Exemplo Pentest Interno

CONFIDENCIAL
Projeto de Testes de Intrusão
Relatório de Atividades e Resultados

(Ambiente Interno)
Cliente: Empresa Fictícia

Destinatário: João da Silva
Remetente: Firewalls
Contato: Filipe Alcarde Balestra
Data: 25 de dezembro de 2009
Este documento contém informações privilegiadas e confidenciais, portanto fica o

seu receptor notificado de que qualquer disseminação, distribuição ou cópia não
autorizada é estritamente proibida. Se você recebeu este documento indevidamente
ou por engano, por favor, informe este fato ao remetente e o destrua imediatamente.
CONFIDENCIAL

___________________________________________________________________
CONTROLE DE VERSÕES
Data Versão Autor Alterações

25/12/2009 1.0 Filipe Alcarde Balestra Versão inicial.
(filipe.balestra@firewalls.com.br)
Firewalls Security Corporation
www.firewalls.com.br 2
CONFIDENCIAL

___________________________________________________________________
ÍNDICE
CONFIDENCIAL

___________________________________________________________________
1 Sobre o Projeto
As atividades e resultados relatados neste documento são referentes aos testes do

ambiente interno. O objetivo desse teste foi analisar o nível de vulnerabilidade da
infra-estrutura de TI da EMPRESA FICTÍCIA acessível internamente, com base em
simulações práticas das tentativas de comprometimento da segurança de sistemas e
informações que poderiam ser feitas por atacantes posicionados internamente.
De forma mais específica, o ambiente contemplado no teste de intrusão foi o

seguinte:
• Servidores, aplicações e elementos de rede da EMPRESA FICTÍCIA acessíveis

internamente, a partir de uma ou mais estações de trabalho posicionadas na
rede corporativa. Neste âmbito, as simulações foram realizadas considerando
o seguinte perfil de usuário:
o Usuário sem credenciais de acesso à rede corporativa da EMPRESA

FICTÍCIA ou a quaisquer de seus sistemas.
A FIREWALLS executou as atividades do teste de intrusão na matriz da EMPRESA

FICTÍCIA em Manaus, no período de 02/12/2006 a 20/12/2006. Tais atividades serão
descritas neste documento, ao lado dos resultados obtidos e recomendações
devidas, bem como de outras informações pertinentes.
Obs.: Ao contrário do que fora definido como pré-requisitos para este serviço, não
foram fornecidos os usuários com os devidos perfis para acesso aos sistemas.
Portanto, o escopo original dos testes foi significativamente reduzido.
CONFIDENCIAL

___________________________________________________________________
2 Atividades
Durante o período citado, a FIREWALLS atuou de forma a identificar e explorar

vulnerabilidades na infra-estrutura de TI da EMPRESA FICTÍCIA. A partir de diversas
informações coletadas, visou-se comprometer a integridade, confidencialidade ou
disponibilidade de informações da empresa, o que poderia ter impacto direto ou
indireto nos negócios da EMPRESA FICTÍCIA. Contudo, foram tomados todos os
cuidados para que estas atividades não impactassem negativamente nas operações
da empresa e nem causassem danos irreparáveis a informações.
Os hosts alvo dos testes foram definidos a partir da coleta de informações

disponíveis internamente. Vários métodos foram utilizados para a coleta, envolvendo
o acesso aos portais da Intranet, obtenção de nomes no DNS interno e mapeamento
de redes vizinhas.
Na seqüência, os hosts alvo foram submetidos a varreduras realizadas pelo software

Nmap (http://insecure.org) para mapeamento inicial dos serviços disponíveis, e
posteriormente os serviços de rede considerados críticos foram verificados
manualmente, com o objetivo de confirmar ou descartar a presença de
vulnerabilidades, bem como de detectar alvos passíveis de investigações
aprofundadas.
CONFIDENCIAL

