guzik

Od końca marca używam FortiAnalyzer – głównie jako archiwizator logów z urządzeń FortiGate i wszystkich innych, które mogą wysyłać via syslog. Gdzieś po drodze zdarzały się drobne błędy w raportach zagrożeń, ale raport ze skanowania sieci (Vulnerability Mgmt: Scan) jest co najmniej słaby.

Uruchomiłem taki niedawno (16 września), wyniki mam już dostępne (działał do 25 września – sieć /24, ~20 serwerów, ~70 komputerów). Ustawienia po kolei:

• Vulnerability Scan:
  • Sensor: all_vulnerabilities
• Port Scan:
  • TCP Ports: Full
  • UDP Ports: Full
• Other Options:
  • Perform TCP 3-way Handshake
  • Scan Dead Host

Przeglądanie raportu zacząłem od pierwszego serwera i znalazłem taki kwiatek:

Zaskoczony obecnością phpMyAdmin, tym bardziej, że kolejny błąd wskazuje już na konkretną wersję phpMyAdmin -FID: 2408 Title: Multiple PHP Remote Code Injection Vulnerabilities in phpMyAdmin 2.6.1, przejrzałem kilka kolejnych ‘błędów’ i mamy tam podatności ATutor 1.5.1, FlatNuke, phpBook (polecam zapoznanie się z informacją na głównej stronie) i jeszcze parę innych. WTF? – pytam się!

Otóż na porcie 2381 nasłuchuje usługa (system to Windows) HP System Management Homepage. To nic innego jak Apache (prawdopodobnie 2.0.43, API 20020903, u mnie przedstawiający się jako CompaqHTTPServer/9.9 HP System Management Homepage/2.0.2.106) z PHP (u mnie 4.3.6) i aplikacją do zarządzania serwerem. Przejrzałem logi odnośnie ciągu ‘phpmyadmin’ i znalazłem coś takiego:

192.168.1.253 - - [04/May/2009:08:23:19 +0200] "GET /scripts/phpmyadmin/libraries/relation_cleanup.lib.php HTTP/1.1" 302 379
192.168.1.253 - - [04/May/2009:08:23:19 +0200] "GET /scripts/phpmyadmin/libraries/select_lang.lib.php HTTP/1.1" 302 374
192.168.1.253 - - [04/May/2009:08:23:19 +0200] "GET /cgi-bin/phpmyadmin/libraries/relation_cleanup.lib.php HTTP/1.1" 302 379
192.168.1.253 - - [04/May/2009:08:23:19 +0200] "GET /cgi-bin/phpmyadmin/libraries/select_lang.lib.php HTTP/1.1" 302 374
192.168.1.253 - - [04/May/2009:08:23:19 +0200] "GET /phpmyadmin/libraries/relation_cleanup.lib.php HTTP/1.1" 302 371
192.168.1.253 - - [04/May/2009:08:23:20 +0200] "GET /phpmyadmin/libraries/select_lang.lib.php HTTP/1.1" 302 366

Nic więcej! Czyli FortiAnalyzer na podstawie kodu odpowiedzi 302 stwierdza, że aplikacja jest, a co za tym idzie – może mieć błędy! Nie podąża w ogóle za otrzymanym adresem i tworzy gigantyczny raport (tak samo jest z każdą znaną przez niego aplikacją).
Na razie skończyłem przeglądanie na pierwszym serwerze, bo w poziomie High miałem 100% false-positive. Co ciekawe, pierwszy błąd na poziomie Medium to: FID: 1587 Title: Compaq WBEM Server Detect. Niby można dodać filtry do sensor, ale jest to ograniczone. Wiem, że to automat, więc zachowuje się tak a nie inaczej, ale raport, który generuje stawia pytanie – dla kogo to? Wydaje mi się, że tylko jako podłoże do bardziej dogłębnych testów po odsianiu sporej ilości błędów. Na pewno nie gotowy dokument do przesłania Zarządowi.

Tagi: FortiAnalyzer, Fortinet

Ten wpis został opublikowany poniedziałek, 28 Wrzesień 2009 o 2:43 pm i jest zaszufladkowany do kategorii Tech. Możesz śledzić wszystkie odpowiedzi do tego wpisu poprzezkanał RSS 2.0. Możesz dodać odpowiedź lub trackback ze swojej strony.