¿La divulgación de información en forma de encabezado de servidor es una vulnerabilidad real?

6

He visto en muchos lugares que la gente dice que los encabezados de los siguientes tipos son una vulnerabilidad:

Server:Microsoft-IIS/7.5
X-AspNet-Version:4.0.30319
X-Powered-By:ASP.NET

Puedo ver que esto le da al atacante información adicional para que pueda verificar los errores conocidos en estas plataformas y luego abusar de ellos. Pero me parece que la eliminación de estos encabezados solo puede protegerte contra chiquillos muy simples y cualquier ataque serio podría descubrir esta información con bastante facilidad. Por ejemplo,

  • Tiene que haber una forma en que cada IIS responda de manera diferente o falle de manera diferente cuando se le envía una intrincada basura aleatoria en comparación con otros servidores
  • Se puede probar una lista de vulnerabilidades conocidas en ASP.NET una por una para ver si se aplica alguna, el mismo punto anterior se aplica a la propia ASP.NET.
  • Algunas otras manipulaciones similares

En general, parece que cualquier adversario serio realmente podría descubrir esa información de manera bastante simple.

Y, después de todo, la eliminación de los encabezados le brindará beneficios, además de una protección muy simple contra los niños que usan secuencias de comandos, quienes primero se dirigirán a los sitios que tienen la vulnerabilidad, como en una cita popular:

  

"No tienes que correr más rápido que el oso para escapar. Solo tienes que correr más rápido que el chico que está a tu lado ".

P.S. Probablemente tenga problemas mucho más graves si esta divulgación de información puede conducir a una vulnerabilidad real.

P.P.S. De todos modos, no tiene sentido tener estos encabezados, ya que incluso beneficiará el rendimiento (aunque de manera bastante despreciable), por lo que es una buena idea deshacerse de ellos, pero todavía siento curiosidad por el argumento de "seguridad" completo aquí

    
pregunta Ilya Chernomordik 05.02.2016 - 16:12
fuente

4 respuestas

9

OWASP define Fuga de información como una vulnerabilidad, por lo que el debate es realmente sobre si la información de la versión específica debe clasificarse como "Fuga de información".

Como lo menciona @Oasiscircle, esta información se puede usar como punto de partida para los atacantes que conocen vulnerabilidades específicas asociadas con versiones específicas. Sabemos que los atacantes usan botnets para escanear servidores en busca de huellas digitales de versión, y usan esta información para mantener bases de datos de versiones de aplicaciones y direcciones de servidores. Shodan proporciona una base de datos ampliamente utilizada de esta información. Cuando se introduce un nuevo exploit que apunta a una versión específica, o si un atacante desarrolla un exploit de 0 días contra una versión, estos atacantes hacen una simple selección de sus bases de datos y atacan rápidamente, con la esperanza de capturar algunas de estas máquinas antes de que sean parcheadas.

¿Eso hace que conocer un número de versión específico sea una vulnerabilidad? No directamente, pero te pone en la mira de un campo de francotiradores, cada uno con un gatillo y la motivación para atacar primero. Lo dejaré para que lo determine por sí mismo si considera que es una vulnerabilidad.

    
respondido por el John Deters 05.02.2016 - 17:26
fuente
5

En general, tengo dudas sobre los beneficios. Como dice @MarkBuffalo, muchos atacantes intentarán cada ataque que conozcan en cada servidor que encuentren, ya sea que funcione o no (incluso en la medida en que intente ataques específicos de Windows contra sistemas informando que están ejecutando RHEL).

Sin embargo, no es información que deba divulgar, por lo que generalmente estoy a favor de eliminarla, ya que esto se puede lograr con un mínimo esfuerzo. A veces, esto significa reducir la salida solo al nombre del servidor (por ejemplo, Apache, IIS) en lugar de eliminar completamente el encabezado del servidor, ya que eliminar el encabezado puede requerir la introducción de nuevos elementos de software en la pila del servidor.

Por ejemplo, se necesita una línea en apache.conf para reducir el encabezado de un servidor httpd a "Apache", pero la adición de un proxy para reducirlo aún más. En ese caso, parece más seguro atenerse a la línea mínima, en lugar de agregar un elemento adicional, que puede presentar sus propios defectos.

De manera similar, es fácil de ver cuando un sitio ejecuta Wordpress, pero aún así recomiendo eliminar el archivo Léame, simplemente no es necesario, y se parece un poco al tazón de la parte marrón de M & : puede comprobarlo fácilmente y muestra si es probable que se hayan tomado otros pasos.

    
respondido por el Matthew 05.02.2016 - 18:00
fuente
4

Digamos que hoy se anunció una vulnerabilidad para todos los servidores Microsoft IIS 7.5 con una pequeña gama de versiones de ASP Net. Soy un atacante malicioso y quiero averiguar cuántos servidores puedo explotar como sea posible antes de que los administradores de sistemas actualicen la vulnerabilidad. ¿No sería un problema mucho más fácil averiguar si podría preguntar a cada servidor individual si son vulnerables en lugar de tener que probar la vulnerabilidad en cada servidor? Además, podría registrar toda esta información por servidor y saber exactamente a quién quiero atacar en el momento en que se encuentre una vulnerabilidad para cualquier tipo de servidor.

La ocultación de la información de su versión no impedirá que ocurra un ataque, pero lo hará menos objetivo si los atacantes buscan una versión específica de hardware o software. La seguridad por oscuridad no significa que estés a salvo, pero a veces ralentiza a las personas, y eso es exactamente lo que se necesita para las vulnerabilidades del día cero.

    
respondido por el Seth M. Larson 05.02.2016 - 16:19
fuente
1

Bueno, digamos que se descubrió una nueva vulnerabilidad grave en ASP.NET 4.0.30319.

Los atacantes pueden encontrar fácilmente servidores vulnerables utilizando un motor de búsqueda como Shodan: enlace

Ocultar los banners de información lo protege de ataques no dirigidos cuando un atacante solo quiere que algunos servidores se comprometan a agregar a su botnet.

    
respondido por el SilverlightFox 08.02.2016 - 10:52
fuente

Lea otras preguntas en las etiquetas