2021.07.23 - PT - Marc - Idfb

CYBER SECURITY PRACTICE
Penetration Test Applicativo

Monitoraggio Ambientale Regione Campania
IDFB
DOCUMENTO CONFIDENZIALE
Questo documento contiene informazioni confidenziali, pertanto né il documento né le informazioni in esso contenute possono essere pubblicate, riprodotte,
copiate, divulgate o utilizzate per scopi diversi da quelli per cui sono stati forniti senza espressa autorizzazione.
SOMMARIO
1. Rapporto esecutivo ...................................................................................................................................................................... 1

1.1. Perimetro dei sistemi target e finestra temporale .............................................................................................................. 1
1.2. Sommario dei risultati ......................................................................................................................................................... 2
1.3. Sommario delle vulnerabilità .............................................................................................................................................. 3
2. Dettagli tecnici ............................................................................................................................................................................. 4
2.1. Missing Server Side Validation ............................................................................................................................................ 4
2.2. Missing Anti-Bruteforce Mechanisms ................................................................................................................................. 7
2.3. Cleartext Transmission of Sensitive Information ................................................................................................................ 8
2.4. Excessive Data Exposure ..................................................................................................................................................... 9
2.5. Information Disclosure ...................................................................................................................................................... 11
2.6. Wrong Error Handling ....................................................................................................................................................... 13
2.7. Clickjacking: X-Frame-Options Header missing ................................................................................................................. 14
3. Rimedi ........................................................................................................................................................................................ 16
Appendice A: Classificazione del rischio ............................................................................................................................................. 19
Questo documento contiene informazioni confidenziali, pertanto né il documento né le informazioni in esso contenute possono essere pubblicate, riprodotte,
DATA
PENETRATION TEST APPLICATIVO 2021-07-23
1. RAPPORTO ESECUTIVO
È stato eseguito un Penetration Test Applicativo in modalità Black Box sull’applicazione “IDFB” di Monitoraggio Ambientale Regione
Campania al fine di verificarne il livello di sicurezza. La classificazione Black Box indica che il penetration tester che svolge l’attività
non ha conoscenza dei dettagli interni sul sistema oggetto delle analisi. L’analista può eventualmente utilizzare informazioni
disponibili su internet. Altre informazioni possono essere ottenute durante le fasi iniziali dell’attività tramite l’analisi del
comportamento dell’applicazione. I penetration test di tipo Black Box permettono di dare visione delle vulnerabilità e delle
debolezze sfruttabili da un attaccante reale. Il seguente report mostra quali vulnerabilità sono presenti nel perimetro in analisi,
come queste possano essere sfruttate e l’impatto che si avrebbe nel farlo.
I test sono stati svolti simulando un attaccante reale, ma in accordo con le regole di ingaggio definite e concordate tra Monitoraggio
Ambientale Regione Campania (cliente) e AlmavivA S.p.a. (fornitore).
Durante le attività sono stati utilizzati i seguenti standard:

• ISECOM OSSTMM (Open-Source Security Testing Methodology Manual)
• OWASP WSTG (Web Security Testing Guide)
1.1. PERIMETRO DEI SISTEMI TARGET E FINESTRA TEMPORALE

Le attività sono state eseguite in ambito statico, dinamico ed applicativo; di seguito si riportano i riferimenti dei server in perimetro:
Applicazione Dominio/URL
IDFB http://idfb.regione.campania.it/Idfb/faces/login/login.xhtml
Le analisi sono state condotte sui target sopra elencati, nei periodi di seguito riportati:
Data di inizio Data di fine Orario
2021-07-19 2021-07-23 00:00 - 24:00
Questo documento contiene informazioni confidenziali, pertanto né il documento né le informazioni in esso contenute possono essere pubblicate, riprodotte, 1
DATA
1.2. SOMMARIO DEI RISULTATI

Di seguito il grafico che mostra la distribuzione delle vulnerabilità per classificazione di rischio come dettagliato in appendice A:
3 3
Critico Alto Medio Basso
DATA
1.3. SOMMARIO DELLE VULNERABILITÀ

