Nombre de servidor comprometido y número de puerto de un servidor DB de SQL Server

0

Me gustaría obtener una opinión experta sobre qué tan peligroso es tener el nombre del servidor de la base de datos y la instancia del servidor SQL y el número de puerto comprometidos al exponerlo accidentalmente en el fragmento de código fuente publicado en Internet.

Una cadena de conexión se publicó accidentalmente en Internet con el nombre de usuario y la contraseña enmascarados, pero el nombre del servidor y el número de puerto de sqlserver permanecen en texto abierto. La información publicada contenía lo siguiente:

sub.server.domain.tld/SqlServerXXXX;12345; User Id="MASKED" Password="MASKED" Initial Catalog="MASKED" 

Este servidor de Windows está en un gran dominio de Active Directory de red corporativa y no es público, por lo que está detrás de un conjunto estándar de firewalls, etc. Actualmente alberga una base de datos de desarrollo para un sitio web interno de intranet. El dominio.tld es el mismo que la dirección web de la empresa.

Básicamente, un atacante potencial sabe que existe un servidor llamado "sub.server.domain.tld" con las bases de datos SQLServer que escuchan en el puerto 12345 en la red corporativa de la compañía "domain.tld".

  • ¿Qué pueden hacer con este tipo de información?

  • ¿Cuánto peligro tiene este servidor? ¿Se debe desconectar y quemar inmediatamente?

  • ¿Existe algún peligro para otras computadoras en la red?

pregunta Paceman 12.09.2016 - 07:22
fuente

2 respuestas

3

Me suena que lo que se filtró es solo información que se puede obtener con un simple escaneo de nmap.

Si la seguridad de su sistema dependía de que se mantuviera en privado, podría tener un problema en su enfoque de todos modos.

Siempre y cuando no se hayan filtrado las credenciales y su servidor db tenga buenas reglas de control de acceso, no me preocuparía.

Quiero decir, piénsalo: si la db debe ser aprovechada por diferentes servicios dentro de tu compañía, entonces la información "filtrada" no es secreta de todos modos. Si la base de datos solo es utilizada por servicios específicos, entonces el acceso a ella debe limitarse explícitamente a las IP o subredes incluidas en la lista blanca.

    
respondido por el daniel f. 12.09.2016 - 08:52
fuente
3

Debido a que este es un servidor interno, el potencial aquí es que ha filtrado alguna información sobre cómo su organización configura los servidores DNS y SQL internos.

Esto no es un peligro para este servidor en particular (no es necesario grabarlo), pero le da una idea del funcionamiento interno de su empresa.

Si un atacante ya estaba en su red, esta información estaría expuesta de todos modos, pero podría (potencialmente) ayudar a un determinado atacante a obtener acceso a su red.

Es una buena idea mantener este tipo de información confidencial, pero exponer esta información no significa que hayas abierto la puerta a los "piratas informáticos".

    
respondido por el schroeder 12.09.2016 - 09:04
fuente