ÍNDEX
RESUM 2
Visió General 3
Comparativa amb altres usuaris 5
Serveis i IPs inclosos en aquest informe 6
Tràfic 7
Tràfic inbound i outbound 8
Tràfic inbound i outbound per països 8
Tràfic per IP d’origen 9
Aspectes clau 10
Aplicacions 11
Aplicacions per rellevància 12
Aplicacions per nombre d'amenaces (TOP 5) 14
Aspectes clau 16
Amenaces 17
Amenaces bloquejades 19
Aspectes clau 22
Amenaces enregistrades 23
Aspectes clau 25
Autenticació 26
Aspectes clau 31
Dades clau 32
Aspectes clau globals de tota la xarxa 33
Definicions i contramesures 34
Vulnerabilitat per desbordament 35
Atac per força bruta 36
Execució de codi 37
Filtrat d'informació 38
DETALL D'AMENACES 39
Resum d'amenaces 40
Amenaces per Host 42
Host 81.25.000.00 43
Contacta amb un assessor 50
Necessites ajuda sobre l'informe? 51
RESUM
La primera part d'aquest informe es constitueix d'un resum de les dades obtingudes
pel nostre Next Generation Firewall, incloent-se les amenaces, els hosts més afectats i
altres dades estadístiques que permeten al teu equip TI prendre decisions de forma
eficaç.
Informe de seguretat ............................................................................................................................................................................... 2
1Visió General
Informe de seguretat ............................................................................................................................................................................... 3
A continuació es presenta una visió global de les amenaces detectades i
bloquejades durant els darrers 7 dies. Segons els actuals ajustos de
sensibilitat, s'han bloquejat totes les amenaces de perfil MEDIUM, HIGH o
CRITICAL.
A continuació es presenta una visió global de les amenaces detectades i
bloquejades durant els darrers 7 dies. Segons els actuals ajustos de
sensibilitat, s'han bloquejat totes les amenaces de perfil MEDIUM, HIGH o
CRITICAL.
Període: 13/MAI/2018 - 20/MAI/2018
88 amenaces detectades
86 amenaces bloquejades
66 intents d’accés il·legitims
Informe de seguretat ............................................................................................................................................................................... 4
Comparativa amb altres usuaris
Mostrem l'estat de la infraestructura monitorada pel nostre Next Generation Firewall
en comparació amb altres clients per donar una referència del seu estat.
Aplicacions a la xarxa
El nombre d'aplicacions dels hosts inclosos en aquest informe és un +1100% de la
resta d'usuaris.
Aquest informe 24
Altres usuaris 2
Mitja d'amenaces per host
La mitja d'amenaces als hosts inclosos en aquest informe és un -26% de la resta
d'usuaris.
Aquest informe 88
Altres usuaris 119
Mitja d'intents d'intrusió per host
La mitja d'intents d’intrusió als hosts inclosos en aquest informe és un -10% de la resta
d'usuaris.
Aquest informe 66
Altres usuaris 74
Informe de seguretat ............................................................................................................................................................................... 5
Serveis i IPs inclosos en aquest informe
La taula inferior conté la llista de tots els hosts inclosos en aquest informe.
SERVEI IP AMENACES AUTENTICACIÓ ARXIUS
Servidor Cloud 81.25.000.00 88 66 0
Informe de seguretat ............................................................................................................................................................................... 6
2Tràfic
Informe de seguretat ............................................................................................................................................................................... 7
El resum de tràfic presenta informació rellevant sobre les dades transferides
per cada IP o servei, la variació des del darrer informe així com també un
rànquing dels països, aplicacions i protocols més freqüents.
El resum de tràfic presenta informació rellevant sobre les dades transferides
per cada IP o servei, la variació des del darrer informe així com també un
rànquing dels països, aplicacions i protocols més freqüents.
Tràfic inbound i outbound
Es mostra el tràfic de dades de tots els hosts inclosos en aquest informe així com
també la diferència respecte a l'informe anterior. Recomanem vigilar davant de
variacions sobtades.
SERVEI IP INBOUND IN DIFF. OUTBOUND OUT DIFF.
