信息系统脆弱性评估报告v10.docx
《信息系统脆弱性评估报告v10.docx》由会员分享,可在线阅读,更多相关《信息系统脆弱性评估报告v10.docx(26页珍藏版)》请在冰点文库上搜索。
信息系统脆弱性评估报告v10
农银汇理基金管理有限公司
信息系统脆弱性评估报告
上海XXX网络安全技术有限公司
2013年7月
文档基本信息
项目名称
农银汇理基金管理有限公司网站及网上交易安全测试项目
文档名称
农银汇理基金管理有限公司一一信息系统脆弱性评估报告
文档版本
vl.O
正式交付
是
创建日期
7/19/2013
审批要求
批准
扩散范围
农银汇理基金管理有限公司、上海
XXX网络安全技术有限公司
文档批准信息
批准人
所属单位
批准日期
批准意见I
农银汇理基金管理有限公司
7/21/2013
提交1
7/21/2013
提交|
文档审阅信息
审阅人
所属单位
审阅日期
审阅意见
7/21/2013
提交
文档修订信息
文档版本
修订章节
修订日期
作者
修订记录
v1.0
所有
7/21/2013
起草
版权说明
本文件中出现的全部内容,除另有特别注明,版权均属农银汇理基金管理有限公司所有。
任何个人、机构未经农银汇理基金管理有限公司的书面授权许可,不得以任何方式复制或引
用文件的任何片断。
保密申明
本文件包含了来自上海XXX网络安全技术有限公司的可靠、权威的信息,以及农银汇
理基金管理有限公司信息系统的敏感信息,接受这份文件表示同意对其内容保密并且未经上
海XXX网络安全技术有限公司和农银汇理基金管理有限公司书面请求和书面认可,不得复
制,泄露或散布这份文件。
如果你不是有意接受者,请注意对这份文件内容的任何形式的泄露、复制或散布都是被禁止的。
1评估摘要4
2评估综述4
2.1评估背景4
22评估方法5
2.3评估工具5
2.4评估内容5
2.5评估对象6
3评估结果6
3.1总体评价6
3.1.1常见高危风险漏洞列表6
3.1.2主机风险程度列表7
3.1.3操作系统分布8
3.1.4应用类别分布9
3.2高危漏洞详细分析9
4评估总结与安全建议15
4.1评估总结15
4.2安全建议15
附录I原始评估数据17
附录n漏洞危险等级评定标准18
附录川主机风险等级评定标准19
1评估摘要
上海XXX网络安全技术有限公司使用XXX网络卫士脆弱性扫描与管理系统对农银汇
理基金管理有限公司的网站和网上交易相关的主机和网络设备进行了技术脆弱性评估。
本次
对农银汇理基金管理有限公司评估范围内的多个网段的存活设备进行评估,共评估16台有效主机,,其中有8台主机的的安全风险值较高,具体网络风险分布见下图。
网络风险分布
47%
6%
■咼度危险
■比较危险
■相对安全
2评估综述
2.1评估背景
企业对信息技术和服务的依赖意味着自身更容易受到安全威胁的攻击。
为保证企业富有
竞争力,保持现金流顺畅和赢利,以及维护企业的良好商业形象,信息安全的三要素:
保密
性、完整性和可用性都是至关重要的。
对于一个特定的网络,为了实现其网络安全的目标,就是要在网络安全风险评估的基础上,明确系统中所存在的各种安全风险,并制订相应的安全策略,通过网络安全管理和各种网络安全技术的实施,实现网络安全的目标。
安全评估是网络安全防御中的一项重要技术,其原理是根据已知的安全漏洞知识库,通
过评估工具模拟黑客真实的攻击步骤以本地扫描的方式评估对目标可能存在的安全隐患进行逐项检查,评估目标可以包括服务器、交换机、路由器、数据库等各种网络对象和应用服
务对象。
通过安全评估及时发现当前主机、网络设备中存在的漏洞,检测和发现网络系统中
的薄弱环节,根据安全评估结果向系统管理员提供周密可靠的安全性分析报告,为提高整体
信息安全水平提供重要依据。
为了充分了解农银汇理基金管理有限公司信息安全现状,上海XXX网络安全技术有限
公司安全顾问使用XXX网络卫士脆弱性扫描与管理系统对农银汇理基金管理有限公司的主机和网络设备提供技术脆弱性评估。
2.2评估方法
本次对农银汇理基金管理有限公司主机和网络设备进行的安全评估,将利用网络扫描工
具和安全评估工具,检查主机的技术脆弱性,从而识别能被入侵者用来非法进入网络的漏洞。