___________________________________________________________________
3 Vulnerabilidades e Recomendações
Esta seção irá apresentar os resultados do teste de intrusão, listando as

vulnerabilidades encontradas e recomendações de medidas para sua correção.
3.1 Emprego de credencial padrão no servidor 12.32.18.100

(Celerra)
Descrição
O EMC Celerra Manager é uma interface de controle de Storages e é responsável

por gerenciar todas as Storages da EMPRESA FICTÍCIA. Durante a análise foi
detectado que o usuário nasadmin estava com a senha padrão, que também é
nasadmin. Isso garantiu nosso acesso à interface de gerenciamento via web.
As figuras abaixo ilustram o problema:
CONFIDENCIAL

___________________________________________________________________
CONFIDENCIAL

___________________________________________________________________
Selecionando a opção Tools também é possível acessar o servidor através de um

cliente ssh, utilizando a mesma credencial.
Impacto
Qualquer pessoa conectada a rede da EMPRESA FICTÍCIA pode ter acesso ao sistema,
após identificar o nome do serviço e fazer uma simples consulta a algum sistema de
busca pela internet, tal como o Google, procurando pela senha padrão do sistema.
Criticidade
Alta.
Medidas
1) Alterar a senha do usuário padrão do sistema (nasadmin);
2) Realizar uma análise no servidor para descobrir se o mesmo não foi

comprometido anteriormente e se não existe nenhum trojan instalado.
3.2 Emprego de credenciais padrão e/ou fracas em banco de

dados Oracle
Descrição
Diversos bancos de dados Oracle foram encontrados utilizando usuários com

senhas padrão e/ou fracas. A lista abaixo são apenas dos IP’s dos servidores. Os
usuários e senhas encontradas estão no arquivo chamado
Firewalls_Bancos_Oracle.doc.
Obs.: Os endereços IP’s em vermelho fazem parte da lista de endereços

monitorados.
CONFIDENCIAL

___________________________________________________________________
• 10.142.176.114
• 10.142.176.13
• 10.142.176.30
• 10.142.176.69
• 10.142.176.81
• 10.151.176.11
• 10.151.176.13
• 10.151.176.150
• 10.151.176.56
• 10.151.176.57
• 10.151.176.88
• 10.51.240.102
• 10.51.240.15
• 10.51.240.26
• 10.51.240.27
• 10.51.242.136
• 10.51.242.52
• 10.51.252.56
• 10.58.176.73
CONFIDENCIAL

___________________________________________________________________
• 12.32.103.126
• 12.32.120.73
• 12.32.122.32
• 12.32.16.151
• 12.32.16.154
• 12.32.16.171
• 12.32.16.204
• 12.32.16.211
• 12.32.16.214
• 12.32.16.234
• 12.32.16.235
• 12.32.17.100
• 12.32.17.208
• 12.32.176.166
• 12.32.176.179
• 12.32.176.183
• 12.32.176.187
• 12.32.176.22
• 12.32.176.55
CONFIDENCIAL

___________________________________________________________________
• 12.32.176.79
• 12.32.177.152
• 12.32.177.163
• 12.32.177.164
• 12.32.177.165
• 12.32.177.189
• 12.32.177.2
• 12.32.177.34
• 12.32.177.73
• 12.32.177.74
• 12.32.178.228
• 12.32.178.229
• 12.32.179.201
• 12.32.18.2
• 12.32.18.23
• 12.32.18.61
• 12.32.20.26
• 12.32.240.202
• 12.32.240.21
CONFIDENCIAL

___________________________________________________________________
• 12.32.240.29
• 12.32.240.30
• 12.32.240.35
• 12.32.240.53
• 12.32.240.82
• 12.32.240.86
• 12.32.240.91
• 12.32.242.2
• 12.32.40.52
Impacto
O emprego de usuários com senhas padrão e/ou fracas viabiliza o acesso às

instâncias do banco de dados Oracle por parte de usuários não autorizados. O nível
de comprometimento da segurança destas instâncias está diretamente ligado ao
perfil de cada usuário.
Criticidade
Alta.
Medidas
1) Revisar o acesso de todos os usuários listados. Usuários que necessitam de

acesso às referidas instâncias do Oracle deverão ter suas senhas redefinidas, e
os demais deverão ser bloqueados;
2) Forçar os usuários com senhas fracas a alterarem suas senhas.