Servidor Cloud 81.25.000.00 12 MB +97% 7 MB +92%
Tràfic inbound i outbound per països
La segmentació de tràfic per països permet detectar connexions possiblement
il·lícites.
INBOUND OUTBOUND
United States 50% Spain 99%
Hong Kong 14% United States <1%
Russian Federa 10% Poland <1%
China 7% Germany <1%
Ireland 5% United Kingdom <1%
Informe de seguretat ............................................................................................................................................................................... 8
Tràfic per IP d’origen
Es mostren les prinicipals direccions IP amb les que els hosts estableixen connexions
entrants i sortints.
INBOUND OUTBOUND
181.214.000.00 26% 81.25.000.00 99%
181.214.000.00 21% 147.156.0.00 <1%
103.249.000.00 13% 147.156.0.00 <1%
5.101.00.00 10% 157.25.0.000 <1%
185.234.000.00 5% 104.16.000.000 <1%
Informe de seguretat ............................................................................................................................................................................... 9
Aspectes clau
L'apartat de tràfic permet detectar anomalíes que podrien ser un indici d'activitat
il·lícita en els hosts. Cada empresa disposa de cicles d'activitat diferents que poden
variar de setmana a setmana. Per aquesta raó que és important comprovar si
qualsevol canvi en els resultats d'aquest informe correspon amb un canvi realitzat a la
companyia (una campanya, un esdeveniment intern, un llançament de producte, etc).
· El host amb major activitat aquesta setmana ha estat Servidor Cloud.
· El pais del qual més tràfic s'ha rebut ha estat United States (inbound) i Spain
(outbound). Són aquests països els esperats?
· Recomanem revisar les direccions IP llistades en aquest informe i assegurar
que es corresponen amb connexions lícites.
Informe de seguretat ............................................................................................................................................................................... 10
3Aplicacions
Informe de seguretat ............................................................................................................................................................................... 11
El nostre Next Generation Firewall permet discriminar el tràfic segons
l'aplicació que l'ha originat. Aquesta característica exclusiva d'un firewall de
capa 7 permet prevenir amenaces, aplicar solucions específiques i detectar
focus de risc amb molta més eficiència.
El nostre Next Generation Firewall permet discriminar el tràfic segons
l'aplicació que l'ha originat. Aquesta característica exclusiva d'un firewall de
capa 7 permet prevenir amenaces, aplicar solucions específiques i detectar
focus de risc amb molta més eficiència.
Aplicacions per rellevància
La taula inferior inclou una llista complerta de totes les aplicacions detectades pel
nostre Next Generation Firewall.
APLICACIÓ SESSIONS INBOUND SESSIONS OUTBOUND AMENACES
smtp 7651 0 11
incomplete 931 0 0
mysql 894 0 55
web-browsing 699 24 14
insufficient-data 104 0 0
unknown-tcp 83 0 10
ssh 81 0 0
pop3 35 0 0
ftp 32 0 0
imap 20 0 0
t.120 12 0 0
ms-rdp 11 0 0
Informe de seguretat ............................................................................................................................................................................... 12
ssl 10 0 0
webdav 8 0 8
socks 7 0 0
http-proxy 4 0 0
irc-base 4 0 0
unknown-udp 3 0 0
ms-ds-smb-base 2 0 0
rsync 2 0 0
oracle 2 0 0
tacacs-plus 2 0 0
rmi-iiop 2 0 0
mssql-db 1 0 0
Informe de seguretat ............................................................................................................................................................................... 13
Aplicacions per nombre d'amenaces (TOP 5)
Aquestes són les 5 aplicacions que han patit més amenaces (bloquejades i no
bloquejades). A l'apartat "Detall d'amenaces" d’aquest informe trobaràs informació
detallada sobre la naturalesa, la prevenció i les tècniques per mitigar cadascuna
d'aquestes amenaces.
mysql
S'han detectat un total de 55 intents d'amenaça per a aquesta aplicació.
AMENACES CATEGORIA RISC INTENTS
MySQL Authentication Brute Force At brute-force HIGH 55
web-browsing
S'han detectat un total de 14 intents d'amenaça per a aquesta aplicació.
