE-2014-6271
28
RESUMEN. Informe de auditoría de ciberseguridad de la Empresa
SmartTag Systems, junio 2023.
auxiliary/scanner/postgres/postgres_login PostgreSQL
SQL Inyeccion
29
RESUMEN. Informe de auditoría de ciberseguridad de la Empresa
SmartTag Systems, junio 2023.
Los niveles de acceso van desde un permiso 777 a las carpetas menos importante,
y para su restricción de direccionamiento con url están protegidas con chown -R
www-data:www-data, para su restricción permanente y estar así hasta su
modificación directamente en el archivo de configuración de apache2, es decir
nuestro servidor.
30
RESUMEN. Informe de auditoría de ciberseguridad de la Empresa
SmartTag Systems, junio 2023.
Es por ello por lo que SEED cuenta con una gran política de seguridad para el medio
de las contraseñas y esto nos hace más cuantitativos en seguridad. ´
Por otra parte, las restricciones de entradas a nuestro sistema, como a base de
datos, modelos de archivos, documentación y estilos de la misma página, están
controlados por el personal que tiene la contraseña, aparte de que para poder
modificar cada documento se le tiene que solicitar permisos directamente a la
persona que lleva la administración de permisos dentro del servidor.
31
RESUMEN. Informe de auditoría de ciberseguridad de la Empresa
SmartTag Systems, junio 2023.
Las políticas están comprobadas y evaluadas punto por punto lo que las hace
políticas de seguridad seguras.
Los procedimientos claros desde su origen de cada incidente para garantizar una
respuesta eficiente y efectiva ante cualquier evento de seguridad que pueda ocurrir
en una organización, es por ello por lo que tenemos puntos importantes y recalcados
en las políticas de estos datos como los siguientes, son puntos que debemos tener
en alerta y así responder al instante cuando pase cualquier suceso relacionado con
un incidente.
32
RESUMEN. Informe de auditoría de ciberseguridad de la Empresa
SmartTag Systems, junio 2023.
33
RESUMEN. Informe de auditoría de ciberseguridad de la Empresa
SmartTag Systems, junio 2023.
En el segundo 142, había 126 conexiones cerradas y 874 conexiones aún activas y
el servicio estaba disponible para todas las 1000 conexiones, en el segundo 160,
se cerraron un total de 957 conexiones, y solo quedaban 43 conexiones activas. El
servicio seguía disponible para las 1000 conexiones restantes.
34
RESUMEN. Informe de auditoría de ciberseguridad de la Empresa
SmartTag Systems, junio 2023.
La primera regla ACCEPT tcp -- anywhere anywhere tcp dpt:ssh permite el tráfico
TCP entrante al puerto 22 (SSH). La siguiente regla DROP tcp -- anywhere
anywhere tcp flags:FIN,SYN,RST,ACK/SYN #conn src/32 > 50 deniega el tráfico
TCP entrante que tenga la combinación de banderas FIN, SYN, RST, ACK y SYN
establecida, y que exceda las 50 conexiones por segundo desde una misma
dirección IP. La tercera regla ACCEPT all -- anywhere anywhere permite todo el
tráfico entrante, independientemente del protocolo o puerto.
Las dos últimas reglas ACCEPT tcp -- anywhere anywhere tcp dpt:ssh y ACCEPT
tcp -- anywhere anywhere tcp dpt:http permiten el tráfico TCP entrante a los
puertos 22 (SSH) y 80 (HTTP), respectivamente.
35
RESUMEN. Informe de auditoría de ciberseguridad de la Empresa
SmartTag Systems, junio 2023.
Se utiliza gunzip para descomprimir el archivo SQL, después se usa psql para
acceder a la base de datos de PostgreSQL y restaurar los datos de ese archivo.
36
RESUMEN. Informe de auditoría de ciberseguridad de la Empresa
SmartTag Systems, junio 2023.
Conclusiones y soluciones
Implementando soluciones
Ataques DDoS
SQL Inyeccion
37
RESUMEN. Informe de auditoría de ciberseguridad de la Empresa
SmartTag Systems, junio 2023.
Apache
La alerta roja que nos dio OWASP se refiere a una posible vulnerabilidad de cross-
site scripting (XSS) en la URL del formulario de inicio de sesión. El valor del
parámetro "error" en la URL que tenemos en el código parece es una cadena que
contiene código de script y se modificó en base a la solución de código que nos
ofreció.
response=$(curl -s -i -X POST -d
"usuario=Alex&password=utbb2023&csrf_token=9d488c7c0636b802c9b62f74
ebdbbae47b96f5209185e535e1eaf6d354f0bb28"
http://www.seed.com.mx/view/home/verificar2.php)
echo "$response"
38
RESUMEN. Informe de auditoría de ciberseguridad de la Empresa
SmartTag Systems, junio 2023.
Las demás banderas son de riesgo medio, riesgo bajo, y las azules son solamente
informativas. La única bandera de riesgo medio Content Security Policy (CSP) es
para los archivos de páginas de errores y también porque las imágenes tienen todos
los permisos para los usuarios en el servidor.
39
RESUMEN. Informe de auditoría de ciberseguridad de la Empresa
SmartTag Systems, junio 2023.
SSH
Anexos
Detalles técnicos adicionales
Herramientas utilizadas:
SQLmap: Herramienta para realizar ataques SQL Inyeccion al servidor web, y para
análisis de vulnerabilidades en el puerto 5432.
40
RESUMEN. Informe de auditoría de ciberseguridad de la Empresa
SmartTag Systems, junio 2023.
cURL: Se utilizó la herramienta para intentar iniciar sesión desde una herramienta
externa para verificar que la bandera httponly estuviera bien configurada y para
verificar la seguridad de los tokens de los usuarios.
Procedimiento de auditoría
41
RESUMEN. Informe de auditoría de ciberseguridad de la Empresa
SmartTag Systems, junio 2023.
Recomendaciones adicionales
42
RESUMEN. Informe de auditoría de ciberseguridad de la Empresa
SmartTag Systems, junio 2023.
aplicación en el teléfono móvil del usuario. Esto dificulta aún más el acceso no
autorizado incluso si se compromete la contraseña.
43
RESUMEN. Informe de auditoría de ciberseguridad de la Empresa
SmartTag Systems, junio 2023.
44