Evaluación de seguridad en aplicaciones web de Micro Focus Solutions Business Manager 11.0Por Sarah Timmons y Brock Bland, 8 de diciembre de 2015

Informe oficialSolutions Business Manager

Índice página

Introducción . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1

Sistemas de seguridad de Solutions Business Manager . . . . . . . . . . . . . . . . . . . . 1

Resultados de las pruebas de seguridad de aplicaciones web para SBM 11 .0 . . . 3

1www.microfocus.com

Introducción

Las aplicaciones de Internet siempre están expuestas a los ataques de los usuarios con malas intenciones, bots abusivos y rastreadores que pueden aprovechar las debilidades del modelo de seguridad de datos para obtener acceso no autorizado a los datos importantes . Micro Focus® Solutions Business Manager (SBM) ha sido analizado para lograr la seguridad de las aplicaciones web como parte del proceso de certificación en cada versión y se ha probado exhaustivamente para garantizar la seguridad de los datos empresariales que se almacenan en la base de datos .

Micro Focus es consciente de que cualquier vulnerabilidad detectada durante estas pruebas podría ser explotada para obtener acceso a la información confidencial de la empresa y, en última instancia, conduciría a pérdidas financieras. Nuestras organizaciones de desarrollo y control de calidad se esfuerzan en descubrir y resolver estos tipos de vulnerabilidades potenciales a lo largo de cada ciclo de prueba . Micro Focus se toma la seguridad muy en serio. Nos esforzamos por mejorar SBM continuamente para proporcionar protección contra las nuevas vulnerabilidades descubiertas .

¿A quién va dirigido este documento?Este documento está dirigido a administradores de sistemas o a cualquier otra persona interesada en comprender los sistemas de seguridad existentes de SBM 11 .0 y que desee obtener información sobre los últimos resultados del análisis de seguridad de aplicaciones web .

Sistemas de seguridad de Solutions Business Manager

Micro Focus aplica un enfoque de varias capas de seguridad en SBM, de forma que incorpora las mejores prácticas para prevenir las vulneraciones de la seguridad, así como garantizar la integridad y confidencialidad de los datos.

Configuración del servidor y de la base de datosSBM Configurator proporciona un mecanismo sencillo para implantar los distintos componentes de bases de datos y aplicaciones de SBM entre varios servidores . Esto es útil para minimizar la “superficie de ataque”. Por ejemplo, los datos actualizados por los usuarios se pueden almacenar en un servidor, los datos utilizados para crear y describir las aplicaciones de proceso y otros artefactos de diseño se pueden almacenar en otro y la configuración y los datos administrativos se pueden almacenar en otra máquina. Por tanto, los administradores pueden restringir el acceso a esos servidores adecuadamente, lo que dificulta que un adversario pueda explotar el sistema mediante el acceso sin autorización a un servidor o a una máquina física .

Micro Focus se toma la seguridad muy en serio. Nos esforzamos por mejorar SBM continuamente para proporcionar protección contra las nuevas vulnerabilidades descubiertas.

2

Informe oficialEvaluación de seguridad en aplicaciones web de Micro Focus Solutions Business Manager 11.0

Cifrado de datos en tránsitoLos datos son más vulnerables al acceso no autorizado, ya que viajan a través de Internet o de las redes. Por lo tanto, SBM Configurator proporciona el mecanismo para configurar servidores aplicables para utilizar HTTP seguras (HTTPS) y protocolos de seguridad SSL para cifrar, autenticar y garantizar la integridad de los datos . Esto es útil para las interacciones con los usuarios finales, las comunicaciones entre componentes, las comunicaciones con los sistemas de terceros y las infraestructuras como los servidores LDAP y las bases de datos relacionales.

Cifrado de datos inactivosLos datos que residen en los sistemas y medios de almacenamiento suponen un grave problema de seguridad con respecto a la protección y la privacidad de los datos corporativos . SBM cuenta con dos facetas para los datos inactivos: los datos almacenados en una base de datos relacional y los datos almacenados en el sistema de archivos .