AMENACES CATEGORIA RISC INTENTS
Apache Struts Jakarta Multipart Par code-execution CRITICAL 3
Oracle WebLogic WLS Security Compon code-execution HIGH 9
ZmEu Scanner Detection(34605) info-leak LOW 2
smtp
S'han detectat un total de 11 intents d'amenaça per a aquesta aplicació.
AMENACES CATEGORIA RISC INTENTS
MAIL: User Login Brute Force Attemp brute-force HIGH 11
Informe de seguretat ............................................................................................................................................................................... 14
webdav
S'han detectat un total de 8 intents d'amenaça per a aquesta aplicació.
AMENACES CATEGORIA RISC INTENTS
Microsoft IIS WebDAV ScStoragePathF overflow CRITICAL 8
Informe de seguretat ............................................................................................................................................................................... 15
Aspectes clau
Una de les característiques clau del nostre Next Generation Firewall és la seva
capacitat per detectar quina aplicació origina o rep certs tipus de tràfic. Aquesta llista
permet detectar activitat il·lícita en els hosts o tenir constància de quines són les
aplicacions que suposen un major risc.
És imprescindible contrastar les aplicacions d'aquesta llista amb aquelles autoritzades
i conegudes per la companyia.
· Els hosts inclosos en aquest informe han enviat o rebut tràfic mitjançant un
total de 24 aplicacions. La mitja dels nostres clients és de 2 aplicacions.
· L'aplicació més comuna en els hosts inclosos en aquest informe és smtp
(Inbound) i ntp (Outbound).
· Les cinc aplicacions més comunes acumulen un total de 88 vulnerabilitats.
Entre elles, 11 són crítiques. Han de ser preses en consideració
immediatament!
· Les aplicacions més vulnerables en els seus hosts són: mysql,
web-browsing, smtp, webdav
· Si us plau, descarrega l'arxiu CSV des del seu panell de control per conèixer
amb detall totes les amenaces succeïdes per cada aplicació i host afectat.
Informe de seguretat ............................................................................................................................................................................... 16
4Amenaces
Informe de seguretat ............................................................................................................................................................................... 17
A continuació es presenta un resum i llistat de les amenaces detectades pel
nostre servei de seguretat. En primer lloc es presentaran les amenaces que
han estat bloquejades en correspondència amb la sensibilitat triada. Tot
seguit es presenten les amenaces que han estat enregistrades però sobre
les quals el nostre sistema automàtic no ha pres cap mesura addicional.
A continuació es presenta un resum i llistat de les amenaces detectades pel
nostre servei de seguretat. En primer lloc es presentaran les amenaces que
han estat bloquejades en correspondència amb la sensibilitat triada. Tot
seguit es presenten les amenaces que han estat enregistrades però sobre
les quals el nostre sistema automàtic no ha pres cap mesura addicional.
88Total detectades (-35%)
2 86Enregistrades Bloquejades
(amb perfil MEDIUM, HIGH o CRITICAL)
Informe de seguretat ............................................................................................................................................................................... 18
Amenaces bloquejadesEl nostre NGFW ha bloquejat un total de 86 amenaces
amb perfil MEDIUM, HIGH o CRITICAL. Aquesta xifra
representa una variació de -34% respecte a l’anterior
informe.
Amenaces més rellevants (top 5)
Les amenaces mostrades a continuació han estat BLOQUEJADES en temps real. Això
significa que han estat aturades i no han arribat a la seva destinació.
AMENACES CATEGORIA INTENTS CLASSIFICACIÓ
Microsoft IIS WebDAV ScStoragePathFrom overflow 8 CRITICAL
Apache Struts Jakarta Multipart Parser code-execution 3 CRITICAL
MySQL Authentication Brute Force Attem brute-force 55 HIGH
MAIL: User Login Brute Force Attempt(4 brute-force 11 HIGH
Oracle WebLogic WLS Security Component code-execution 9 HIGH
Aplicacions més afectades
Aquestes aplicacions són les que actualment suposen un risc més gran per a la seva
infraestructura al concentrar el major nombre d'amenaces greus.
mysql 63%
web-browsing 13%
smtp 12%
Informe de seguretat ............................................................................................................................................................................... 19
webdav 9%
Informe de seguretat ............................................................................................................................................................................... 20
Origen de les amenaces
Conèixer l'origen de les amenaces pot ser útil a l’hora d’establir mecanismes de
prevenció o regles de filtrat per prevenir altres amenaces.