Vulnerabilità Descrizione
Missing Server Side È possibile aggiungere e modificare Iter arbitrari con utenze che non dovrebbero avere i
ALTO
Validation permessi necessari per farlo.
Missing Anti-Bruteforce È possibile eseguire attacchi di tipo brute-force per ricavare le credenziali per l’accesso al
Mechanisms portale.
MEDIO
Cleartext Transmission of
L'applicazione trasmette dati sensibili su canali non cifrati.
Sensitive Information
Sono esposte informazioni critiche che potrebbero essere eliminate senza impatti sulla
Excessive Data Exposure
piattaforma.
Sono presenti risorse che espongono dettagli e informazioni applicative/infrastrutturali

Information Disclosure
utili a un attaccante.
BASSO
Sono presenti errori non gestiti che espongono dettagli e informazioni

Wrong Error Handling
applicative/infrastrutturali utili a un attaccante.
Clickjacking: X-Frame- Il Web Server non ha fornito nessun Header X-Frame-Options nella risposta, rendendo
Options Header missing così vulnerabile l'applicazione ad attacchi di Clickjacking.
Alla luce di quanto emerso, si consiglia di intraprendere azioni correttive indicate nel capitolo Rimedi.
Si consiglia inoltre di:
• Sottoporre i sistemi target ad un monitoraggio di sicurezza host-based, ossia tramite agent. Per maggiori dettagli contattare il
Computer Security Incident Response Team (CSIRT) all'indirizzo csirt@almaviva.it
• Verificare se le vulnerabilità descritte siano note al pubblico, quindi se siano già state sfruttate o abbiamo causato un Data
Breach. Per tale analisi, è possibile eseguire un’attività di Threat Intelligence, pertanto contattare il gruppo Security Assessment
Team all’indirizzo SecurityAssessmentTeam@almaviva.it
• Verificare se nei log ci siano tracce di sfruttamento delle vulnerabilità descritte, quindi se ci siano i presupposti per procedere,
come indicato dal Regolamento Europeo GDPR, a Data Breach Notification. Per maggiori dettagli contattare il Security
Assessment Team all’indirizzo SecurityAssessmentTeam@almaviva.it
DATA
2. DETTAGLI TECNICI
2.1. MISSING SERVER SIDE VALIDATION ALTO (7.4)
Quando un’applicazione web riceve un input dall’utente è buona prassi che la validazione dell’input stesso avvenga sia lato client
(front-end) che lato server (back-end). Questo perché nel caso di validazioni eseguite esclusivamente lato client, un utente che
disabiliti l’esecuzione di codice Javascript o che utilizzi Web Proxy sarebbe in grado di inviare richieste con input arbitrari
bypassando completamente i controlli lato client.
Confidenzialità: Alta Integrità: Alta

Privilegi richiesti: Nessuno Disponibilità: Alta
ENDPOINT AFFETTI
http://idfb.regione.campania.it/Idfb/faces/home/homeUtente.xhtml
Durante le analisi, è emerso che l'applicazione Web non controlla lato server la legittimità di alcune richieste di inserimento e
modifica di un Iter, come dimostrato nel procedimento seguente:
Effettuando il login con l'utente test_sac, si può accedere alla parte riservata per le Strutture Amministrative Competenti.
In questa pagina non è presente, a prima vista, nessun form o pulsante per inserire o modificare un Iter, come mostrato
nell'evidenza sottostante:
Figura 1 – Login con test_sac. Nella pagina non è presente alcun form di inserimento o modifica di un Iter
DATA
Sebbene la pagina non mostri alcun form di inserimento o modifica di un Iter, il codice HTML dei suddetti componenti è comunque
presente nel codice sorgente della pagina ma non vengono mostrati a video a causa delle regole CSS (in particolare l'attributo
"display" settato a "none"), come mostrato nell'evidenza seguente:
Figura 2 – Il form per l'inserimento di un Iter è nascosto all'utente utilizzando l'attributo "Display:none"
Per far comparire le form di inserimento e modifica di un Iter, basta rimuovere l'attributo "Display":
Figura 3 – Dopo aver rimosso l'attributo "Display", è comparso il form per l'inserimento di un Iter
DATA
Compilando tale form, è possibile inserire un nuovo Iter, bypassando i controlli client-side.
Accedendo, in seguito, con l'utente test_avv, è possibile verificare che l'inserimento dell'Iter effettuato in precedenza dall'utente
test_sac è andato a buon fine:
Figura 4 – Il nuovo Iter è stato inserito correttamente
È stato possibile inserire un nuovo Iter con tutte le utenze di test forniteci.
Tale evidenza dimostra l’assenza di controlli lato server.
DATA
2.2. MISSING ANTI-BRUTEFORCE MECHANISMS MEDIO (6.5)
Quando in un portale sono presenti form di autenticazione è buona norma utilizzare policy per le password forti e inserire
meccanismi che impediscano a un attaccante di eseguire attacchi di tipo brute-force per il recupero delle credenziali degli utenti.
Confidenzialità: Bassa Integrità: Bassa

