Joven hacker sonriendo

Hackeamos su software

cero falsos positivos

Inteligencia experta + automatización eficaz

REQ.142 Modificar credenciales de acceso por defecto

En el presente documento se detallan los requerimientos de seguridad relacionados a la importancia que tiene en cuanto a vulnerabilidad se refiere, la modificación de todas las credenciales de acceso por defecto con las que cuenta cualquier sistema empaquetado.

Requisito

La organización debe modificar todas las credenciales de acceso por defecto de sistemas empaquetados.

Descripción

Las organizaciones por lo general dejan por defecto las configuraciones de los productos de terceros ya que éstas se adaptan a la mayoría de entornos en donde se instalan y facilitan de esta forma el despliegue a producción, pero con esto se dejan abiertas las puertas por defecto a los productos y en la mayoría de los casos las credenciales se encuentran en la documentación de los proveedores que se encuentran fácilmente en internet. Por esta razón es importante revisar todas las configuraciones antes del despliegue y eliminar todas las credenciales que se encuentren por defecto, ya que si se dejan los usuarios es posible acceder por medio de fuerza bruta.

Implementación

  1. Eliminar todas las credenciales predeterminadas por el proveedor del producto.

  2. Implementar un mecanismo para que solo las personas con permisos de administración accedan a las consolas de accesos a los productos.

  3. Crear una política de credenciales fuertes que garanticen la seguridad de todas las credenciales de la organización.

  4. Las contraseñas deben ser cambiadas cada cierto tiempo para evitar el robo de estas.

  5. Realizar auditorías periódicamente para detectar configuraciones incorrectas o parches faltantes.

Soluciones

Ataques

  1. Ataques de fuerza bruta

  2. Fuga de información: Técnica

Atributos

  • Capa: Capa de Negocio

  • ​Activo: Credenciales de acceso

  • Alcance: Confidencialidad

  • ​Fase: Despliegue

  • ​Tipo Control: Recomendación

Referencias

  1. PCI DSS - Requisito 2.2.d

  2. OWASP - Top 10 2013: A5

  3. CAPEC-70 - Try Common Usernames and Passwords

  4. REQ.266 Deshabilitar funciones inseguras

  5. OWASP-ASVS v3.1-2.19 Verificar que no existan contraseñas por defecto en uso para el framework de la aplicación o cualquier otro componente utilizado por ella (por ejemplo: "admin/password")


Estado de los servicios - Términos de Uso