China 66%
United States 13%
Italy 5%
Korea Republic Of 5%
Netherlands 3%
Destí de les amenaces
La llista de destí d'amenaces permet conèixer quins hosts són els que concentren un
major nombre d'amenaces greus i que requereixen una atención més inmediata per
prevenir possibles factors de risc.
Servidor Cloud 100%
Informe de seguretat ............................................................................................................................................................................... 21
Aspectes clau
Les amenaces són bloquejades pel nostre Next Generation Firewall en temps real
segons la sensibilitat escollida en el panell de control. Totes les amenaces
bloquejades incloses en aquest informe han estat interceptades exitosament i s'ha
impedit que puguin arribar al host destí.
Aquestes amenaces suposen una font d'informació essencial per detectar possibles
vulnerabilitats i poder prendre mesures preventives per protegir els hosts segons el
nivell de risc existent.
· Els perfils de severitat bloquejats han estat: MEDIUM, HIGH o CRITICAL
(segons configuració d'usuari).
· El nostre NGFW ha bloquejat una mitja de 88 intents d'amenaces per host.
La mitja dels nostres clients és de 119 intents d'amenaces per host.
· El nombre d'amenaces bloquejades aquesta setmana ha variat un -34%
respecte l'informe anterior.
· Les aplicacions més afectades són mysql, web-browsing, smtp, webdav. Si
us plau, revisa la configuració de seguretat d'aquestes aplicacions en els
hosts afectats.
· Els tipus d'amenaces més comunes han estat overflow, code-execution,
brute-force.
· L'origen més comú de les amenaces bloquejades ha estat China.
Informe de seguretat ............................................................................................................................................................................... 22
Amenaces enregistradesEl nostre NGFW ha enregistrat, però no bloquejat, un total
de 2 amenaces amb perfil LOW.
Amenaces més rellevants (top 5)
Les amenaces mostrades a continuació han estat enregistrades pel nostre Next
Generation Firewall però no aturades degut a que no tenen una severitat prou alta
segons l'actual configuració d'usuari.
AMENACES CATEGORIA INTENTS CLASSIFICACIÓ
ZmEu Scanner Detection(34605) info-leak 2 LOW
Aplicacions més afectades
Aquestes aplicacions concentren el major nombre d'amenaces que han estat
detectades.
web-browsing 100%
Informe de seguretat ............................................................................................................................................................................... 23
Origen de les amenaces
Conèixer l'origen de les amenaces pot ser útil a l'hora d'establir mecanismes de
prevenció o regles de filtrat per prevenir altres amenaces.
Germany 50%
United States 50%
Destí de les amenaces
La llista de destí d’amenaces permet conèixer quins hosts són els que concentren un
major nombre d'amenaces i que han de ser revisats per prevenir possibles factors de
risc.
Servidor Cloud 100%
Informe de seguretat ............................................................................................................................................................................... 24
Aspectes clau
Les amenaces enregistrades pel nostre Next Generation Firewall suposen una font
d'informació vital per conèixer l'estat de seguretat de la nostra infraestructura i,
d'aquesta forma, pode preparar mesures de seguretat preventiva que contribueixin a
protegir els hosts.
Aquestes amenaces NO han estat bloquejades perque el seu nivell de severitat no era
suficientment alt i, per aquesta raó, no suposaven una amenaça immediata. Recordem
que la sensibilitat del mòdul de bloqueig en temps real pot ser ajustada des del panell
de control.
· Els perfils de severitat registrats han estat: LOW (segons configuració
d'usuari).
· El nostre NGFW ha detectat una mitja de 88 intents d'amenaça per host. La
mitja dels nostres clients és de 119 intents d'amenaces per host.