Privilegi richiesti: Nessuno Disponibilità: Nessuna
ENDPOINT AFFETTI
http://idfb.regione.campania.it/Idfb/faces/login/login.xhtml
Di seguito viene mostrato come, tramite l'ausilio di tool semi-automatici, sia stato possibile eseguire numerosi tentativi di accesso
sulla pagina di login disponibile all'interno dell'applicazione Web, senza essere bloccati in alcun modo.
Figura 5 – Assenza di meccanismi di Anti-Bruteforce
Sono stati effettuati circa 300 tentativi di login, tutti falliti tranne l'ultimo, in cui vengono utilizzate credenziali corrette, che va a
buon fine. Ciò dimostra l'assenza di meccanismi atti a proteggere l'applicazione da attacchi di tipo Bruteforce.
DATA
2.3. CLEARTEXT TRANSMISSION OF SENSITIVE INFORMATION MEDIO (5.7)
L'applicazione trasmette dati sensibili su canali non cifrati che possono essere letti da attori malevoli attestati sulla stessa rete
dell'utente.
Confidenzialità: Alta Integrità: Nessuna

ENDPOINT AFFETTI
L’analisi ha evidenziato che il portale trasmette in modo non cifrato (HTTP) tutto il traffico da e verso il Web Server, in particolare
è stato possibile intercettare l’username e la password da una richiesta di login, come indicato dall’endpoint nell’immagine
seguente:
Figura 6 – Login tramite connessione non cifrata
Questo rappresenta un rischio grave in quanto un attaccante che portasse a termine con successo un attacco di tipo MiTM (Man
in The Middle) sarebbe in grado di osservare le comunicazioni degli utenti che stanno utilizzando il portale. Se durante questo
attacco venisse eseguito un accesso, l’attaccante sarebbe in grado di leggere in chiaro le credenziali di dominio dell’utente, quindi
accedere agli altri servizi a dominio.
DATA
2.4. EXCESSIVE DATA EXPOSURE MEDIO (5.3)
Durante lo sviluppo è possibile che gli oggetti e le relative proprietà vengano esposte senza considerare la criticità dei singoli dati
e del contesto di riferimento. In questo modo vengono esposte informazioni non necessarie agli utenti.
Confidenzialità: Bassa Integrità: Nessuna

ENDPOINT AFFETTI
Durante le analisi di sicurezza, sono state trovate alcune sezioni dell'applicativo che espongono informazioni critiche, tra cui i
parametri di configurazione del server di posta elettronica e quelli del Domain Controller su cui risiede il servizio di dominio Active
Directory.
Nelle seguenti immagini è possibile notare come tali informazioni vengano servite all'utente in chiaro:
Figura 7 – Esposizione dei parametri di configurazione di Active Directory
DATA
Figura 8 – Esposizione dei parametri di configurazione del server di posta elettronica
Tale situazione consente ad un potenziale attaccante di estendere la superficie di attacco non solo all'applicazione Web, ma anche
ad altri servizi del server Web. Un utente attestato sulla stessa rete del server Web, ad esempio, potrebbe utilizzare tali parametri
di configurazione per interagire col servizio Active Directoy o con il server di posta elettronica.
DATA
2.5. INFORMATION DISCLOSURE BASSO (3.5)
Modificando opportunamente alcuni campi delle richieste HTTP è possibile generare errori che mostrino informazioni utili; allo
stesso modo possono essere esposte risorse che mostrino informazioni senza necessità di eseguire azioni invasive.