CONFIDENCIAL

___________________________________________________________________
3.3 Vulnerabilidade no servidor 11.51.243.130
Descrição
O servidor server_vuln.crt.com, de IP 11.51.243.130, possui compartilhamento de

arquivos realizado através do samba. Para acessar algumas pastas compartilhadas
não é necessário autenticação ou algum tipo de autorização. Mas existem diretórios
dentro dos compartilhamentos que contém arquivos com informações críticas do
servidor e esses arquivos também podem ser acessados por qualquer usuário que
esteja conectado na rede da EMPRESA FICTÍCIA.
Como exemplo, podemos citar o arquivo chamado ho1.txt, que esta no seguinte
caminho: \\11.51.243.130\021919.
Esse arquivo contém todas as informações sobre esse servidor, incluindo a lista de
processos e o arquivo /etc/passwd. Com isso, foi possível utilizar um simples ataque
de força bruta contra as senhas contidas nesse arquivo e conseguir uma credencial
de acesso ao servidor em poucos segundos.
C:\Pentest\PasswordCracking\JOHN_4_DOS\RUN>JOHN-386.COM passwd.txt
Loaded 45 password hashes with 44 different salts (Traditional DES [24/32
4K])
sgeusuh (sgeusuh)
itfsach (itfsach)
samba1 (smb)
sgeins2 (sgeins2)
sgeins1 (sgeins1)
terus123 (terusins)
spart123 (spartins)
terus123 (terusinh)
spart123 (spartweh)
spart123 (spartinh)
CONFIDENCIAL

___________________________________________________________________
A imagem abaixo ilustra o acesso feito durante os testes, com o usuário sgeusuh:
Impacto
Em posse de informações sensíveis do servidor, que estão disponibilizadas no

compartilhamento, um atacante pode obter credenciais de acesso que podem ser
usadas através do serviço sshd e com isso, comprometer o servidor e todas as
aplicações.
Criticidade
Alta.
Medidas
1) Alterar as senhas dos usuários do servidor;
CONFIDENCIAL

___________________________________________________________________

comprometido anteriormente e se não existe nenhum trojan instalado;
3) Remover todos os arquivos com informações críticas de diretórios públicos.
4) Permitir que apenas usuários autorizados acessem o compartilhamento de

arquivos.
Descrição
O servidor wfmp.empresaficticia.com.br, de IP 11.51.243.136, possui

compartilhamento de arquivos realizado através do samba. Para acessar algumas
pastas compartilhadas não é necessário autenticação ou algum tipo de autorização.
Mas existem diretórios dentro dos compartilhamentos que contém arquivos com
informações críticas do servidor e esses arquivos também podem ser acessados por
qualquer usuário que esteja conectado na rede da EMPRESA FICTÍCIA.
Como exemplo, podemos citar o arquivo chamado passwd, que esta no seguinte
caminho: \\11.51.243.136\home\545919.
Esse arquivo contém todas os nomes de usuários e suas respectivas senhas

criptografadas. Com isso, foi possível utilizar um simples ataque de força bruta
contra as senhas contidas nesse arquivo e conseguir uma credencial de acesso ao
servidor em poucos segundos.
C:\Pentest\PASSWO~1\JOHN_4~1\RUN>JOHN-386.COM passwd.txt
4K])
oracle (oracle)
rr076057 (rr076057)
CONFIDENCIAL