根据评估结果生成技术脆弱性评估报告,提交评估发现的漏洞信息,包括漏洞存在的位置和
详细描述,便于管理员评估和控制信息安全风险。
2.3评估工具
此次评估所使用的软件及程序主要为:
XXX网络卫士脆弱性扫描与管理系统
网络卫士脆弱性扫描与管理系统是依据GB/T20278-2006设计研发的。
它集成了已知的
信息收集和探测技术,对主机和网络设备可以进行网络扫描,利用网络协议,模拟攻击过程,
向主机发送数据,从返回结果得到主机的脆弱性,进而实现对主机和网络设备的漏洞分析、修补等多种管理功能。
系统在结合CVSS(通用脆弱性评级体系)和等级保护方法的理论下,最终将科学的给出相应的安全分析和可操作的修补处理建议,做到防患于未然。
2.4评估内容
本次技术脆弱性评估工作需要完成以下工作:
执行网络扫描识别扫描范围中的所有系统、服务。
对扫描范围内的系统、服务进行信息收集。
对扫描范围内的系统、服务已知的漏洞进行测试来判断遭受攻击的可能性。
提供安全漏洞修补建议。
提供安全扫描报告。
2.5评估对象
本次农银汇理基金管理有限公司信息技术脆弱性评估对象包括以下设备地址。
检杳项
主机IP
网站系统
XXX
网上交易系统
XXX
路由器、F5、ASA设备
Xxx
3评估结果
3.1总体评价
本次对农银汇理基金管理有限公司评估范围内的16台主机和网络设备进行评估,其中
有8台主机存在较大的安全隐患。
上海XXX网络安全技术有限公司评价农银汇理基金管理
有限公司当前信息系统总体的信息安全风险值较高。
分别从如下几个方面进行分类统计。
3.1.1咼危风险漏洞列表
漏洞名称风险等级岀现次数风险分值应用类别
Oracle2007年4月更新修复多个安全
漏洞
紧急
2
10
数据库
Oracle2010年1月更新修复多个安全
漏洞
紧急
2
10
数据库
OpenSSH版本低于4.4存在多个安全漏洞
高级
6
9.3
通用
Oracle2007年1月更新修复多个安全
漏洞
高级
2
9
数据库
Oracle2007年10月更新修复多个安
全漏洞
高级
2
9
数据库
Oracle2009年7月更新修复多个安全
漏洞
高级
2
9
数据库
Oracle2012年4月更新修复多个安全
漏洞
高级
2
9
数据库
Oracle2008年4月更新修复多个安全
漏洞
高级
2
8.5
数据库
Oracle2009年4月紧急补丁更新修复多个漏洞
高级
2
8.5
数据库
Oracle数据库连接远程缓冲区溢出漏洞
高级
2
8.5
数据库
ApachehttpdWeb服务器拒绝服务漏洞
高级
2
7.8
拒绝服务
SNMP代理默认团体名称检测
高级
2
7.5
SNMF服务相
关
Oracle2010年4月紧急补丁更新修复
多个漏洞
高级
2
7.1
数据库
通过上面高中风险漏洞列表可以看出,在被评估对象中,很多主机和数据库未能及时安
装厂商最新补丁,存在高中风险漏洞。
如果这些漏洞被恶意攻击者利用,攻击者将可以远程
获得管理员权限,就对主机可用性造成很大的破坏,从而严重破坏被扫描信息系统的机密性、完整性。
3.1.2主机风险程度列表
IP地址操作系统高风中风低风风险等风险
险险险级值
192.168.207.178
MicrosoftWindows
Server2008R2Standard
0
0
6
相对安
全
2.5
192.168.207.201
MicrosoftWindows
Server2003ServicePack
2
2
2
3
高度危险
7.8
192.168.207.247
FreeBSD7.3
4
10
2
高度危险
78
192.168.207.250
LinuxKernel
0
1
0
比较危
险
5
192.168.207.253
MicrosoftWindows
Server2003ServicePack
2
3
5
2
高度危险
9
192.168.209.254
LinuxKernel
1
4
0
高度危
险
7.5
172.21.3.1
LinuxKernel2.6
1
3
0
高度危险
9.3
172.21.3.2
LinuxKernel2.6
1
3
0
高度危险
9.3
172.21.3.3
