2.1 CVE-2011-5066

Ransomware Risk
 

A classe SibRaRecoverableSiXaResource no Default Messaging Component no IBM WebSphere Application Server (WAS) 6.1 antes de 6.1.0.41 não lida adequadamente com uma operação de despejo do Service Integration Bus (SIB) envolvendo o código de introspecção First Failure Data Capture (FFDC), que permite usuários locais para obter informações confidenciais lendo o arquivo de log FFDC.
https://nvd.nist.gov/vuln/detail/CVE-2011-5066

Categorias

CWE-200 : Exposição de Informações Sensíveis a um Ator Não Autorizado

Referências


 

CPE

cpe começar fim
Configuration 1
cpe:2.3:a:ibm:websphere_application_server:6.1:*:*:*:*:*:*:*
cpe:2.3:a:ibm:websphere_application_server:6.1.0:*:*:*:*:*:*:*
cpe:2.3:a:ibm:websphere_application_server:6.1.0.0:*:*:*:*:*:*:*
cpe:2.3:a:ibm:websphere_application_server:6.1.0.1:*:*:*:*:*:*:*
cpe:2.3:a:ibm:websphere_application_server:6.1.0.2:*:*:*:*:*:*:*
cpe:2.3:a:ibm:websphere_application_server:6.1.0.3:*:*:*:*:*:*:*
cpe:2.3:a:ibm:websphere_application_server:6.1.0.5:*:*:*:*:*:*:*
cpe:2.3:a:ibm:websphere_application_server:6.1.0.7:*:*:*:*:*:*:*
cpe:2.3:a:ibm:websphere_application_server:6.1.0.9:*:*:*:*:*:*:*
cpe:2.3:a:ibm:websphere_application_server:6.1.0.11:*:*:*:*:*:*:*
cpe:2.3:a:ibm:websphere_application_server:6.1.0.12:*:*:*:*:*:*:*
cpe:2.3:a:ibm:websphere_application_server:6.1.0.15:*:*:*:*:*:*:*
cpe:2.3:a:ibm:websphere_application_server:6.1.0.17:*:*:*:*:*:*:*
cpe:2.3:a:ibm:websphere_application_server:6.1.0.19:*:*:*:*:*:*:*
cpe:2.3:a:ibm:websphere_application_server:6.1.0.21:*:*:*:*:*:*:*
cpe:2.3:a:ibm:websphere_application_server:6.1.0.23:*:*:*:*:*:*:*
cpe:2.3:a:ibm:websphere_application_server:6.1.0.25:*:*:*:*:*:*:*
cpe:2.3:a:ibm:websphere_application_server:6.1.0.27:*:*:*:*:*:*:*
cpe:2.3:a:ibm:websphere_application_server:6.1.0.29:*:*:*:*:*:*:*
cpe:2.3:a:ibm:websphere_application_server:6.1.0.31:*:*:*:*:*:*:*
cpe:2.3:a:ibm:websphere_application_server:6.1.0.33:*:*:*:*:*:*:*
cpe:2.3:a:ibm:websphere_application_server:6.1.0.35:*:*:*:*:*:*:*
cpe:2.3:a:ibm:websphere_application_server:6.1.0.37:*:*:*:*:*:*:*
cpe:2.3:a:ibm:websphere_application_server:6.1.0.39:*:*:*:*:*:*:*
cpe:2.3:a:ibm:websphere_application_server:6.1.1:*:*:*:*:*:*:*
cpe:2.3:a:ibm:websphere_application_server:6.1.3:*:*:*:*:*:*:*
cpe:2.3:a:ibm:websphere_application_server:6.1.5:*:*:*:*:*:*:*
cpe:2.3:a:ibm:websphere_application_server:6.1.6:*:*:*:*:*:*:*
cpe:2.3:a:ibm:websphere_application_server:6.1.7:*:*:*:*:*:*:*
cpe:2.3:a:ibm:websphere_application_server:6.1.13:*:*:*:*:*:*:*
cpe:2.3:a:ibm:websphere_application_server:6.1.14:*:*:*:*:*:*:*


REMEDIAÇÃO




EXPLOITS


Exploit-db.com

id descrição datado
Nenhum exploit conhecido

Outros (github, ...)

