信息系统脆弱性评估报告(共19页).doc

精选优质文档-倾情为你奉上农银汇理基金管理有限公司信息系统脆弱性评估报告上海XXX网络安全技术有限公司 2013年7月专心-专注-专业文档基本信息项目名称农银汇理基金管理有限公司网站及网上交易安全测试项目文档名称农银汇理基金管理有限公司信息系统脆弱性评估报告文档版本v1.0正式交付是创建日期7/19/2013审批要求批准扩散范围农银汇理基金管理有限公司、上海XXX网络安全技术有限公司文档批准信息批准人所属单位批准日期批准意见农银汇理基金管理有限公司7/21/2013提交7/21/2013提交文档审阅信息审阅人所属单位审阅日期审阅意见7/21/2013提交文档修订信息文档版本修订章节修订日期作者修订记录v1.0所有7/21/2013起草版权说明本文件中出现的全部内容，除另有特别注明，版权均属农银汇理基金管理有限公司所有。任何个人、机构未经农银汇理基金管理有限公司的书面授权许可，不得以任何方式复制或引用文件的任何片断。保密申明本文件包含了来自上海XXX网络安全技术有限公司的可靠、权威的信息，以及农银汇理基金管理有限公司信息系统的敏感信息，接受这份文件表示同意对其内容保密并且未经上海XXX网络安全技术有限公司和农银汇理基金管理有限公司书面请求和书面认可，不得复制，泄露或散布这份文件。如果你不是有意接受者，请注意对这份文件内容的任何形式的泄露、复制或散布都是被禁止的。目 录1 评估摘要上海XXX网络安全技术有限公司使用XXX网络卫士脆弱性扫描与管理系统对农银汇理基金管理有限公司的网站和网上交易相关的主机和网络设备进行了技术脆弱性评估。本次对农银汇理基金管理有限公司评估范围内的多个网段的存活设备进行评估，共评估16台有效主机,，其中有8台主机的的安全风险值较高，具体网络风险分布见下图。2 评估综述2.1 评估背景企业对信息技术和服务的依赖意味着自身更容易受到安全威胁的攻击。为保证企业富有竞争力，保持现金流顺畅和赢利，以及维护企业的良好商业形象，信息安全的三要素：保密性、完整性和可用性都是至关重要的。对于一个特定的网络，为了实现其网络安全的目标，就是要在网络安全风险评估的基础上，明确系统中所存在的各种安全风险，并制订相应的安全策略，通过网络安全管理和各种网络安全技术的实施，实现网络安全的目标。安全评估是网络安全防御中的一项重要技术，其原理是根据已知的安全漏洞知识库，通过评估工具模拟黑客真实的攻击步骤以本地扫描的方式评估对目标可能存在的安全隐患进行逐项检查，评估目标可以包括服务器、交换机、路由器、数据库等各种网络对象和应用服务对象。通过安全评估及时发现当前主机、网络设备中存在的漏洞，检测和发现网络系统中的薄弱环节，根据安全评估结果向系统管理员提供周密可靠的安全性分析报告，为提高整体信息安全水平提供重要依据。为了充分了解农银汇理基金管理有限公司信息安全现状，上海XXX网络安全技术有限公司安全顾问使用XXX网络卫士脆弱性扫描与管理系统对农银汇理基金管理有限公司的主机和网络设备提供技术脆弱性评估。2.2 评估方法本次对农银汇理基金管理有限公司主机和网络设备进行的安全评估，将利用网络扫描工具和安全评估工具，检查主机的技术脆弱性，从而识别能被入侵者用来非法进入网络的漏洞。根据评估结果生成技术脆弱性评估报告，提交评估发现的漏洞信息，包括漏洞存在的位置和详细描述，便于管理员评估和控制信息安全风险。2.3 评估工具此次评估所使用的软件及程序主要为：XXX网络卫士脆弱性扫描与管理系统网络卫士脆弱性扫描与管理系统是依据GB/T 20278-2006设计研发的。它集成了已知的信息收集和探测技术，对主机和网络设备可以进行网络扫描，利用网络协议，模拟攻击过程，向主机发送数据，从返回结果得到主机的脆弱性，进而实现对主机和网络设备的漏洞分析、修补等多种管理功能。系统在结合CVSS（通用脆弱性评级体系）和等级保护方法的理论下，最终将科学的给出相应的安全分析和可操作的修补处理建议，做到防患于未然。2.4 评估内容本次技术脆弱性评估工作需要完成以下工作：n 执行网络扫描识别扫描范围中的所有系统、服务。n 对扫描范围内的系统、服务进行信息收集。n 对扫描范围内的系统、服务已知的漏洞进行测试来判断遭受攻击的可能性。n 提供安全漏洞修补建议。n 提供安全扫描报告。2.5 评估对象本次农银汇理基金管理有限公司信息技术脆弱性评估对象包括以下设备地址。