___________________________________________________________________
rr022352 (rr022352)
consura1 (consura)
marcelo2 (tr035256)
spart123 (spartins)
A imagem abaixo ilustra o acesso feito durante os testes, com o usuário oracle:
Impacto
Em posse de informações sensíveis do servidor, que estão disponibilizadas no

compartilhamento, um atacante pode obter credenciais de acesso que podem ser
usadas através do serviço sshd e com isso, comprometer o servidor e todas as
aplicações, incluindo outros servidores da mesma aplicação que utiliza a mesma
credencial de acesso.
Criticidade
Alta.
CONFIDENCIAL

___________________________________________________________________
Medidas

3) Remover todos os arquivos com informações críticas de diretórios públicos.
4) Permitir que apenas usuários autorizados acessem o compartilhamento de

arquivos.
3.5 Comprometimento do servidor 10.51.242.146
Descrição
O servidor prd1.empresaficticia.com.br, de IP 10.51.242.146, possui algumas

credenciais de acesso iguais às credencias de acesso do servidor
wfmprd1.empresaficticia.com.br, citado anteriormente neste relatório.
Com base em algumas credenciais obtidas após realizar teste de força bruta contra
o arquivo /etc/passwd do servidor prd1, algumas credenciais de acesso foram
testadas e funcionaram.
A figura abaixo ilustra o nosso acesso ao servidor prd2, utilizando o nome de usuário
sssddd e senha marcelo2:
CONFIDENCIAL

___________________________________________________________________
Ainda nesse servidor, percebeu-se que existem usuários com senhas consideradas
fracas, pois com apenas alguns segundos de uso de uma ferramenta de força bruta
contra o arquivo /etc/passwd revelou algumas credenciais de acesso, que são as
seguintes:
4K])
proc (proC)
consura1 (consura)
marcelo2 (cc2352)
cc2352 (cc2352)
Impacto
CONFIDENCIAL

___________________________________________________________________
Assim como nós conseguimos acessar o servidor, um atacande pode comprometer o

mesmo servidor e todas as aplicações, incluindo outros servidores da mesma
aplicação que utiliza a mesma credencial de acesso, que foi o caso desse servidor.
Criticidade
Alta.
Medidas

Descrição
O servidor prd3.empresaficticia.com.br, de IP 10.51.242.147, possui algumas

credenciais de acesso iguais às credencias de acesso do servidor
prd1.empresaficticia.com.br, citado anteriormente neste relatório.
Com base em algumas credenciais obtidas após realizar teste de força bruta contra
o arquivo /etc/passwd do servidor prd1, algumas credenciais de acesso foram
testadas e funcionaram.
A figura abaixo ilustra o nosso acesso ao servidor prd3, utilizando o nome de usuário
cc2352 e senha marcelo2:
CONFIDENCIAL

___________________________________________________________________
Ainda nesse servidor, percebeu-se que existem usuários com senhas consideradas
fracas, pois com apenas alguns segundos de uso de uma ferramenta de força bruta
contra o arquivo /etc/passwd revelou algumas credenciais de acesso, que são as
seguintes:
4K])
itfsac (itfsac)
cc76057 (cc76057)
cc35718 (cc35718)
cc22352 (cc22352)
marcelo2 (035256)
terus123 (terusweb)
Impacto
CONFIDENCIAL

___________________________________________________________________

aplicação que utiliza a mesma credencial de acesso, que foi o caso desse servidor.
Criticidade
Alta.
Medidas

Descrição
O servidor svsecure.empresa, de IP 10.48.10.200, foi comprometido utilizando

informações obtidas no arquivo wfmho1.txt, que esta no compartilhamento que ja foi
citado anteriormente nesse relatório, no item 3.2.
A figura abaixo ilustra as informações obtidas no arquivo, que nos permitiu acessar
esse servidor:
Nesse caso, utilizamos o usuário bxs e a senha bxsLALALA, que pode ser visto na
listagem de processos do servidor prd1.br.
CONFIDENCIAL