Existen dos factores para garantizar la seguridad de los datos de la base de datos relacional . El primer factor es la restricción del acceso a los datos a través de los permisos para las bases de datos utilizadas por SBM . Esto se rige por las cuentas de usuario DBMS o las cuentas de dominio de Windows que cuentan con acceso a las bases de datos . El segundo factor es que se pueden cifrar los datos de las bases de datos mediante el DBMS para añadir una capa más de seguridad .

También deben protegerse los datos almacenados en el sistema de archivos, como la información sobre la configuración y la conexión. SBM cifra las credenciales utilizadas para la conexión con sus diversas bases de datos utilizando un algoritmo de cifrado triple DES con claves de 184 bits . La información utilizada para conectarse a los proveedores de identidad para la entrada única (SSO) puede considerarse sensible, de modo que SBM ofrece la opción de cifrar esta información. SSO utiliza claves de 256 bits con Blowfish, AES o 3DES.

Autenticación y gestión de sesionesNo importa el método de acceso (navegador web, aplicaciones móviles o de escritorio), el acceso de todos los usuarios se realiza a través de un proceso de autenticación . SBM Configurator proporciona varias opciones para los proveedores de identidad, como la base de datos de usuarios internos, el dominio de Windows, LDAP u otros proveedores de terceros. La gestión de sesiones de SBM puede configurarse para utilizar cookies HTTP, NTLM o tokens de seguridad mediante SSO. SBM también permite escenarios más complejos al utilizar SSO, incluida la validación de varios proveedores de identidad y la autenticación de dos factores mediante tarjetas inteligentes.

Además, SBM proporciona controles para gestionar el tiempo de inactividad de la vida útil del token de sesión para los tokens de seguridad.

No importa el método de acceso (navegador web, aplicaciones móviles o de escritorio), el acceso de todos los usuarios se realiza a través de un proceso de autenticación. SBM Configurator proporciona varias opciones para los proveedores de identidad, como la base de datos de usuarios internos, el dominio de Windows, LDAP u otros proveedores de terceros.

3www.microfocus.com

Autorización (control de acceso)El administrador de aplicaciones de SBM proporciona a los administradores la posibilidad de establecer permisos de usuario según los niveles individuales, de función o grupo, lo que da a los administradores la capacidad de seguir el principio del privilegio mínimo: permitir que los usuarios tengan la menor autoridad posible que les sea necesaria para realizar su trabajo. Además, SBM proporciona conexiones SSL de dos vías para restringir el acceso a las interfaces de usuario no finales.

Seguridad para aplicaciones webSBM proporciona capacidades integradas de saneamiento y firewall propias y de terceros para diversos tipos de ataques:

Ataques de contenido HTML/XML (ataques cross-site scripting [XSS], inyecciones de JavaScript, inyección de SQL y corrección)

Ataques criptográficos (denegación del servicio y ataques de reproducción)

Ataques SOAP (operación de filtrado de SOAP y datos adjuntos de SOAP no autorizados)

Ataques de comunicación (encabezado HTTP y análisis de cadena de consulta)

Ataques de autenticación (ataques de falsificación de solicitudes entre sitios [XSRF])

SBM proporciona la personalización de este saneamiento mediante los administradores de aplicaciones .

Además de la supervisión de contenidos y el saneamiento, SBM proporciona un firewall de aplicaciones web que incluye ModSecurity . Esto se puede utilizar para lograr la supervisión o se puede configurar para bloquear activamente las solicitudes basadas en normas de seguridad definidas. Estas normas de seguridad son personalizables y permiten a los administradores adaptar la configuración de seguridad para satisfacer sus necesidades de contenido concreto o los requisitos de seguridad crecientes . En el caso de que se descubra una vulnerabilidad de la seguridad, esto también permite la aplicación de parches virtuales de los sistemas de ese campo .