LinuxKernel2.6
1
3
0
高度危险
9.3
172.21.3.4
LinuxKernel2.6
1
3
1
高度危
险
9.3
172.21.201.15
CISCOIOS12.4
0
2
0
比较危险
5
172.21.201.16
CISCOIOS12.4
0
2
0
比较危险
5
172.21.201.18
CISCOIOS12.4
0
3
0
比较危险
5
172.21.201.34
CISCOIOS12.4
1
2
0
比较危险
5
172.21.201.35
CISCOIOS12.4
1
2
0
比较危险
5
172.21.201.7
CISCOIOS12.4
0
2
0
比较危
险
5
172.21.201.8
CISCOIOS12.4
0
2
0
比较危险
5
通过上面风险程度列表可以看出,农银汇理基金管理有限公司当前信息系统中部分主机
风险值较高。
一旦这些漏洞被攻击者或者蠕虫所利用,很有可能导致业务数据失窃、被篡改,
影响网络正常通讯。
上海XXX网络安全技术有限公司建议农银汇理基金管理有限公司对这些网主机立即进行漏洞修补、安全加固,以避免不必要的损失。
3.1.3操作系统分布
受影响系统分布图
通过上面系统分布图可以看出,农银汇理基金管理有限公司当前信息系统中Linux主
机、Windows主机和Cisco网络设备受漏洞影响较多,上海XXX网络安全技术有限公司
建议农银汇理基金管理有限公司对存在高危漏洞的信息系统进行漏洞修补、安全增强。
3.1.4应用类别分布
高风险应用类别分布图
通过上面高风险应用类别分布图可以看出,农银汇理基金管理有限公司当前信息系统中
基于通用应用和服务探测应用较多。
一旦这些漏洞被攻击者或者蠕虫所利用,很有可能导致
业务数据失窃、被篡改,影响网络正常通讯。
上海XXX网络安全技术有限公司建议农银汇
理基金管理有限公司根据应用软件供应商提供的意见对这些网主机立即进行漏洞修补、安全
加固,以避免不必要的损失。
3.2高危漏洞详细分析
通过上面风险程度列表可以看出,农银汇理基金管理有限公司当前信息系统中主机存在
14种高危漏洞,如果这些漏洞被恶意攻击者利用,就对主机可用性造成很大的破坏,从而
严重破坏被扫描信息系统的机密性、完整性。
上海XXX网络安全技术有限公司建议农银汇
理基金管理有限公司对存在高危漏洞的信息系统进行漏洞修补、安全增强。
详细高危漏洞信
息如下:
项目
详细内容
受影响IP地址
172.21.201.35172.21.201.34
漏洞号
23938
漏洞名称
Cisco设备默认密码检测
相关服务
Services/telnet
应用类别
思科产品
危险分值
10
CVE号
CVE-1999-0508
危险等级
紧急
Bugtraq号
相关端口号
23
远程的路由器设置了默认的出厂密码,攻击者可以利用该漏洞获取网络信息,如果」
漏洞描述
'enable'密码也没有设置或者也是出厂密码,那么攻击者就可以利用该漏洞关闭路由
as-
解决办法
为该路由器设置一个安全的密码。
项目
详细内容
受影响IP地址
192.168.207.201192.168.207.247
漏洞号
901203
漏洞名称
ApachehttpdWeb服务器拒绝服务漏洞
相关服务
Services/www
应用类别
拒绝服务
危险分值
7.8
CVE号
CVE-2011-3192|
危险等级
高级
Bugtraq号
49303
相关端口号
80
目标主机上正在运行的Apachehttpdweb服务器在处理某些请求的过程中存在错
漏洞描述
误可被攻击者利用导致该服务器的停止响应。
Apache2的所有版本以及Apache1.3
的所有版本受到此漏洞影响。
解决办法
根据应用供应商评估意见,确定是否需要进行补丁程序修补工作。
执行补丁修补前应进行数据备份,制定回退措施,且需先在测试环境下充分测试后才能执行正式执行补丁修补工作。
项目
详细内容
受影响IP地址
192.168.207.247
漏洞号
900842
漏洞名称
Apache'mod_proxy_ftp'模块命令注入漏洞(Linux)
相关服务
Services/www