Privilegi richiesti: Nessuno Disponibilità: Bassa
ENDPOINT AFFETTI
http://idfb.regione.campania.it/examples/jsp/snp/snoop.jsp
http://idfb.regione.campania.it/Idfb/faces/home
Dall'analisi è emerso che il Web Server risponde alle richieste inviando un header che rivela la versione del Web server utilizzato:
HTTP/1.1 200 OK
Connection: Keep-Alive
Content-Type: text/html;charset=UTF-8
Date: Mon, 19 Jul 2021 10:02:07 GMT
Keep-Alive: timeout=5, max=100
Server: Apache-Coyote/1.1
Set-Cookie: JSESSIONID=D57BE7F37F36E18B9D58E111A9A0833E; Path=/Idfb; HttpOnly
Transfer-Encoding: chunked
Inoltre, è presente una risorsa che rivela l'indirizzo IP privato del Web server, come mostrato nell'evidenza sottostante:
Figura 9 – La pagina rivela l'indirizzo IP privato del Web server
DATA
L'applicazione rivela informazioni applicative circa l'utilizzo di Apache Tomcat e la relativa versione:
Figura 10 – Il Web server rivela l'uso di Apache Tomcat versione 8.0.48
DATA
2.6. WRONG ERROR HANDLING BASSO (3.5)
Durante un test di sicurezza su applicazioni o server web è possibile causare errori di visualizzazione utilizzando una richiesta
realizzata appositamente. Questi errori sono molto utili ai penetration tester durante la loro attività, perché rivelano molte
informazioni su database, bug e altri componenti tecnologici direttamente collegati alle applicazioni web.
L'aspetto più importante per questa attività è focalizzare l'attenzione su questi errori, considerandoli come una raccolta di
informazioni che saranno di aiuto nelle diverse fasi dell’analisi. Una buona raccolta può facilitare l'efficienza della valutazione
diminuendo il tempo complessivo necessario per eseguire il penetration test, ma soprattutto può permettere di individuare e
sfruttare vulnerabilità che altrimenti potrebbero passare inosservate.

Privilegi richiesti: Nessuno Disponibilità: Bassa
ENDPOINT AFFETTI
http://idfb.regione.campania.it/Idfb/faces/
Visitando idfb.regione.campania.it/Idfb/faces/ è possibile vedere, tramite una gestione degli errori non configurata correttamente,
lo stack tecnologico dell'applicazione.
Figura 11 – L'applicazione rivela informazioni infrastrutturali a causa di una non corretta gestione degli errori
DATA
2.7. CLICKJACKING: X-FRAME-OPTIONS HEADER MISSING BASSO (2.4)
Il Clickjacking è una particolare tecnica di attacco che consiste nell'ingannare un Utente dell'applicazione a cliccare su qualcosa di
diverso da ciò che esso si aspetta, così rivelando, potenzialmente, informazioni confidenziali. Il Web Server non ha fornito nessun
Header X-Frame-Options nella risposta, rendendo così vulnerabile l'applicazione ad attacchi di Clickjacking. Le applicazioni Web
che fanno uso di questo Header hanno garanzia del fatto che il contenuto delle proprie pagine non sia incluso in altre applicazioni
Web.
Confidenzialità: Nessuna Integrità: Bassa

ENDPOINT AFFETTI
Durante la fase di analisi non è stata rilevata alcuna contromisura per prevenire attacchi di tipo Clickjacking. Nella figura sottostante
viene fornita evidenza della risposta del Web Server, in cui è assente l'integrazione dell'Header X-Frame-Options appropriato, atto
a prevenire attacchi di tipo Clickjacking:
Figura 12 – Assenza dell'header X-Frame-Options dalla risposta
DATA
Di seguito, viene dimostrata la possibilità di includere l’applicazione all’interno di un iframe proveniente da risorse esterne al fine
di effettuare attacchi di tipo Clickjacking:
Figura 13 – Un esempio di ClickJacking
DATA
3. RIMEDI
ALTO Missing Server Side Validation