___________________________________________________________________
Também percebeu-se que existem usuários com senhas consideradas fracas, pois
com apenas alguns segundos de uso de uma ferramenta de força bruta contra o
arquivo /etc/passwd revelou algumas credenciais de acesso, que são as seguintes:
4K])
Suporte (suporte)
ex8537 (ex8537)
Oracle (oracle)
maiana1 (maiana)
Teste1 (testebxs)
gdbo12 (gdbo)
Ainda nesse servidor, foi possível encontrar arquivos com informações sensíveis
sobre outros dispositivos da rede da empresa, como pode ser visto na figura abaixo:
CONFIDENCIAL

___________________________________________________________________
Esse arquivo traz a senha de diversos roteadores da rede da EMPRESA FICTÍCIA, que
pôde ser acessados com permissão total, utilizando o usuário masc, senha swan213
e senha do “enable” thrush. como mostra a figura seguinte:
Os roteadores comprometidos são os seguintes:
tele> cat config

:2007 2008:masc:swan213:thrush.
36.10:2003 2012 2015 2016:masc:swan213:thrush.
169.42:2006 2010 2012 2015:masc:swan213:thrush.
170.14:2012 2013 2015:masc:swan213:thrush.
.6:2012 2013 2015:masc:swan213:thrush.
.30:2012 2013 2015:masc:swan213:thrush.
.10:2012 2013 2015:masc:swan213:thrush.
.38:2012 2013 2015:masc:swan213:thrush.
169.238:2012 2013 2015:masc:swan213:thrush.
.8:2013 2014 2015:masc:swan213:thrush.
.42:2001 2003 2005:masc:swan213:thrush.
CONFIDENCIAL

___________________________________________________________________
272:10.60.169.30:2006:masc:swan213:thrush.
tele>
Impacto

aplicação que utiliza a mesma credencial de acesso.
Também é possível acessar diversos roteadores da rede, comprometendo

consideravelmente a segurança da empresa, pois é possível redirecionar o trafego
de um roteador para um computador e capturar todos os dados que por ele passar,
incluindo senhas, e-mails e novas credenciais de acesso.
Criticidade
Alta.
Medidas

3) Alterar as senhas dos roteadores em questão;
4) Alterar a permissão de arquivos com informações críticas para permitir apenas

que o dono do arquivo tenha permissão de leitura do conteúdo do mesmo.
CONFIDENCIAL

___________________________________________________________________
Descrição
O servidor Solaris de IP 10.142.10.40, que aparentemente é um servidor de backup,

pois possui o serviço Veritas Netbackup em execução, utiliza uma versão do serviço
rpc.ttdbserverd que contém uma vulnerabilidade que, quando explorada, permite ler
arquivos do servidor, com privilégios do usuário root.
Impacto
A vulnerabilidade permite que seja lido qualquer arquiv do servidor, de forma remota,
incluindo os arquivos /etc/passwd e /etc/shadow, e com isso, é possível utilizar
ferramentas de força bruta contra as credenciais obtidas, a fim de obter um nome de
usuário e senha validos para ser utilizado através dos serviços telnet ou ssh.
A figura abaixo ilustra a exploração da vulnerabilidade (console do Metasploit

Framework):
CONFIDENCIAL

___________________________________________________________________
Com isso, foi possível conseguir uma credencial de acesso, utilizando um software
que realiza ataques de força bruta contra as senhas obtidas com a leitura dos dois
arquivos.
C:\JOHN\RUN>john-386 arquivofinal.txt
4K])
cacti (cacti)
Criticidade
Alta.
Medidas
CONFIDENCIAL

