marker/sf
1
0
Fork 0
Code Issues Pull Requests Packages Projects Releases Wiki Activity
Files
bad
sf/02-pentest/02-vuln/01-cvss/1.1.md
Marat Kharitonov 40899bcd4b refactored. 01-02-03 done
2024-03-26 19:36:57 -04:00

4.5 KiB
Raw Permalink Blame History

Модуль 1. Введение в уязвимости

Практическое задание №1

Задание 1.1

Описание уязвимости:

В корпоративной сети крупной финансовой организации была обнаружена уязвимость в системе управления конфигурациями серверов. Система управления конфигурациями используется для автоматизации развертывания и поддержания состояния серверов, включая веб-серверы, базы данных и приложения. Уязвимость позволяет злоумышленнику, имеющему доступ к сети, удаленно модифицировать конфигурационные файлы серверов без аутентификации. Это может привести к изменению поведения серверов, внедрению вредоносного кода или даже полному отказу в обслуживании.

Серверы доступны из интернета через брандмауэр и прокси-сервер, но уязвимость в системе управления конфигурациями может быть эксплуатирована только через внутреннюю сеть. Базы данных содержат конфиденциальную информацию клиентов и финансовые данные.

Действовать, проводя оценку, будем из того, что с помощью данной уязвимости можно воздействовать и на саму уязвимую систему.

Для данной уязимости я предлагаю установить следующие метрики

Metric Value Comment
Exploitability Metrics
Attack Vector (AV) Adjacent (A) Уязвимость в системе управления конфигурациями может быть эксплуатирована только через внутреннюю сеть
Attack Complexity (AC) Low (L) Информации о сложности нет, поэтому предполагаем -- низкую сложность
Attack Requirements (AT) Present (P) Для проведения атаки необходимо знать архитектуру внутернней сети (какие устройства, за что отвечают)
Privileges Required (PR) None (N) Аутентификация не требуется
User Interaction (UI) None (N) Взаимодействие с пользователями не требуется
Vulnerable System Impact Metrics
Confidentiality (VC) High (H) В случае, если система управления конфигурациями может управлять в том числе собой, то согласно тому, что может быть внедрен вредоносный код -- нарушение конфиденциальности является высоким
Integrity (VI) High (H) Аналогично VC, целостность может быть нарушена
Availability (VA) High (H) Возможен полный отказ в обслуживании
Subsequent System Impact Metrics
Confidentiality (SC) High (H) согласно тому, что может быть внедрен вредоносный код -- нарушение конфиденциальности является высоким
Integrity (SI) High (H) Аналогично VC, целостность может быть нарушена
Availability (SA) High (H) Возможен полный отказ в обслуживании

Итог задания 1.1

Вектор CVSS:4.0/AV:A/AC:L/AT:P/PR:N/UI:N/VC:H/VI:H/VA:H/SC:H/SI:H/SA:H

Метрика CVSS v4.0 Score: 9.0 / Critical

Итог практического задания

На этом практическое задание окончено, файл отчет в формате pdf во вложении.

Выполнил: Харитонов Марат Русланович, студенческий билет №М235314.