DESCRIZIONE
È possibile aggiungere e modificare Iter arbitrari con utenze che non dovrebbero avere i permessi necessari per farlo.
ENDPOINT AFFETTI
RIMEDI
Si consiglia di effettuare verifiche lato server per questioni di sicurezza in aggiunta alle verifiche già effettuate lato client, per
evitare che queste ultime vengano bypassate.
MEDIO Missing Anti-Bruteforce Mechanisms

DESCRIZIONE
È possibile eseguire attacchi di tipo brute-force per ricavare le credenziali per l’accesso al portale.
ENDPOINT AFFETTI
RIMEDI
Si consiglia di implementare meccanismi contro il bruteforcing come il CAPTCHA per i form di login sul portale o di implementare
un limite massimo alle richieste consecutive che un utente può fare, aggiungendo delay, blocchi di indirizzi IP, ecc.
MEDIO Cleartext Transmission of Sensitive Information

DESCRIZIONE
L'applicazione trasmette dati sensibili su canali non cifrati.
ENDPOINT AFFETTI
RIMEDI
Si consiglia di non trasmettere informazioni sensibili su connessioni non cifrate.
DATA
MEDIO Excessive Data Exposure

DESCRIZIONE
Sono esposte informazioni critiche che potrebbero essere eliminate senza impatti sulla piattaforma.
ENDPOINT AFFETTI
RIMEDI
Si consiglia di esporre solamente informazioni e funzioni strettamente necessarie al corretto funzionamento dell’applicazione,
utilizzando ad esempio un file di configurazione direttamente all'interno del server.
BASSO Information Disclosure

DESCRIZIONE
Sono presenti risorse che espongono dettagli e informazioni applicative/infrastrutturali utili a un attaccante.
ENDPOINT AFFETTI
http://idfb.regione.campania.it/examples/jsp/snp/snoop.jsp
http://idfb.regione.campania.it/Idfb/faces/home
RIMEDI
Si consiglia di rimuovere tutte quelle risorse che espongono informazioni utili a un attaccante. In generale è buona prassi
eliminare ogni risorsa che non sia strettamente necessaria al corretto funzionamento della piattaforma.
BASSO Wrong Error Handling

DESCRIZIONE
Sono presenti errori non gestiti che espongono dettagli e informazioni applicative/infrastrutturali utili a un attaccante.
ENDPOINT AFFETTI
http://idfb.regione.campania.it/Idfb/faces/
RIMEDI
Si consiglia di non esporre mai errori che mostrino dettagli su tecnologie applicative e infrastrutturali e di utilizzare pagine di
errore personalizzate e il più possibile generiche.
DATA
BASSO Clickjacking: X-Frame-Options Header missing

DESCRIZIONE
Il Web Server non ha fornito nessun Header X-Frame-Options nella risposta, rendendo così vulnerabile l'applicazione ad attacchi
di Clickjacking.
ENDPOINT AFFETTI
RIMEDI
Si consiglia di utilizzare l'Header X-Frame-Options per indicare al browser se gli è permesso mostrare pagine dentro dei frame o
iframe.
APPENDICE A: CLASSIFICAZIONE DEL RISCHIO
Valutazione dell’impatto
L’impatto delle vulnerabilità riscontrate è stato attribuito sulla base del Common Vulnerability Scoring System (CVSS), uno
standard industriale per la valutazione dell’impatto sulla sicurezza di una vulnerabilità prendendo in considerazione il rischio,
l’esposizione dell’applicazione, difficoltà tecniche per lo sfruttamento, il contesto di business e altri fattori. Ogni società ha una
differente sensibilità al rischio di una vulnerabilità, quindi i valori di impatto segnalati devono essere presi più come line guida che
come valori assoluti.
Impatto Intervallo CVSS Descrizione