· El nombre d'amenaces detectades aquesta setmana ha augmentat un -35%
respecte l'informe anterior.
· Les aplicacions més afectades han estat web-browsing.
· Els tipus d'amenaça més comunes han estat info-leak.
· L'origen més comú de les amenaces detectades ha estat Germany.
Informe de seguretat ............................................................................................................................................................................... 25
5Autenticació
Informe de seguretat ............................................................................................................................................................................... 26
Aquest resum i el log conseqüent llisten intents d'accés de força bruta als
hosts monitorats. Aquesta informació podria oferir indicacions sobre on és
més necessari incrementar o revisar les actuals mesures de seguretat.
Aquest resum i el log conseqüent llisten intents d'accés de força bruta als
hosts monitorats. Aquesta informació podria oferir indicacions sobre on és
més necessari incrementar o revisar les actuals mesures de seguretat.
Intents d’autenticació més rellevants (top 5)
La taula que es mostra a continuació presenta un resum dels principals intents
d'intrusió als hosts per força bruta. Tot i la gravetat aparent de l'amenaça cal destacar
que alguns d'aquests atacs es realitzen de forma automatizada a qualsevol sistema
conectat a internet, raó per la qual no suposen un risc vertader si el sistema operatiu
ha estat actualitzat, les aplicacions llistades disposen d'una correcta configuració i les
contrassenyes són prou fortes.
PROTOCOL SERVEIS IP INTENTS
MySQL Authentication Brute Force At Servidor Cloud 81.25.000.00 55
MAIL: User Login Brute Force Attemp Servidor Cloud 81.25.000.00 11
Informe de seguretat ............................................................................................................................................................................... 27
IPs d'origen més detectades
Les IPs llistades a continuació acumulen un major nombre d'intents d'intrusió als
hosts inclosos en aquest informe.
67.51.47.58 9%
80.211.178.40 7%
123.160.10.16 6%
112.217.225.146 4%
107.160.240.220 4%
Destí de les amenaces
La següent llista mostra els hosts afectats per intents d’autenticació il·legítima,
ordenats pel nombre d'intents rebuts durant el periode que compren aquest informe.
Servidor Cloud 100%
IPs origen de sessions establertes
Aquestes són les direccions IP des de les quals s'ha establert una connexió SSH amb
els seus hosts i s'ha mostrat al sol·licitant, com a mínim, la pantalla de login (no
implica un login exitós). Son conegudes totes aquestes direccions?
66.96.207.118 17%
153.156.20.198 2%
211.228.222.148 2%
59.0.77.205 2%
211.229.102.151 2%
46.24.97.206 2%
115.93.230.54 1%
121.189.154.193 1%
211.198.119.21 1%
222.102.45.153 1%
47.59.206.193 1%
Informe de seguretat ............................................................................................................................................................................... 28
59.1.53.25 1%
76.251.106.178 1%
93.170.95.65 1%
118.40.179.35 1%
125.132.212.243 1%
211.224.26.241 1%
222.105.8.176 1%
59.0.77.1 1%
59.1.64.242 1%
78.108.108.19 1%
106.240.97.82 1%
118.45.126.250 1%
222.114.50.37 1%
59.27.13.254 1%
78.235.137.30 1%
109.255.218.82 1%
119.205.97.143 1%
175.196.182.33 1%
222.99.219.134 1%
59.0.77.246 1%
59.28.189.48 1%
80.86.100.164 1%
112.162.190.169 1%
121.157.145.4 1%
175.199.11.155 1%
218.156.188.40 1%
223.171.34.99 1%
59.0.77.3 1%
59.30.245.231 1%
83.228.69.74 1%
112.218.21.227 1%
121.171.156.192 1%
175.206.108.143 1%
220.116.155.243 1%
24.202.29.217 1%
59.0.77.40 1%
61.40.102.134 1%
Informe de seguretat ............................................................................................................................................................................... 29
85.203.78.181 1%
112.220.146.213 1%
121.183.116.21 1%
175.212.45.162 1%
220.81.189.106 1%
37.11.96.95 1%
59.0.77.45 1%
61.40.167.218 1%
86.31.186.146 1%
115.90.155.22 1%
121.187.155.187 1%
175.215.131.136 1%
221.162.25.233 1%
59.1.133.199 1%
88.187.235.127 1%
Informe de seguretat ............................................................................................................................................................................... 30
Aspectes clau
A l'apartat d'autenticació llista les amenaces d'accés per força bruta que poden
comprometre els seus hosts. Recomanem posar especial atenció a aquestes
amenaces i implementar d'immedidiat mesures preventives com, per exemple,
sistemes automàtics de detecció i bloqueig d'IPs. Així mateix, recomanem revisar la
configuració de totes les aplicacions i protocols afectats.