Url
Nenhum exploit conhecido


CAPEC


Common Attack Pattern Enumerations and Classifications

id descrição gravidade
116 Escavação
Média
13 Subverter valores de variáveis do ambiente
Muito alto
169 Pegada de pé
Muito fraco
22 Explorando a confiança no cliente
Alto
224 Impressão digital
Muito fraco
285 ICMP Echo Request Ping
Baixo
287 TCP SYN Scan
Baixo
290 Enumerar registros MX (Mail Exchange)
Baixo
291 Transferências de zona DNS
Baixo
292 Host Discovery
Baixo
293 Traceroute Route Enumeration
Baixo
294 ICMP Address Mask Request
Baixo
295 Solicitação de carimbo de data / hora
Baixo
296 ICMP Information Request
Baixo
297 TCP ACK Ping
Baixo
298 UDP Ping
Baixo
299 TCP SYN Ping
Baixo
300 Port Scanning
Baixo
301 TCP Connect Scan
Baixo
302 TCP FIN Scan
Baixo
303 TCP Xmas Scan
Baixo
304 TCP Null Scan
Baixo
305 TCP ACK Scan
Baixo
306 TCP Window Scan
Baixo
307 TCP RPC Scan
Baixo
308 UDP Scan
Baixo
309 Mapeamento da topologia da rede
Baixo
310 Procurando software vulnerável
Baixo
312 Active OS Fingerprinting
Baixo
313 Impressão digital passiva do sistema operacional
Baixo
317 IP ID Sequencing Probe
Baixo
318 IP 'ID' Sonda de ordem de bytes com eco
Baixo
319 IP (DF) 'Não fragmentar bit' Sonda de eco
Baixo
320 TCP Timestamp Probe
Baixo
321 TCP Sequence Number Probe
Baixo
322 TCP (ISN) Maior Prova do Divisor Comum
Baixo
323 Teste de taxa do contador TCP (ISN)
Baixo
324 TCP (ISN) Sequence Predictability Probe
Baixo
325 Sonda TCP Congestion Control Flag (ECN)
Baixo
326 Teste do tamanho da janela inicial do TCP
Baixo
327 Probe de opções de TCP
Baixo
328 TCP 'RST' Sinalizador Checksum Probe
Baixo
329 Mensagem de erro ICMP Quoting Probe
Baixo
330 Mensagem de erro ICMP Echoing Integrity Probe
Baixo
472 Impressão digital do navegador
Baixo
497 File Discovery
Muito fraco
508 Shoulder Surfing
Alto
573 Process Footprinting
Baixo
574 Services Footprinting
Baixo
575 Footprinting da conta
Baixo
576 Group Permission Footprinting
Baixo
577 Owner Footprinting
Baixo
59 Sessão de Falsificação de Credenciais através de Previsão
Alto
60 Reutilização de IDs de sessão (aka Session Replay)
Alto
616 Estabelecer localização não autorizada
Média
643 Identificar arquivos / diretórios compartilhados no sistema
Média
646 Peripheral Footprinting
Média
651 Eavesdropping
Média
79 Usando Slashes em Codificação Alternativa
Alto