___________________________________________________________________

3) Desabilitar o serviço rpc.ttdbserverd do servidor.
Descrição
O servidor Solaris clusteradm-1--EMPRESA, de IP 10.142.10.40, utiliza uma versão

do serviço SADMIND que contém uma vulnerabilidade que, quando explorada,
garante acesso remoto ao para um atacante, com privilégios do usuário root.
Impacto
A vulnerabilidade permite que seja obtido acesso com privilégios de administrador

no sistema afetado, de forma remota, viabilizando seu comprometimento em todos
os níveis, sendo possível a instalação de backdoor, keylogger ou rootkit a nível de
kernel.
A figura abaixo ilustra a exploração da vulnerabilidade (console do Metasploit

Framework):
CONFIDENCIAL

___________________________________________________________________
Criticidade
Alta.
Medida
1) Desabilitar o serviço SADMIND do servidor 10.142.10.40.
3.10 Inadequação da validação de entrada no portal XXRR -

http://10.1.1.1/
Descrição
O portal XXRR, disponível em http://10.1.1.1/ possui validação de entrada (input

validation) inadequada, possibilitando a execução de ataques de SQL Injection.
CONFIDENCIAL

___________________________________________________________________
O erro ocasionado através da inserção de aspas simples no campo usuário e senha

pode ser visto na figura abaixo:
Adicionalmente a esse problema, é possível listar o conteúdo do diretório /apls/,

podendo descobrir diversos arquivos que podem conter informações importantes.
CONFIDENCIAL

___________________________________________________________________
Impacto
Se explorada a falha, através do uso de técnicas de SQL Injection, é possível obter

acesso a informações restritas do portal.
Permissão para listagem de conteúdo do diretório pode ser um perigo se existem

arquivos com informações importantes no mesmo. Apesar de existirem arquivos com
extensão .php.bak (backup), o serviço PHP esta interpretando os arquivos, evitando
a leitura do código fonte.
Criticidade
Alta.
Medidas
CONFIDENCIAL

___________________________________________________________________
1) Revisar o código-fonte da aplicação web do portal, levando em consideração as

melhores práticas de programação segura, principalmente quanto à validação de
entrada de dados de usuários;
2) Bloquear o direito de listagem de diretórios do servidor web.
3.11 Vulnerabilidade em componente do PAC
Descrição
O “Monitoramento do mservlog” não possui mecanismo de autenticação de acesso,

possibilitando qualquer usuário acessar informações importantes sobre os sistemas.
Durante a análise os seguintes servidores estavam acessívels pela porta 8000/tcp:
• 0110 - http://11.142.176.94:8000/
• 0116 - http://11.151.176.60:8000/
• 0117 - http://11.151.176.61:8000/
• 5084 - http://12.32.177.86:8000/
• 5085 - http://12.32.177.87:8000/
• 5086 - http://12.32.177.88:8000/
• 5087 - http://12.32.177.89:8000/
Impacto
A ausência de mecanismo de autenticação permite o acesso às aplicações de

monitoramento de logs dos agentes do PAC, o “mservlog”. Nessa aplicação é
CONFIDENCIAL

___________________________________________________________________
possível obter informações críticas dos sistemas, como por exemplo usuário e senha
de dispositivos de rede. As imagens abaixo ilustram o problema:
Na última figura, é possível ver algumas credenciais de acesso a dispositivos de

rede, que foram obtidas acessando o arquivo http://12.32.177.87:8000/lalala.
Com posse dessas informações foi possível acessar os dispositivos 10.144.214.40,

10.144.214.41 e 10.144.214.42.
Medidas
1) Implantar sistema de autenticação e autorização para a aplicação;
2) Redefinir a senha dos dispositivos 10.144.214.40, 10.144.214.41 e

10.144.214.42.
CONFIDENCIAL

___________________________________________________________________
3.12 Emprego de credenciais padrões em Switches 3Com e Cisco
Descrição
Diversos switches foram encontrados na rede utilizando a senha padrão, que é

definida inicialmente pelo fabricante do produto. Abaixo segue a lista dos
equipamentos, bem como as credenciais de acesso ao mesmo, que pode ser feita
via web, na porta 80/tcp, ou via telnet, na porta 23/tcp.
• 12.32.82.12 - (sem usuário e senha definidos)
• 12.32.14.10 - (monitor/monitor)
• 12.32.32.6 - (security/security e monitor/monitor)
CONFIDENCIAL

