Ir al contenido principal

Asegurando Tomcat - Banner Grabbing para psi-probe

Dentro de los puntos que recomienda OWASP en Asegurando Tomcat, hace relación a la necesidad de no mostrar la versión de Tomcat que se utiliza, para poner un poco más difícil la preparación de un vector de ataque para el ciberdelincuente; este artículo mostrará como configurar las propiedades del Tomcat para que no muestre la versión, pero tiene un componente especial y es el uso de psi-probe, el cual es un fork que usan los sysadmin para la administración y el monitoreo de un servidor tomcat  y que genera problemas en el momento de querer hardenizar un servidor tomcat.

Para realizar esto fue necesario configurar un servidor Tomcat  y cuya configuración esta por fuera del alcance de este artículo.



Luego fue necesario configurar tomcat para que funcionara con psi-probe (hay diferentes versiones) y que puede seguir las instrucciones en este enlace.
Después  de tener configurado el Tomcat y  probe funcionando podemos ver una pantalla como esta:



Podemos analizar que si se realiza una petición http hacia una carpeta desconocida el Tomcat entrega un error 404 mostrando la versión que tiene.



A partir de este momento nos centraremos en el banner grabbing con el fin de que cuando haya un 404 No muestre la versión del servidor Tomcat o muestre algo diferente, para esto se debe realizar lo siguiente:

  • Modificar el archivo ServerInfo.properties
Este archivo se encuentra en el catalina.jar, ubicado en CATALINA_HOME/server/lib el cual es necesario desempaquetar (se puede hacer con 7zip, Winrar) o con la instrucción  

cd CATALINA_HOME/server/lib
jar xf catalina.jar org/apache/catalina/util/ServerInfo.properties

posterior a esto se edita el archivo ServerInfo.properties y se modifica la línea server.info como se muestra a continuación, se puede poner Apache o cualquier cosa por ejemplo: Nginx, Jboss o Whatever


#server.info=Apache Tomcat/7.0.50
server.info=Apache
#server.number=7.0.50.0
server.number=0.0.0.0
server.built=Dec 19 2015 10:18:12


Luego se empaqueta otra vez el archivo (o se salva la edición si se realizó en Winrar o en 7zip), lo hice con

 jar uf catalina.jar org/apache/catalina/util/ServerInfo.properties   

  • OWASP recomienda también modificar el archivo server.xml, ubicado generalmente en CATALINA_HOME/conf/server.xml en el tag Connector port
<Connector port="8080" ...
            server="Apache" />  <!-- server header is now Apache -->
  • Reiniciar los servicios de Tomcat, puede ser con 
        CATALINA_HOME/bin/catalina.sh stop
          CATALINA_HOME/bin/catalina.sh start

A este punto ya no debería aparecer la versión de Tomcat sino lo que hayamos puesto en la configuración anterior.





La imagen anterior, la uso para mostrar que efectivamente cambió el banner de apache- tomcat y solo quedo Apache, es necesario precisar, que cuando se está asegurando el servicio de Tomcat, este welcome no debería aparecer, porque es una de los puntos a hardenizar y que hace parte de las recomendaciones de OWASP.

Después de haber realizado los cambios necesarios para evitar mostrar la versión de Tomcat, quise probar o ingresar al psi-probe para realizar el monitoreo de los aplicativos y me encuentro con el siguiente error:



Al cabo de googlear un buen rato y realizar diferentes cambios en algunos archivos encontré la siguiente solución:

Se debe modificar el archivo spring-probe-resources.xml, que está dentro del WEB-INF del probe.war cambiando el containerWrapper, la linea de "forceFirstAdaptor" de "false" a "true" y asegurarse que el nombre como lo puso en el archivo ServerInfo.properties esté de primero en la lista de clases de adaptadores, de la siguiente forma:

<property name="forceFirstAdapter" value="true"/>
<property name="adapterClasses">
<list>
<value>com.googlecode.psiprobe.ApacheContainerAdapter</value> <value>com.googlecode.psiprobe.Tomcat60ContainerAdapter</value> <value>com.googlecode.psiprobe.Tomcat70ContainerAdapter</value> value>com.googlecode.psiprobe.Tomcat90ContainerAdapter</value>
<value>com.googlecode.psiprobe.Tomcat80ContainerAdapter</value>
                         </list>

Entonces el psi-probe opera sin ningún problema después de realizar la configuración adecuada



Si usted decidió poner en el archivo ServerInfo.properties Nginx, entonces en la primera línea deberá colocar
                        <value>com.googlecode.psiprobe.NginxContainerAdapter</value>


Para estar tranquilos recomiendo reiniciar el servicio de Tomcat en el momento de hacer los cambios.

Espero les sirva a los sysadmin que trabajan con probe, aunque también pueden usar JON.


Comentarios

Entradas populares de este blog

Vulnerabilidad en Bluetooth -- BIAS

Será el fin de TCP con la llegada de HTTP/3

La  IETF (Internet Engineering Task Force)  ha  publicado  información sobre lo que será el nuevo protocolo de transferencia de hypertexto que tanto usamos a diario, cuando accedemos a sitios web. HTTP/3 ya no usará TCP nunca más. En su lugar se ejecutará sobre el protocolo QUIC. El protocolo QUIC fue elaborado conceptualmente por Google en 2012 y tiene como objetivo mejorar tanto la seguridad como el rendimiento ofrecido por  TCP - Transmission Control Protocol , sobre todo lo segundo. ¿Qué es Quic y sus diferencias con TCP?   Quick UDP Internet Connections, es un protocolo de capa de transporte que se basa en el multiplexado de conexiones UDP. De hecho, QUIC utiliza esta combinación: TCP + TLS + SDPY sobre UDP Esto lo hace con varias mejoras respecto a la actual implementación de TCP. La IETF ha estado desde 2016 trabajando a fondo con una versión global del protocolo alumbra do por Google, y finalmente ha sido este año cuando ha decidido incluirlo en la nueva versión HTTP/3.   Sin e

Zoom y sus vulnerabilidades

Leyendo acerca de todas las quejas en cuanto a brechas de seguridad que tiene Zoom la plataforma de videoconferencia que conocí hace unos años, pero que ahora debido a la necesidad de estar en casa debido al COVID19, la ha convertido en la herramienta que muchos usan para sus reuniones empresariales virtuales, sus llamadas privadas o incluso para las fiestas virtuales o noches de Netflix.   Solo precisar que no es la única herramienta que se tiene para tener este tipo de video conferencias, alternativas como WhatsApp (Vulnerable- Facebook de por medio.. hmm) o como Teams de Microsoft, Cisco Webex, Webex Meetings (se necesita pago) o  Jitsi , esta última es de uso gratuito también y con algunas mejoras en su seguridad realizadas hace poco, puede ser una plataforma para cubrir esta necesidad.   Si  la opción es usar Zoom, no esta de más revisar este  link  para tratar de asegurar esta aplicación y sentirse un poco más tranquilo, o también puede ver el siguiente video.   Aquí les comparto