检查项主机IP网站系统XXX网上交易系统XXX路由器、F5、ASA设备Xxx3 评估结果3.1 总体评价本次对农银汇理基金管理有限公司评估范围内的16台主机和网络设备进行评估，其中有8台主机存在较大的安全隐患。上海XXX网络安全技术有限公司评价农银汇理基金管理有限公司当前信息系统总体的信息安全风险值较高。分别从如下几个方面进行分类统计。3.1.1 高危风险漏洞列表漏洞名称风险等级出现次数风险分值应用类别Oracle 2007 年 4 月更新修复多个安全漏洞紧急210数据库Oracle 2010 年 1 月更新修复多个安全漏洞紧急210数据库OpenSSH 版本低于 4.4 存在多个安全漏洞高级69.3通用Oracle 2007 年 1 月更新修复多个安全漏洞高级29数据库Oracle 2007 年 10 月更新修复多个安全漏洞高级29数据库Oracle 2009 年 7 月更新修复多个安全漏洞高级29数据库Oracle 2012 年 4 月更新修复多个安全漏洞高级29数据库Oracle 2008 年 4 月更新修复多个安全漏洞高级28.5数据库Oracle 2009 年 4 月紧急补丁更新修复多个漏洞高级28.5数据库Oracle 数据库连接远程缓冲区溢出漏洞高级28.5数据库Apache httpd Web 服务器拒绝服务漏洞高级27.8拒绝服务SNMP 代理默认团体名称检测高级27.5SNMP服务相关Oracle 2010 年 4 月紧急补丁更新修复多个漏洞高级27.1数据库通过上面高中风险漏洞列表可以看出，在被评估对象中，很多主机和数据库未能及时安装厂商最新补丁，存在高中风险漏洞。如果这些漏洞被恶意攻击者利用，攻击者将可以远程获得管理员权限，就对主机可用性造成很大的破坏，从而严重破坏被扫描信息系统的机密性、完整性。3.1.2 主机风险程度列表IP地址操作系统高风险中风险低风险风险等级风险值192.168.207.178Microsoft Windows Server 2008 R2 Standard006相对安全2.5192.168.207.201Microsoft Windows Server 2003 Service Pack 2 223高度危险7.8192.168.207.247FreeBSD 7.34102高度危险78192.168.207.250Linux Kernel010比较危险5192.168.207.253Microsoft Windows Server 2003 Service Pack 2352高度危险9192.168.209.254Linux Kernel 140高度危险7.5172.21.3.1Linux Kernel 2.6130高度危险9.3172.21.3.2Linux Kernel 2.6130高度危险9.3172.21.3.3Linux Kernel 2.6130高度危险9.3172.21.3.4Linux Kernel 2.6131高度危险9.3172.21.201.15CISCO IOS 12.4020比较危险5172.21.201.16CISCO IOS 12.4020比较危险5172.21.201.18CISCO IOS 12.4030比较危险5172.21.201.34CISCO IOS 12.4120比较危险5172.21.201.35CISCO IOS 12.4120比较危险5172.21.201.7CISCO IOS 12.4020比较危险5172.21.201.8CISCO IOS 12.4020比较危险5通过上面风险程度列表可以看出，农银汇理基金管理有限公司当前信息系统中部分主机风险值较高。一旦这些漏洞被攻击者或者蠕虫所利用，很有可能导致业务数据失窃、被篡改，影响网络正常通讯。上海XXX网络安全技术有限公司建议农银汇理基金管理有限公司对这些网主机立即进行漏洞修补、安全加固，以避免不必要的损失。3.1.3 操作系统分布通过上面系统分布图可以看出，农银汇理基金管理有限公司当前信息系统中Linux主机、Windows主机和Cisco 网络设备受漏洞影响较多，上海XXX网络安全技术有限公司建议农银汇理基金管理有限公司对存在高危漏洞的信息系统进行漏洞修补、安全增强。3.1.4 应用类别分布通过上面高风险应用类别分布图可以看出，农银汇理基金管理有限公司当前信息系统中基于通用应用和服务探测应用较多。一旦这些漏洞被攻击者或者蠕虫所利用，很有可能导致业务数据失窃、被篡改，影响网络正常通讯。