Questo tipo di vulnerabilità rappresenta un alto livello di minaccia di sicurezza,
mettendo a rischio il sistema ed esponendo anche a rischi di escalation dei
CRITICO 9.0 – 10.0
privilegi con attacchi semplici ed immediati alla portata di qualsiasi tipo di
attaccante.
Questo tipo di vulnerabilità rappresenta un alto livello di minaccia di sicurezza,
mettendo a rischio il sistema ed esponendo anche a rischi di escalation dei
ALTO 7.0 - 8.9
privilegi fino a livelli amministrativi ed esponendo alla compromissione delle
informazioni più sensibili.
Questo tipo di vulnerabilità permettono l’accesso ad informazioni non critiche
MEDIO 4.0 - 6.9
o comunque non importanti in termini di impatto.
Questo tipo di vulnerabilità rappresentano il livello più lieve per la sicurezza del
BASSO 0.1 - 3.9 sistema, ma possono essere utili in caso di attacco mirato per cui la loro
mitigazione può risultare non indispensabile anche se comunque consigliato.

2021.07.23 - PT - Marc - Idfb

Caricato da

Informazioni sul documento

Titolo originale

Copyright

Formati disponibili

Condividi questo documento

Condividi o incorpora il documento

Opzioni di condivisione

Hai trovato utile questo documento?

Questo contenuto è inappropriato?

Copyright:

Formati disponibili

2021.07.23 - PT - Marc - Idfb

Caricato da

Copyright:

Formati disponibili

CYBER SECURITY PRACTICE

Penetration Test Applicativo

1. Rapporto esecutivo ...................................................................................................................................................................... 1

Durante le attività sono stati utilizzati i seguenti standard:

1.1. PERIMETRO DEI SISTEMI TARGET E FINESTRA TEMPORALE

Data di inizio Data di fine Orario

2021-07-19 2021-07-23 00:00 - 24:00

1.2. SOMMARIO DEI RISULTATI

Critico Alto Medio Basso

1.3. SOMMARIO DELLE VULNERABILITÀ

Validation permessi necessari per farlo.

Sono presenti risorse che espongono dettagli e informazioni applicative/infrastrutturali

Sono presenti errori non gestiti che espongono dettagli e informazioni

Si consiglia inoltre di:

2.1. MISSING SERVER SIDE VALIDATION ALTO (7.4)

Confidenzialità: Alta Integrità: Alta

Figura 4 – Il nuovo Iter è stato inserito correttamente

2.2. MISSING ANTI-BRUTEFORCE MECHANISMS MEDIO (6.5)

Confidenzialità: Bassa Integrità: Bassa

Figura 5 – Assenza di meccanismi di Anti-Bruteforce

2.3. CLEARTEXT TRANSMISSION OF SENSITIVE INFORMATION MEDIO (5.7)

Confidenzialità: Alta Integrità: Nessuna

Figura 6 – Login tramite connessione non cifrata

2.4. EXCESSIVE DATA EXPOSURE MEDIO (5.3)

Confidenzialità: Bassa Integrità: Nessuna

Figura 7 – Esposizione dei parametri di configurazione di Active Directory

Figura 8 – Esposizione dei parametri di configurazione del server di posta elettronica

2.5. INFORMATION DISCLOSURE BASSO (3.5)

Confidenzialità: Bassa Integrità: Nessuna

Figura 9 – La pagina rivela l'indirizzo IP privato del Web server

Figura 10 – Il Web server rivela l'uso di Apache Tomcat versione 8.0.48

2.6. WRONG ERROR HANDLING BASSO (3.5)

Confidenzialità: Bassa Integrità: Nessuna

2.7. CLICKJACKING: X-FRAME-OPTIONS HEADER MISSING BASSO (2.4)

Confidenzialità: Nessuna Integrità: Bassa

Figura 12 – Assenza dell'header X-Frame-Options dalla risposta

Figura 13 – Un esempio di ClickJacking

ALTO Missing Server Side Validation

MEDIO Missing Anti-Bruteforce Mechanisms

MEDIO Cleartext Transmission of Sensitive Information

L'applicazione trasmette dati sensibili su canali non cifrati.

Si consiglia di non trasmettere informazioni sensibili su connessioni non cifrate.

MEDIO Excessive Data Exposure

BASSO Information Disclosure

BASSO Wrong Error Handling

BASSO Clickjacking: X-Frame-Options Header missing

APPENDICE A: CLASSIFICAZIONE DEL RISCHIO

Impatto Intervallo CVSS Descrizione

Potrebbero piacerti anche