Resultados de las pruebas de seguridad de aplicaciones web para SBM 11.0

Las pruebas se realizaron utilizando Burp Suite Professional v1.6.28. Burp Web Vulnerability Scanner, una herramienta dentro de este paquete, fue utilizada específicamente para examinar activamente las solicitudes de un cliente . Esta herramienta está muy valorada en el sector y utiliza la lógica de análisis de los comentarios proporcionados, en lugar de una lista estática de posibles vulnerabilidades .

El administrador de aplicaciones de SBM proporciona a los administradores la posibilidad de establecer permisos de usuario según los niveles individuales, de función o grupo, lo que da a los administradores la capacidad de seguir el principio del privilegio mínimo: permitir que los usuarios tengan la menor autoridad posible que les sea necesaria para realizar su trabajo.

4

Informe oficialEvaluación de seguridad en aplicaciones web de Micro Focus Solutions Business Manager 11.0

Para realizar esta prueba, Burp Suite supervisó solicitudes en una instalación remota autónoma de SBM con autenticación interna de SBM y gestión de sesiones de SSO.

Configuración de pruebasBurp Suite se ejecuta en una máquina específica que actúa como un servidor de proxy de supervisión de solicitudes realizadas a través del navegador web. Para realizar esta prueba, Burp Suite supervisó solicitudes en una instalación remota autónoma de SBM con autenticación interna de SBM y gestión de sesiones de SSO . Burp Suite registró solicitudes realizadas mediante el explorador, detectando al mismo tiempo las vulnerabilidades de manera pasiva . Burp Suite fue utilizada para analizar activamente todas las solicitudes registradas con parámetros, enviando numerosas (cientos o miles) de solicitudes con formato tras cada solicitud analizada, pero con alteraciones de los parámetros para exponer las vulnerabilidades. SBM fue configurado para utilizar HTTPS para las solicitudes y se activó el SSO. Para gestionar la variabilidad de personalización, también se utilizó un conjunto de reglas personalizado de ModSecurity. Análisis de prueba para los siguientes tipos de ataques:

Inyección de SQL

Inyección de comandos del SO

Inyección de plantilla y código del servidor

Cross site scripting reflejados y almacenados

Manipulación/transversal de ruta del archivo

Interacción externa/fuera de banda

Inyección de encabezados HTTP

Inyección de SOAP/XML

Inyección de LDAP

Falsificación de solicitudes entre sitios

Redirección abierta

Manipulación del encabezado

Problemas a nivel de servidor

Micro Focus evaluó los resultados de estos análisis, buscando las peticiones con posibles vulnerabilidades .

Casos prácticosEl análisis se hizo según lo que podría considerarse el uso habitual de SBM . Esto incluye:

Registro en SBM

Visualización de datos de elementos

Visualización de informes

Visualización de tareas pendientes

Visualización de actividades

5www.microfocus.com

Se prestó una atención especial a las operaciones que almacenan o modifican datos en el sistema, como:

Envío de un elemento

Transición de un elemento

Creación y modificación de un informe

Creación de tareas pendientes

Creación de actividades

Búsqueda del centro de trabajo

Búsqueda del área de trabajo del usuario

Actualización de la información de perfil del usuario

ConclusionesSe evaluaron los resultados de los análisis de seguridad. No se encontraron vulnerabilidades graves. Los resultados considerados como problemas potenciales de un bajo nivel de gravedad fueron inspeccionados manualmente y se determinó que no suponían un problema, como se detalla a continuación .

Se evaluaron los resultados de los análisis de seguridad. No se encontraron vulnerabilidades graves.

Área de prueba Resultado Información adicional Enviar, ver, elemento de

transición Aprobado. No se ha encontrado ningún problema

de gravedad alta o media —

Creación y ejecución de informes

Aprobado. XSS falso positivo basado en DOM La inspección del código confirmó que el saneamiento era correcto. SBM bloqueó correctamente el intento de XSS basado en DOM.

Creación y ejecución de informes

Aprobado. Detección de falso positivo del encabezado de respuesta

La inspección del código muestra que se limpió correctamente después de una redirección.