上海XXX网络安全技术有限公司建议农银汇理基金管理有限公司根据应用软件供应商提供的意见对这些网主机立即进行漏洞修补、安全加固，以避免不必要的损失。3.2 高危漏洞详细分析通过上面风险程度列表可以看出，农银汇理基金管理有限公司当前信息系统中主机存在14种高危漏洞，如果这些漏洞被恶意攻击者利用，就对主机可用性造成很大的破坏，从而严重破坏被扫描信息系统的机密性、完整性。上海XXX网络安全技术有限公司建议农银汇理基金管理有限公司对存在高危漏洞的信息系统进行漏洞修补、安全增强。详细高危漏洞信息如下： 项目详细内容受影响IP地址172.21.201.35 172.21.201.34漏洞号23938漏洞名称Cisco 设备默认密码检测相关服务Services/telnet应用类别思科产品危险分值10CVE号CVE-1999-0508危险等级紧急Bugtraq号相关端口号23漏洞描述远程的路由器设置了默认的出厂密码，攻击者可以利用该漏洞获取网络信息，如果 'enable' 密码也没有设置或者也是出厂密码，那么攻击者就可以利用该漏洞关闭路由器。解决办法为该路由器设置一个安全的密码。项目详细内容受影响IP地址192.168.207.201 192.168.207.247漏洞号漏洞名称Apache httpd Web 服务器拒绝服务漏洞相关服务Services/www应用类别拒绝服务危险分值7.8CVE号CVE-2011-3192危险等级高级Bugtraq号49303相关端口号80漏洞描述目标主机上正在运行的 Apache httpd web 服务器在处理某些请求的过程中存在错误可被攻击者利用导致该服务器的停止响应。Apache 2 的所有版本以及 Apache 1.3 的所有版本受到此漏洞影响。解决办法根据应用供应商评估意见，确定是否需要进行补丁程序修补工作。执行补丁修补前应进行数据备份，制定回退措施，且需先在测试环境下充分测试后才能执行正式执行补丁修补工作。项目详细内容受影响IP地址192.168.207.247漏洞号漏洞名称Apache 'mod_proxy_ftp' 模块命令注入漏洞 (Linux)相关服务Services/www应用类别通用危险分值7.5CVE号CVE-2009-3095危险等级高级Bugtraq号36254相关端口号80漏洞描述目标主机上正在运行的 Apache 存在一个命令注入漏洞。Apache 服务器的 mod_proxy_ftp 模块中存在远程命令注入漏洞，在反向代理配置中，远程攻击者可以利用这个漏洞通过创建特制的 HTTP 认证头绕过预期的访问限制，向 FTP 服务器发送任意命令。版本早于 Apache 2.2.14 受到该漏洞影响。解决办法根据应用供应商评估意见，确定是否需要将 Apache 升级至更高稳定版本。执行升级前应进行数据备份，制定回退措施，且需先在测试环境下充分测试后才能执行正式升级工作。项目详细内容受影响IP地址192.168.207.247漏洞号漏洞名称Apache 'mod_deflate' 拒绝服务漏洞 - July09相关服务Services/www应用类别拒绝服务危险分值7.1CVE号CVE-2009-1891危险等级高级Bugtraq号35623相关端口号80漏洞描述目标主机上正在运行的 Apache HTTP 服务器存在拒绝服务漏洞。Apache 的 mod_deflate 模块中存在错误，如果使用该模块下载文件并在下载结束之前中断了连接，mod_deflate 会消耗 100% 的 CPU 资源来压缩文件。如果同时打开多个文件请求并很快中断连接，则几十 MB 大小的文件就会导致 Apache 锁死。Apache HTTP 服务器版本 2.2.11 及其之前版本受到该漏洞影响。解决办法根据应用供应商评估意见，确定是否需要将 Apache 升级至更高稳定版本。执行升级前应进行数据备份，制定回退措施，且需先在测试环境下充分测试后才能执行正式升级工作。项目详细内容受影响IP地址192.168.207.247漏洞号漏洞名称Apache 'mod_proxy_http.c' 拒绝服务漏洞相关服务Services/www应用类别拒绝服务危险分值7.1CVE号CVE-2009-1890危险等级高级Bugtraq号35565相关端口号80漏洞描述目标主机上正在运行的 Apache HTTP 服务器存在一个拒绝服务漏洞。如果配置了反向代理，在 Apache HTTP 服务器的 mod_proxy 模块中，mod_proxy_http.c 的 stream_reqbody_cl 函数没有正确地处理数量超过了 Content-Length 值的流数据。