Recordem que totes les amenaces llistades en aquest apartat són considerades de
severitat CRITICAL i que han estat bloquejades en temps real segons la configuració
d'usuari.
· S'ha detectat una mitja de 66 intents d'autenticació/intrusió per host. La
mitja dels nostres clients és de 74 intents per host.
· Recomanem bloquejar les IPs d'origen dels intents mencionats
d'autenticació i intrusió.
Informe de seguretat ............................................................................................................................................................................... 31
6Dades clau
Informe de seguretat ............................................................................................................................................................................... 32
D'acord amb les dades presentades en aquest informe, presentem un llistat
no exhaustiu dels aspectes més importants que creiem s’haurien de tenir en
compte.
D'acord amb les dades presentades en aquest informe, presentem un llistat
no exhaustiu dels aspectes més importants que creiem s’haurien de tenir en
compte.
Aspectes clau globals de tota la xarxa
· El seu tràfic ha crescut per sobre d'un 50% respecte a l'últim informe
generat. Caldria contactar amb el departament de sistemes per tal d'evitar
futures fallades.
· El seu tràfic sortint ha crescut per sobre d'un 50% respecte a l'últim informe
generat. Es probable que els seus sistemes estiguin emetent un atac
informàtic.
· Hem detectat que un gran nombre d'amenaces detectades en els seus
sistemes es concentren en un sol tipus d'aplicació. Vostè hauria de revisar
l'ús d'aquesta aplicació així com el seu estat de seguretat i actualitzacions.
· Hem detectat que el total de les seves amenaces ha crescut respecte al
global. Depenent de l'envergadura dels seus sistemes, això pot ser una cosa
relativament normal, però us recomanem contactar amb nosaltres el més
aviat possible per estudiar aquesta situació.
Aquest llistat ha estat generat de forma automatitzada i no és exhaustiu. Si us plau
considera parlar amb un dels nostres assessors en ciberseguretat per obtenir més
dades clau i consells sobre com protegirte de les amenaces detectades.
Informe de seguretat ............................................................................................................................................................................... 33
7Definicions icontramesures
Informe de seguretat ............................................................................................................................................................................... 34
Presentem a continuació informació, consells i dades clau sobre les
amenaces més rellevants recollides en aquest informe. El propòsit d'aquesta
informació és proveir al teu equip TI consells útils que puguin ser
implementats de forma immediata, especialment per a aquelles amenaces
de caràcter crític.
Presentem a continuació informació, consells i dades clau sobre les
amenaces més rellevants recollides en aquest informe. El propòsit d'aquesta
informació és proveir al teu equip TI consells útils que puguin ser
implementats de forma immediata, especialment per a aquelles amenaces
de caràcter crític.
Vulnerabilitat per desbordament (+100%)
Un exploit de tipus "buffer overflow" ha estat detectat en el tràfic de la seva xarxa.
Aquest tipus d'exploits poden permetre a un atacant executar codi a la màquina
atacada.
Gravetat:CRITICAL
Aquest període:8 (+100%)
Host més afectat:Servidor Cloud
Aplicacions afectades:webdav
Contramesures
Existeixen certs principis a considerar per protegir les nostres aplicacions:La millor solució per tal d'evitar aquest tipus d'atacs consisteix en mantenir elssistemes actualitzants. Aquest tipusd e vulnerabilitats acostumen a afectar versionsno actualitzades de sistemes operatius.