MITRE


Técnicas

id descrição
T1007 Sistema de Descoberta de Serviços
T1016 Descoberta da configuração da rede do sistema
T1018 Descoberta remota do sistema
T1033 Proprietário do sistema/utilizador Discovery
T1036.005 Mascarada: Corresponder Nome Legítimo ou Localização
T1046 Digitalização de serviços de rede
T1049 Descoberta das ligações de rede do sistema
T1057 Processo de Descoberta
T1069 Descoberta de Grupos de Permissões
T1082 Sistema de Descoberta de Informação
T1083 Descoberta de ficheiros e directórios
T1087 Descoberta de conta
T1111 Intercepção de Autenticação Multi-Factor
T1120 Descoberta de Dispositivos Periféricos
T1124 Sistema de Descoberta do Tempo
T1134.001 Manipulação de Tokens de Acesso:Impressão/roubo de Tokens
T1135 Descoberta de Partilha de Rede
T1217 Browser Bookmark Discovery
T1550.004 Utilizar Material de Autenticação Alternativa:Cookie de Sessão Web
T1562.003 Defesas de Imparidade:Registo da História do Comando de Imparidade
T1574.006 Hijack Execution Flow:Hijacking Dynamic Linker
T1574.007 Hijack Execution Flow:Intercepção de Caminho por Variável de Ambiente PATH
T1590 Reunir informação sobre a Rede de Vítimas
T1592 Reunir informações sobre o anfitrião da vítima
T1595 Digitalização activa
T1615 Descoberta da Política de Grupo
© 2022 The MITRE Corporation. Este trabalho é reproduzido e distribuído com a permissão da Corporação MITRE.

Mitigações

id descrição
T1036.005
T1046
T1087 Impedir a enumeração de contas de administrador quando uma aplicação é elevada através de UAC, uma vez que pode levar à divulgação de nomes de contas. A chave do Registo está localizada <código>HKLM³ SOFTWAREMicrosoft³Windows³CurrentVersion³Policies³CredUI³EnumerateAdministrators</code>. Pode ser desactivado através de GPO: Configuração do computador > [Políticas] > Modelos Administrativos > Componentes do Windows > Interface do utilizador credencial: E numerar contas de administrador na elevação.
T1111 Remover os cartões inteligentes quando não estiverem a ser utilizados.
T1134.001 Um adversário já deve ter acesso ao nível de administrador no sistema local para fazer pleno uso desta técnica; certifique-se de restringir os utilizadores e as contas aos privilégios mínimos de que necessitam.
T1135 Activar a Política de Grupo do Windows "Não Permitir a Contabilização Anónima de Contas e Acções SAM" para limitar os utilizadores que podem enumerar as acções da rede.
T1550.004
T1562.003 Certifique-se de que a variável <código>HISTCONTROL</código>ambiente está definida para "ignorados" em vez de "ignorados" ou "ignorados".
T1574.006 Quando a Protecção da Integridade do Sistema (SIP) é activada em macOS, as variáveis de ambiente acima mencionadas são ignoradas ao executar os binários protegidos. Aplicações de terceiros podem também aproveitar o tempo de execução endurecido da Apple, assegurando que estas variáveis de ambiente estão sujeitas a restrições impostas. Os administradores podem adicionar restrições às aplicações definindo os setuid e/ou setgid bits, usar direitos, ou ter um segmento __RESTRICT no binário Mach-O.
T1574.007
T1590 Esta técnica não pode ser facilmente mitigada com controlos preventivos, uma vez que se baseia em comportamentos realizados fora do âmbito das defesas e controlos da empresa. Os esforços devem concentrar-se na minimização da quantidade e sensibilidade dos dados disponíveis para as partes externas.
T1592 Esta técnica não pode ser facilmente mitigada com controlos preventivos, uma vez que se baseia em comportamentos realizados fora do âmbito das defesas e controlos da empresa. Os esforços devem concentrar-se na minimização da quantidade e sensibilidade dos dados disponíveis para as partes externas.
T1595 Esta técnica não pode ser facilmente mitigada com controlos preventivos, uma vez que se baseia em comportamentos realizados fora do âmbito das defesas e controlos da empresa. Os esforços devem concentrar-se na minimização da quantidade e sensibilidade dos dados disponíveis para as partes externas.
© 2022 The MITRE Corporation. Este trabalho é reproduzido e distribuído com a permissão da Corporação MITRE.