___________________________________________________________________
As imagens abaixo ilustra o acesso aos switches das marcas 3Com e Cisco:
Impacto
CONFIDENCIAL

___________________________________________________________________
Qualquer usuário com acesso à rede interna da EMPRESA FICTÍCIA pode obter acesso
às configurações dos switches, comprometendo a segurança da rede.
Criticidade
Média.
Medida
1) Alterar a senha padrão e escolher uma senha considerada forte, evitando que um
ataque de brute force contra estes dispositivos obtenha sucesso.
3.13 Ausência de autenticação para acesso às câmeras de

monitoramento
Descrição
Diversas câmeras de monitoramento da empresa podem ser acessadas via web,

sem nenhuma autenticação. Abaixo segue a lista dos equipamentos que podem ser
via web, na porta 80/tcp:
• http//12.32.14.41/
• http://12.32.32.191/
• http://12.32.32.222/
• http://12.32.32.224/
• http://12.32.70.81/
• http://12.32.70.82/
• http://12.32.70.83/
CONFIDENCIAL

___________________________________________________________________
• http://12.32.70.84/
• http://12.32.70.85/
• http://12.32.104.27/
• http://12.32.104.55/
• http://12.32.108.50/
• http://12.32.108.51/
• http://12.32.108.53/
• http://12.32.168.25/
A imagem a seguir ilustra o problema citado acima:
Impacto
CONFIDENCIAL

___________________________________________________________________
A ausência de autenticação possibilida o acesso não autorizado às câmeras de

monitoramento. Com isso, uma pessoa que possue acesso a rede da empresa pode
monitorar diversos espaços físicos da EMPRESA FICTÍCIA.
Criticidade
Média.
Medida
1) Implementar uma autenticação no serviço, permitindo que apenas pessoas

autorizadas consigam acessar os endereços citados acima.
3.14 Ausência de autenticação para acesso às configurações das

impressoras
Descrição
Páginas de configuração de algumas impressoras podem ser acessadas via web,

sem nenhuma autenticação. Algumas das impressoras que foram identificadas sem
autenticação são as seguintes:
• http://12.32.12.15/
• http://12.32.12.17/
• http://12.32.13.2/
• http://12.32.26.6/
• http://12.32.37.99
As figuras abaixo ilustram o problema:
CONFIDENCIAL

___________________________________________________________________
É importante ressaltar que podem existir outras impressoras na rede, além das
listadas acima, com o mesmo problema.
Impacto
Um usuário pode alterar as configurações da impressora e com isso, parar o serviço.
Criticidade
Baixa.
Medida
1) Definir uma senha de acesso, na própria página de configuração da impressora.
CONFIDENCIAL

___________________________________________________________________
4 Conclusão
O teste de intrusão realizado foi bastante elucidativo, ao apresentar uma amostra do

nível de exposição a ataques internos a que os ativos de informação da EMPRESA
FICTÍCIA estão sujeitos.
Ainda que os resultados do teste de intrusão possam ser considerados positivos, é

preciso notar que o mesmo provavelmente não detectou todas as vulnerabilidades
presentes no ambiente, devido ao tamanho e complexidade da rede interna da
EMPRESA FICTÍCIA.
Os resultados expressivos que foram obtidos devem ser encarados como uma
motivação para a implementação das medidas recomendadas. Caso não sejam
implementadas todas as medidas, é importante que seja feita uma avaliação que
deixe claro o nível de risco a ser assumido neste caso.
Por fim, a FIREWALLS se coloca à disposição para detalhar ainda mais as simulações
efetuadas e as vulnerabilidades encontradas, bem como para auxiliar na
implantação de qualquer uma das medidas recomendadas.