Modificación del perfil de usuario

Aprobado. —

Búsqueda clásica Aprobado. Falso positivo para XSS basado en DOM La inspección del código indica que los valores están saneados. SBM bloqueó correctamente el intento de XSS basado en DOM.

Centro de trabajo Aprobado con excepción. Se ha encontrado un problema de XSS reflejado con el parámetro de shell (consulte “Información adicional”)

Micro Focus proporciona las reglas de seguridad para la configuración del firewall de la aplicación web para bloquearlo. Los clientes pueden configurarlo para permitir shells personalizadas.

Creación y ejecución de la actividad

Aprobado con excepción. Se ha encontrado un problema de XSS reflejado (consulte “Información adicional”)

La inspección del código indica que los valores están saneados. SBM bloqueó correctamente el intento de XSS basado en DOM. Micro Focus también proporciona las reglas de seguridad para la configuración del firewall de la aplicación web para bloquearlo.

Creación y ejecución de registros

Aprobado con excepción. Se ha encontrado un problema de XSS reflejado (consulte “Información adicional”)

SBM bloqueó correctamente el intento de XSS basado en DOM. Micro Focus proporciona las reglas de seguridad para la configuración del firewall de la aplicación web para bloquearlo.

162-ES0094-002 | S | 06/17 | © 2017 Micro Focus. Reservados todos los derechos. Micro Focus y el logotipo de Micro Focus, entre otros, son marcas comerciales o marcas comerciales registradas de Micro Focus o sus compañías subsidiarias y filiales en Reino Unido, Estados Unidos y en otros países. El resto de marcas son propiedad de sus respectivos propietarios.

Argentina+54 11 5258 8899

Chile+56 2 2864 5629

Colombia+57 1 622 2766

México+52 55 5284 2700

Panamá+507 2 039291

España+34 91 781 5004

Venezuela+58 212 267 6568

Micro FocusSedes corporativasReino Unido+44 (0) 1635 565200

www.microfocus.com

Los diez resultados principales de OSWASP

www.microfocus.com

ID Área de prueba Resultado Información adicional A1 Inyección No se ha

encontrado ningún problema

SBM supervisa activamente los diferentes ataques de inyección y sigue los patrones de diseño utilizados para su prevención.

A2 Violación de la autenticación y gestión de sesiones

No se ha encontrado ningún problema

SBM utiliza las mejores prácticas del sector para la gestión de sesiones, autenticación y la gestión de contraseñas.

A3 Cross Site Scripting (XSS) No se ha encontrado ningún problema

SBM supervisa activamente los ataques XSS y proporciona una configuración muy precisa para el contenido permitido.

A4 Referencias de objeto directo inseguras

No se ha encontrado ningún problema

El acceso a todos los objetos mediante SBM se realiza a través de un control de acceso centralizado para verificar el permiso del usuario.

A5 Errores de configuración de seguridad

No se ha encontrado ningún problema

SBM proporciona una aplicación de configuración para facilitar la configuración de los ajustes de seguridad y ofrece una guía sobre cómo proteger la configuración correctamente.

A6 Exposición de la información confidencial

No se ha encontrado ningún problema

SBM almacena los datos confidenciales de forma segura de manera inactiva y, si se establece esta configuración, en tránsito hacia el servidor.

A7 Control de acceso a nivel de funciones inexistente

No se ha encontrado ningún problema

Todas las solicitudes de datos se validan al nivel del cliente y del servidor para garantizar los permisos adecuados para acceder a los datos.

A8 Falsificación de solicitudes entre sitios (CSRF)

No se ha encontrado ningún problema

SBM cuenta con supervisión y mitigación activas de ataques de CSRF.

A9 Utilización de componentes con vulnerabilidades conocidas

No se ha encontrado ningún problema

Como parte del proceso de lanzamiento, los componentes de terceros se analizan según las listas de vulnerabilidad y se actualizan consecuentemente.

A10 Redirecciones y reenvíos no válidos

No se ha encontrado ningún problema

SBM realiza una comprobación estricta de las redirecciones internas y externas.