# Модуль 1. Введение в уязвимости ## Практическое задание №1 ### Задание 1.1 Описание уязвимости: ``` В корпоративной сети крупной финансовой организации была обнаружена уязвимость в системе управления конфигурациями серверов. Система управления конфигурациями используется для автоматизации развертывания и поддержания состояния серверов, включая веб-серверы, базы данных и приложения. Уязвимость позволяет злоумышленнику, имеющему доступ к сети, удаленно модифицировать конфигурационные файлы серверов без аутентификации. Это может привести к изменению поведения серверов, внедрению вредоносного кода или даже полному отказу в обслуживании. Серверы доступны из интернета через брандмауэр и прокси-сервер, но уязвимость в системе управления конфигурациями может быть эксплуатирована только через внутреннюю сеть. Базы данных содержат конфиденциальную информацию клиентов и финансовые данные. ``` Действовать, проводя оценку, будем из того, что с помощью данной уязвимости можно воздействовать и на саму уязвимую систему. Для данной уязимости я предлагаю установить следующие метрики | Metric | Value | Comment | | ----- | ----- | ----- | | | **Exploitability Metrics** | | | Attack Vector (AV) | Adjacent (A) | Уязвимость в системе управления конфигурациями может быть эксплуатирована только через внутреннюю сеть | | Attack Complexity (AC) | Low (L) | Информации о сложности нет, поэтому предполагаем -- низкую сложность | | Attack Requirements (AT) | Present (P) | Для проведения атаки необходимо знать архитектуру внутернней сети (какие устройства, за что отвечают) | | Privileges Required (PR) | None (N) | Аутентификация не требуется | | User Interaction (UI) | None (N) | Взаимодействие с пользователями не требуется | | | **Vulnerable System Impact Metrics** | | | Confidentiality (VC) | High (H) | В случае, если система управления конфигурациями может управлять в том числе собой, то согласно тому, что может быть внедрен вредоносный код -- нарушение конфиденциальности является высоким | | Integrity (VI) | High (H) | Аналогично VC, целостность может быть нарушена | | Availability (VA) | High (H) | Возможен полный отказ в обслуживании | | | **Subsequent System Impact Metrics** | | | Confidentiality (SC) | High (H) | согласно тому, что может быть внедрен вредоносный код -- нарушение конфиденциальности является высоким | | Integrity (SI) | High (H) | Аналогично VC, целостность может быть нарушена | | Availability (SA) | High (H) | Возможен полный отказ в обслуживании | ### Итог задания 1.1 Вектор CVSS:4.0/AV:A/AC:L/AT:P/PR:N/UI:N/VC:H/VI:H/VA:H/SC:H/SI:H/SA:H Метрика CVSS v4.0 Score: 9.0 / Critical # Итог практического задания На этом практическое задание окончено, файл отчет в формате pdf во вложении. Выполнил: Харитонов Марат Русланович, студенческий билет №М235314.