Exemplo Pentest Interno

Enviado por

Dados do documento

Direitos autorais

Formatos disponíveis

Compartilhar este documento

Compartilhar ou incorporar documento

Opções de compartilhamento

Você considera este documento útil?

Este conteúdo é inapropriado?

Direitos autorais:

Formatos disponíveis

Exemplo Pentest Interno

Enviado por

Direitos autorais:

Formatos disponíveis

CONFIDENCIAL

Projeto de Testes de Intrusão

Relatório de Atividades e Resultados

Cliente: Empresa Fictícia

Data: 25 de dezembro de 2009

Este documento contém informações privilegiadas e confidenciais, portanto fica o

Projeto de Testes de Intrusão

Data Versão Autor Alterações

Firewalls Security Corporation

Projeto de Testes de Intrusão

Firewalls Security Corporation

Projeto de Testes de Intrusão

As atividades e resultados relatados neste documento são referentes aos testes do

De forma mais específica, o ambiente contemplado no teste de intrusão foi o

• Servidores, aplicações e elementos de rede da EMPRESA FICTÍCIA acessíveis

o Usuário sem credenciais de acesso à rede corporativa da EMPRESA

A FIREWALLS executou as atividades do teste de intrusão na matriz da EMPRESA

Firewalls Security Corporation

Projeto de Testes de Intrusão

Durante o período citado, a FIREWALLS atuou de forma a identificar e explorar

Os hosts alvo dos testes foram definidos a partir da coleta de informações

Na seqüência, os hosts alvo foram submetidos a varreduras realizadas pelo software

Firewalls Security Corporation

Projeto de Testes de Intrusão

Esta seção irá apresentar os resultados do teste de intrusão, listando as

3.1 Emprego de credencial padrão no servidor 12.32.18.100

O EMC Celerra Manager é uma interface de controle de Storages e é responsável

As figuras abaixo ilustram o problema:

Firewalls Security Corporation

Projeto de Testes de Intrusão

Firewalls Security Corporation

Projeto de Testes de Intrusão

Selecionando a opção Tools também é possível acessar o servidor através de um

1) Alterar a senha do usuário padrão do sistema (nasadmin);

2) Realizar uma análise no servidor para descobrir se o mesmo não foi

3.2 Emprego de credenciais padrão e/ou fracas em banco de

Diversos bancos de dados Oracle foram encontrados utilizando usuários com

Obs.: Os endereços IP’s em vermelho fazem parte da lista de endereços

Firewalls Security Corporation

Projeto de Testes de Intrusão

Projeto de Testes de Intrusão

Projeto de Testes de Intrusão

Projeto de Testes de Intrusão

O emprego de usuários com senhas padrão e/ou fracas viabiliza o acesso às

1) Revisar o acesso de todos os usuários listados. Usuários que necessitam de

2) Forçar os usuários com senhas fracas a alterarem suas senhas.

Projeto de Testes de Intrusão

3.3 Vulnerabilidade no servidor 11.51.243.130

O servidor server_vuln.crt.com, de IP 11.51.243.130, possui compartilhamento de

Firewalls Security Corporation

Projeto de Testes de Intrusão

Em posse de informações sensíveis do servidor, que estão disponibilizadas no

1) Alterar as senhas dos usuários do servidor;

Firewalls Security Corporation

Projeto de Testes de Intrusão

2) Realizar uma análise no servidor para descobrir se o mesmo não foi

3) Remover todos os arquivos com informações críticas de diretórios públicos.

4) Permitir que apenas usuários autorizados acessem o compartilhamento de

3.4 Vulnerabilidade no servidor 11.51.243.136

O servidor wfmp.empresaficticia.com.br, de IP 11.51.243.136, possui

Esse arquivo contém todas os nomes de usuários e suas respectivas senhas

Firewalls Security Corporation

Projeto de Testes de Intrusão

Em posse de informações sensíveis do servidor, que estão disponibilizadas no