Informe de seguretat ............................................................................................................................................................................... 35
Atac per força bruta (-48%)
Un atac de força bruta consisteix en un atacant intentant milers d'usuaris i
contrasenyes a la vegada contra un sistema informàtic o contra un grup de sistemes
per intentar descobrir les dades d'accés. Aquest tipus d'atacs són molt freqüents
actualment.
Gravetat:HIGH
Aquest període:66 (-48%)
Host més afectat:Servidor Cloud
Aplicacions afectades:mysql
Contramesures
Existeixen certs principis a considerar per protegir les nostres aplicacions:La millor solució per afrontar aquest tipus d'atac és establir una bona política altallafoc així com a l'accés per software a les màquines, per tal de bloquejarconnexions recurrents.
Informe de seguretat ............................................................................................................................................................................... 36
Execució de codi (+1100%)
L'execució de codi es un dels riscos mes perillosos a la xarxa. Un atac mitjançant un
exploit pot derivar en una amenaça per execució de codi, un atac mitjançant
ransomware també entra en aquesta categoria. L'execució de codi maliciós pot
comprometre tot un sistema informàtic.
Gravetat:HIGH
Aquest període:12 (+1100%)
Host més afectat:Servidor Cloud
Aplicacions afectades:web-browsing
Contramesures
Existeixen certs principis a considerar per protegir les nostres aplicacions:La millor solució per tal de mitigar aquest tipus d'amenaces és establir una bonapolítica de filtrat d'amenaces a nivell de capa 7 per tal de filtrar i bloquejar aquest tipusd'atacs. Mantenir el sistema actualitzat i instal·lar software antivirus és unrequeriment.
Informe de seguretat ............................................................................................................................................................................... 37
Filtrat d'informació (-33%)
El filtrat d'informació es un problema comú en moltes xarxes informàtiques tant
internes com externes. La informació considerada crítica es susceptible a ser filtrada i
pot incloure: comptes bancaris, targetes de crèdit, correus personals, adreçes físiques
o telèfons. Els nostres sistemes han detectat informació personal dins el tràfic de la
seva xarxa.
Gravetat:LOW
Aquest període:2 (-33%)
Host més afectat:Servidor Cloud
Aplicacions afectades:web-browsing
Contramesures
Existeixen certs principis a considerar per protegir les nostres aplicacions:L'administrador de la xarxa hauria de prendre mesures per tal de que la informaciósensible no pugui ser filtrada: bones mesures inclouen el xifrat d'arxius o l'aplicació degrups d'usuaris amb uns permisos determinats.
Informe de seguretat ............................................................................................................................................................................... 38
DETALLD'AMENACES
La segona part d'aquest informe inclou informació detallada sobre totes les amenaces
detectades pel nostre Next Generation Firewall així com també sobre l'acció presa. Les
amenaces es troben classificades per host, ordenades per gravetat i inclouen dades
CVE actualitzades fins a la data.
Informe de seguretat ............................................................................................................................................................................... 39
8Resumd'amenaces
Informe de seguretat ............................................................................................................................................................................... 40
A sota trobarà una vista general de la majoria d'amenaces detectades a la
seva xarxa pel nostres Next Generation Firewall. Totes les amenaces han
estat bloquejades eficaçment i només s'han registrat per ajudar-te a trobar
una solució a llarg plaç per a possibles vulnerabilitats.
A sota trobarà una vista general de la majoria d'amenaces detectades a la
seva xarxa pel nostres Next Generation Firewall. Totes les amenaces han
estat bloquejades eficaçment i només s'han registrat per ajudar-te a trobar
una solució a llarg plaç per a possibles vulnerabilitats.