应用类别
通用
危险分值
7.5
CVE号
CVE-2009-3095
危险等级
高级
Bugtraq号
36254
相关端口号
80
目标主机上正在运行的Apache存在一个命令注入漏洞。
Apache服务器的
漏洞描述
mod_proxy_ftp模块中存在远程命令注入漏洞,在反向代理配置中,远程攻击者可以]
利用这个漏洞通过创建特制的HTTP认证头绕过预期的访问限制,向FTP服务器发
送任意命令。
版本早于Apache2.2.14受到该漏洞影响。
解决办法
根据应用供应商评估意见,确定是否需要将Apache升级至更高稳定版本。
执行升级前应进行数据备份,制定回退措施,且需先在测试环境下充分测试后才能执行正式升级工作。
项目
详细内容
受影响IP地址
192.168.207.247
漏洞号
800837
漏洞名称
Apache'mod_deflate'拒绝服务漏洞-July09
相关服务
Services/www
应用类别
拒绝服务
危险分值
7.1
CVE号
CVE-2009-1891]
危险等级
高级
Bugtraq号
35623
相关端口号
80
目标主机上正在运行的ApacheHTTP服务器存在拒绝服务漏洞。
Apache的
mod_deflate模块中存在错误,如果使用该模块下载文件并在下载结束之前中断了连」
漏洞描述
接,mod_deflate会消耗100%的CPU资源来压缩文件。
如果同时打开多个文件]
请求并很快中断连接,则几十MB大小的文件就会导致Apache锁死。
ApacheHTTP
服务器版本2.2.11及其之前版本受到该漏洞影响。
|
根据应用供应商评估意见,确定是否需要将Apache升级至更高稳定版本。
执行升级
解决办法
前应进行数据备份,制定回退措施,且需先在测试环境下充分测试后才能执行正式升
级工作。
项目
详细内容
受影响IP地址
192.168.207.247
漏洞号
800827
漏洞名称
Apache'mod_proxy_http.c'拒绝服务漏洞
相关服务
Services/www
应用类别
拒绝服务
危险分值
7.1
CVE号
CVE-2009-1890J
危险等级
高级
Bugtraq号
35565
相关端口号
80
目标主机上正在运行的ApacheHTTP服务器存在一个拒绝服务漏洞。
如果配置了反寸
漏洞描述
向代理,在ApacheHTTP服务器的mod_proxy模块中,mod_proxy_http.c的
stream_reqbody_cl函数没有正确地处理数量超过了Content-Length值的流数据。
远程攻击者可以通过向受影响的代理进程发送特制的请求导致耗尽CPU资源。
ApacheHTTP服务器2.3.3之前的版本受到该漏洞影响。
解决办法
根据应用供应商评估意见,确定是否需要将Apache升级至更高稳定版本。
执行升级前应进行数据备份,制定回退措施,且需先在测试环境下充分测试后才能执行正式升级工作。
项目
详细内容
受影响IP地址
192.168.207.253]
漏洞号
902413
漏洞名称
HP系统管理主页存在多个漏洞
相关服务
Services/www
应用类别
web应用程序滥用
危险分值
9
CVE号
CVE-2011-1540,CVE-2011-1541
危险等级
高级
Bugtraq号
47507,47512
相关端口号
2301
目标主机上正在运行的HP系统管理主页受到多个细节未知的漏洞的影响,可被远程J
漏洞描述
攻击者利用在目标系统上执行任意代码或引起拒绝服务状况的发生。
HP系统管理主页
(SMH)版本低于6.3存在以上漏洞。
]
根据应用供应商评估意见,确定是否需要将HPSMH升级至更高稳定版本。
执行升
解决办法
级前应进行数据备份,制定回退措施,且需先在测试环境下充分测试后才能执行正式
升级工作。
项目
详细内容
受影响IP地址
192.168.207.201
漏洞号
10264
漏洞名称
SNMP代理默认团体名称检测
相关服务
应用类别
SNMP服务相关
危险分值
7.5
CVE号
CVE-1999-0186,CVE-1999-0254,CVE-1999-0516,CVE-1999-0517,