远程攻击者可以通过向受影响的代理进程发送特制的请求导致耗尽 CPU 资源。Apache HTTP 服务器 2.3.3 之前的版本受到该漏洞影响。解决办法根据应用供应商评估意见，确定是否需要将 Apache 升级至更高稳定版本。执行升级前应进行数据备份，制定回退措施，且需先在测试环境下充分测试后才能执行正式升级工作。项目详细内容受影响IP地址192.168.207.253漏洞号漏洞名称HP 系统管理主页存在多个漏洞相关服务Services/www应用类别web应用程序滥用危险分值9CVE号CVE-2011-1540,CVE-2011-1541危险等级高级Bugtraq号47507,47512相关端口号2301漏洞描述目标主机上正在运行的 HP 系统管理主页受到多个细节未知的漏洞的影响，可被远程攻击者利用在目标系统上执行任意代码或引起拒绝服务状况的发生。HP 系统管理主页 (SMH) 版本低于 6.3 存在以上漏洞。解决办法根据应用供应商评估意见，确定是否需要将  HP SMH 升级至更高稳定版本。执行升级前应进行数据备份，制定回退措施，且需先在测试环境下充分测试后才能执行正式升级工作。项目详细内容受影响IP地址192.168.207.201漏洞号10264漏洞名称SNMP 代理默认团体名称检测相关服务应用类别SNMP服务相关危险分值7.5CVE号CVE-1999-0186,CVE-1999-0254,CVE-1999-0516, CVE-1999-0517,CVE-2004-0311,CVE-2004-1474危险等级高级Bugtraq号11237,10576,177,2112,6825,7081,7212,7317,9681,986相关端口号漏洞描述远程 SNMP 服务器使用了默认的团体名称。简单网络管理协议(SNMP)是一个可以远程管理计算机和网络设备的协议，有两种典型的远程监控模式，它们可以粗略地分为"读"和"写"(或者是 PUBLIC 和 PRIVATE )。如果攻击者能猜出一个 PUBLIC 团体串值，那么他就可以从远程设备读取 SNMP 数据。这个信息可能包括：系统时间、IP地址、接口、运行着的进程等。如果攻击者猜出一个 PRIVATE 团体串值(写入或"完全控制")，他就有更改远程机器上信息的能力，这会是一个极大的安全漏洞，能让攻击者成功地破坏网络运行的进程。解决办法如果不需要请禁用远程主机上的 SNMP 服务，过滤该端口进入的 UDP 包或者修改默认团体字符串值。执行前应进行数据备份，制定回退措施，且需先在测试环境下充分测试后才能执行正式工作。项目详细内容受影响IP地址192.168.209.254漏洞号漏洞名称OpenSSL 加密消息语法内存破坏漏洞相关服务Services/www应用类别拒绝服务危险分值7.5CVE号CVE-2010-0742危险等级高级Bugtraq号40502相关端口号443漏洞描述根据旗标信息得知，目标主机上应用有版本低于 0.9.8o/1.0.0a 的 OpenSSL，其由于没有正确地处理加密消息句法(CMS)结构而存在内存破坏漏洞。成功利用此漏洞允许攻击者执行任意代码，失败的攻击尝试也将导致该应用的拒绝服务。OpenSSL 0.9.h 到 0.9.8n 以及 OpenSSL 1.0.x 版本早于 1.0.0a 受到此漏洞影响。解决办法根据应用供应商评估意见，确定是否需要将 OpenSSL升级至更高稳定版本。执行升级前应进行数据备份，制定回退措施，且需先在测试环境下充分测试后才能执行正式升级工作。项目详细内容受影响IP地址172.21.3.3 172.21.3.2 172.21.3.1 172.21.3.4漏洞号22466漏洞名称OpenSSH 版本低于 4.4 存在多个安全漏洞相关服务Services/ssh应用类别通用危险分值9.3CVE号CVE-2006-4924,CVE-2006-4925,CVE-2006-5051,CVE-2006-5052,CVE-2006-5229,CVE-2007-3102,CVE-2008-4109危险等级高级Bugtraq号20216,20241,20245相关端口号22漏洞描述目标主机中运行的 OpenSSH 存在多个安全漏洞： （1）OpenSSH 在处理 ssh 报文中多个完全一样的块时存在拒绝服务漏洞，如果启用了 ssh 协议1的话，则远程攻击者就可以通过发送特制的 ssh 报文耗尽CPU资源。