11 75Critical High
0 2Medium Low
Informe de seguretat ............................................................................................................................................................................... 41
9Amenacesper Host
Informe de seguretat ............................................................................................................................................................................... 42
Host 81.25.000.00
A les pàgines següents trobarà informació sobre la severitat i la descripció
de cada amenaça detectada pel host 81.25.000.00
A les pàgines següents trobarà informació sobre la severitat i la descripció
de cada amenaça detectada pel host 81.25.000.00
88Amenaces
11Critical
75High
0Medium
2Low
Informe de seguretat ............................................................................................................................................................................... 43
Threat ID: 30464 (Critical) Host: 81.25.000.00
Microsoft IIS WebDAV ScStoragePathFromUrl Buffer Overflow Vulnerability
Microsoft Internet Information Services is prone to a buffer overflow vulnerability while parsing
certain crafted WebDAV requests. The vulnerability is due to improper validation of one of the
headers, leading to an exploitable buffer overflow. A remote attacker could exploit this
vulnerability by sending a crafted request to the vulnerable application. Successful exploitation
could result in denial of service conditions or, in the worst case, arbitrary code execution in the
context of the user running the application.
Category
CVE
CVE-2017-7269
References
https://github.com/edwardz246003/IIS_exploit/blob/master/exploit.py
Informe de seguretat ............................................................................................................................................................................... 44
Threat ID: 34221 (Critical) Host: 81.25.000.00
Apache Struts Jakarta Multipart Parser Remote Code Execution Vulnerability
Apache Struts is prone to a remote code execution vulnerability while parsing certain crafted
HTTP requests. The vulnerability is due to the lack of proper checks on Content-Type in the HTTP
request, leading to an exploitable remote code execution. An attacker could exploit the
vulnerability by sending a crafted HTTP request. A successful attack could lead to remote code
execution with the privileges of the server.
Category
code-execution
CVE
CVE-2017-5638
References
https://cwiki.apache.org/confluence/display/WW/S2-045
Informe de seguretat ............................................................................................................................................................................... 45
Threat ID: 40007 (High) Host: 81.25.000.00
MAIL: User Login Brute Force Attempt
This event indicates that someone is using a brute force attack to gain access to mail server
through smtp/pop3/imap authentication request.
Category
brute-force
Informe de seguretat ............................................................................................................................................................................... 46
Threat ID: 40008 (High) Host: 81.25.000.00
MySQL Authentication Brute Force Attempt
This event indicates that someone is doing a brute force attack and try to authenticated to the
MySQL server.
Category
brute-force
Informe de seguretat ............................................................................................................................................................................... 47
Threat ID: 38865 (High) Host: 81.25.000.00
Oracle WebLogic WLS Security Component Remote Code Execution Vulnerability
Oracle WebLogic is prone to a remote code execution vulnerability while parsing certain crafted
HTTP requests. The vulnerability is due to the lack of proper checks on payloads in HTTP
requests, leading to an exploitable remote code execution. An attacker could exploit the
vulnerability by sending a crafted HTTP request. A successful attack could lead to remote code
execution with the privileges of the server.
Category
CVE
CVE-2017-10271
References
http://www.oracle.com/technetwork/security-advisory/cpuoct2017-3236626.html
Informe de seguretat ............................................................................................................................................................................... 48
Threat ID: 34605 (Low) Host: 81.25.000.00
ZmEu Scanner Detection
This signature indicates that an attacker is trying to collect information about the network by
using the ZmEu scanner.
Category
info-leak
Informe de seguretat ............................................................................................................................................................................... 49
10Contacta ambun assessor
Informe de seguretat ............................................................................................................................................................................... 50
SW Girona SW MadridData Center Sales 1 i 2 Data Center Sala 3
Edifici SW Edif. GlobalSwitch
c/ Ponent, 13-15 c/ Yécora, 4
17458 Fornells de la Selva 28022 Madrid
Girona Madrid
[email protected] [email protected]
+34 972 010 550 tlf +34 918 137 825 tlf
+34 972 010 555 fax +34 972 010 555 fax
Necessites ajuda sobre l'informe?
Recorda que pots contactar amb els nostres experts en
seguretat TI per rebre assistència personalitzada a l'hora
d'interpretar l'informe i treure-li el màxim profit. Utilizant SW
Panel podràs crear Tiquets de Seguretat i t'ajudarem a
solucionar tots els dubtes o consultes sobre les incidències i
amenaces que hagin estat detectades en aquest informe.