CVE-2004-0311,CVE-2004-1474
危险等级
高级
Bugtraq号
11237,10576,177,2112,6825,7081,7212,7317,9681,986
相关端口号
远程SNMP服务器使用了默认的团体名称。
简单网络管理协议(SNMP)是一个可以远
程管理计算机和网络设备的协议,有两种典型的远程监控模式,它们可以粗略地分为j
"读"和"写"(或者是PUBLIC和PRIVATE)。
如果攻击者能猜出一个PUBLIC团体串
漏洞描述
值,那么他就可以从远程设备读取SNMP数据。
这个信息可能包括:
系统时间、IP
地址、接口、运行着的进程等。
如果攻击者猜出一个PRIVATE团体串值(写入或"完
全控制”),他就有更改远程机器上信息的能力,这会是一个极大的安全漏洞,能让攻
击者成功地破坏网络运行的进程。
如果不需要请禁用远程主机上的SNMP服务,过滤该端口进入的UDP包或者修改
解决办法
默认团体字符串值。
执行前应进行数据备份,制定回退措施,且需先在测试环境下充分测试后才能执行正式工作。
项目
详细内容
受影响IP地址
192.168.209.254
漏洞号
100668
漏洞名称
OpenSSL加密消息语法内存破坏漏洞
相关服务
Services/www
应用类别
拒绝服务
危险分值
7.5
CVE号
CVE-2010-0742|
危险等级
高级
Bugtraq号
40502
相关端口号
443
根据旗标信息得知,目标主机上应用有版本低于0.9.8o/1.0.0a的OpenSSL,其由
漏洞描述
于没有正确地处理加密消息句法(CMS)结构而存在内存破坏漏洞。
成功利用此漏洞允J
许攻击者执行任意代码,失败的攻击尝试也将导致该应用的拒绝服务。
OpenSSL0.9.h
到0.9.8n以及OpenSSL1.0.x版本早于1.0.0a受到此漏洞影响。
解决办法
根据应用供应商评估意见,确定是否需要将级前应进行数据备份,制定回退措施,且需先在测升级工作。
OpenSSL
寸试环境下1
升级至更高稳定版本。
执行升
充分测试后才能执行正式
项目
详细内容
受影响IP地址
172.21.3.3172.21.3.2172.21.3.1172.21.3.4
漏洞号
22466
漏洞名称
OpenSSH版本低于4.4存在多个安全漏洞
相关服务
Services/ssh
应用类别
通用
危险分值
9.3
CVE号
CVE-2006-4924,CVE-2006-4925,CVE-2006-5051,CVE-2006-5052,CVE-2006-5229,
CVE-2007-3102,CVE-2008-4109
危险等级
高级
Bugtraq号
20216,20241,20245
相关端口号
22
目标主机中运行的OpenSSH存在多个安全漏洞:
(1)OpenSSH在处理ssh报文
中多个完全一样的块时存在拒绝服务漏洞,如果启用了ssh协议1的话,则远程攻
击者就可以通过发送特制的ssh报文耗尽CPU资源。
(CVE-2006-4924)
(2)|
OpenSSH的ssh中的packet.c,远程攻击者可以通过发送在NEWKEYS前有
USERAUTH_SUCCESS的无效协议序列,导致newkeys[mode]成为NULL,从而使
系统拒绝服务(崩溃)。
(CVE-2006-4925)(3)OpenSSH4.2及以下版本的SCP工
具实现上存在漏洞,本地攻击者可能利用此漏洞在主机以高权限执行任意命令,从而
漏洞描述
提升自己的权限。
SCP工具在使用system()调用执行外部程序时没有对用户提交的j
参数做充分的检查,本地可以通过提交精心构造的输入数据以高权限执行任意命令。
—|
(CVE-2006-5051和CVE-2008-4109)(4)在可移植的OpenSSH上,远程攻击
者可以通过终止GSSAPI认证来判断用户名是否有效。
(CVE-2006-5052)(5)
OpenSSHportable4.1onSUSELinux及可能的其他平台和版本,并可能在有限的配
置下。
远程攻击者通过计时差异确定有效的用户名(有效用户名比无效用户名的响应
时间长)。
(C