（CVE-2006-4924） （2）OpenSSH 的 ssh 中的 packet.c ，远程攻击者可以通过发送在 NEWKEYS 前有 USERAUTH_SUCCESS 的无效协议序列，导致 newkeysmode 成为 NULL，从而使系统拒绝服务(崩溃)。（CVE-2006-4925） （3）OpenSSH 4.2 及以下版本的 SCP 工具实现上存在漏洞，本地攻击者可能利用此漏洞在主机以高权限执行任意命令，从而提升自己的权限。SCP 工具在使用 system() 调用执行外部程序时没有对用户提交的参数做充分的检查，本地可以通过提交精心构造的输入数据以高权限执行任意命令。（CVE-2006-5051 和 CVE-2008-4109） （4）在可移植的 OpenSSH 上，远程攻击者可以通过终止 GSSAPI 认证来判断用户名是否有效。（CVE-2006-5052） （5）OpenSSH portable 4.1 on SUSE Linux 及可能的其他平台和版本，并可能在有限的配置下。远程攻击者通过计时差异确定有效的用户名(有效用户名比无效用户名的响应时间长)。（CVE-2006-5229） （6）OpenSSH 4.3p2 版本的 linux_audit_record_event 函数中存在未明漏洞, 当在 Fedora Core 6 以及其他可能的系统中运行时,远程攻击者可以借助一个特制的用户名，向一个审计登录日志写入任意字符。（CVE-2007-3102）解决办法根据应用供应商评估意见，确定是否需要将 OpenSSH升级至更高稳定版本。执行升级前应进行数据备份，制定回退措施，且需先在测试环境下充分测试后才能执行正式升级工作。4 安全建议4.1 评估总结通过本次对农银汇理基金管理有限公司信息系统主机实施技术脆弱性评估，我们发现农银汇理基金管理有限公司信息系统主机主要存在如下几个方面的技术脆弱性。一、 信息系统主机操作系统存在多个高中风险漏洞，造成这些漏洞的主要原因是这些主机的操作系统版本太低且没有及时安装厂商发布的安全补丁；二、 信息系统网络设备存在脆弱账号和口令，造成这些漏洞的主要原因是没有执行严格的账号密码管理策略，而且部分操作系统采用了默认出厂配置。针对农银汇理基金管理有限公司信息系统主机存在的技术脆弱性，建议采取如下安全建议进行弥补，提高农银汇理基金管理有限公司信息系统的安全性。4.2 安全建议一、 根据应用软件供应商的评估意见，确定是否将存在严重安全漏洞的信息系统主机操作系统升级到最新版本，并且应用安装厂商最新发布的安全补丁；二、 对存在有严重的安全漏洞的信息系统主机进行手工检查，综合手工检查内容和应用软件供应商意见确定是否进行安全加固工作，加强信息系统主机管理，使用强壮的口令以保护这些主机不让非法攻击者访问；三、 采用远程安全评估系统定期对信息系统主机进行安全检测，了解主机系统补丁安装情况。及时发现安全隐患，在问题出现前得以解决，真正做到未雨绸缪。四、 应设置补丁服务器，定期对系统进行补丁升级，升级时应先在测试环境下充分测试，确认没问题后进行全部升级工作；五、 采用网络入侵检测系统实时了解内部网络中的活动，得到网络中的真实活动情况，特别是存在弱口令的应用服务访问和病毒蠕虫的传播。在出现问题时，能及时找出攻击源和攻击目标，以及攻击活动的更详细信息，为解决问题提供线索；六、 “三分技术、七分管理”。安全管理是安全体系中重要的组成部分，只有统一的、完善的安全策略体系，严谨的管理制度，以及有效的执行才能保证将风险控制在可以接受的程度之内，就算是有新的安全问题，在完善的流程和操作下就能及时、快速的定位、解决；七、 在服务器核心防火墙上配置安全策略限制服务器终端接入方式、网络地址范围。附录 原始评估数据附录 漏洞危险等级评定标准危险程度危险值区域危险程度说明高7<= 漏洞风险值 <= 10攻击者可以远程执行任意命令或者代码，或进行远程拒绝服务攻击。中4 <= 漏洞风险值 < 7攻击者可以远程创建、修改、删除文件或数据，或对普通服务进行拒绝服务攻击。低0 <= 漏洞风险值 < 4攻击者可以获取某些系统、服务的信息，或读取系统文件和数据。附录 主机风险等级评定标准主机风险等级主机风险值区域高度危险7 <= 主机风险值 <= 10比较危险4 <= 主机风险值 < 7相对安全1 <= 主机风险值 < 4比较安全0 <= 主机风险值 < 1