Recientemente se ejecutó un análisis PCI en un servidor web y el resultado fue un error. Algunos de los problemas podrían solucionarse, pero otros simplemente no tienen sentido para mí.
La máquina fue una instalación limpia, solo hay dos cosas ejecutándose, el sitio web .NET 3.5 y el firewall de la aplicación web dotDefender.
Sin embargo hay varios errores similares a:
Vulnerabilidad del servidor web Impacto: /servlet/SessionServlet: se encontró el servlet predeterminado de JRun o Netware WebSphere. Todo el código predeterminado debe eliminarse de los servidores. Factor de riesgo: Medio/Puntuación base CVSS2: 6,4 CVE: CVE-2000-0539
No estoy seguro de qué es esto, pero no puedo encontrar nada en el servidor que se parezca a esto.
Vulnerabilidad del servidor web Impacto: /some.php?=PHPE9568F35- D428-11d2-A769-00AA001ACF42: PHP revela información potencialmente confidencial a través de ciertas solicitudes HTTP que contienen cadenas de CONSULTA específicas. Factor de riesgo: Medio/Puntuación base CVSS2: 5,0
PHP no está instalado. Intentar agregar esa cadena de consulta a cualquier página no hace nada porque la aplicación la ignora. Y al hacer esa phpVersionverificación se obtiene un 404. De manera similar a esto, hay docenas de errores relacionados con JSP y Oracle que tampoco están instalados.
Vulnerabilidad del servidor web Impacto: /admin/database/wwForum.mdb: Web Wiz Forums anterior a 7.5 es vulnerable a ataques de secuencias de comandos entre sitios. El inicio de sesión/contraseña predeterminado es Administrador/letmein Factor de riesgo: Medio/Puntuación base CVSS2: 4,0
Hay varios errores como este, que me dicen que los foros de Web Wiz, Alan Ward A-Cart 2.0, IlohaMail, etc. son todos vulnerables. Estos no están instalados ni se hace referencia a ellos en ningún lugar que pueda encontrar.
Incluso hay referencias a páginas que simplemente no existen, como OpenAutoClassifieds.
¿Alguien puede indicarme la dirección correcta de por qué aparecen estos errores o dónde puedo buscar estos componentes si de hecho están instalados?
Nota: Este sitio web y servidor son para un subdominio del sitio web principal. El sitio web principal se ejecuta en un servidor que ejecuta Apache/PHP, pero no tengo acceso a ese servidor. El informe dice que el subdominio era el sitio que se estaba escaneando, pero ¿es posible que también haya escaneado el sitio principal?
Respuesta1
Respuesta corta: no lo haría.
Respuesta larga: ha sucedido una de tres cosas:
Su auditor escaneó la máquina equivocada, como dijo @HopelessN00b.
(Este es el escenario más probable: usted dice que el sitio PCI es un subdominio y el sitio anterior está en un sitio Apache/PHP, por lo que es muy posible que escanearon ese sitio y encontraron las vulnerabilidades que enumeraron)Su máquina quedó comprometida rápidamente.
(Sí, esto también sucede. Aunque si revisó la máquina y encontró que los resultados de la auditoría no eran válidos, creo que podemos descartarlo).Su auditor de seguridad es un idiota
(¡No contrates a ese tipo!)
Dado que el número 1 es el más probable según lo que nos ha dicho, averigüe qué máquina (nombre de hostyDirección IP) que el auditor escaneó, confirme que es la máquina correcta y, si no es así, vuelva a realizar el escaneo.
También verifique usted mismo esas vulnerabilidades en el servidor principal (y, si realmente son válidas, haga que las partes responsables las solucionen). Se trata de problemas relativamente graves y, aunque puede haber (y de hecho según los estándares PCI)debe) Si hay separación entre el equipo de datos del titular de la tarjeta y sus otros sitios, seguirá generando señales de alerta en su auditoría si no las resuelve.
(Si su sitio principal está en un proveedor de alojamiento compartido que ejecuta todas esas cosas, puede considerar trasladarlo a una caja dedicada o VPS para su tranquilidad).