Análisis, explotación y definición de estrategias de mitigación de vulnerabilidades en un sistema GNU/Linux

Abstract

El presente trabajo de fin de máster busca aplicar los conocimientos adquiridos durante el curso del MISTIC para lograr el acceso a un sistema operativo vulnerable realizando los pasos necesarios para tal fin, como son: enumeración, fingerprinting, análisis de vulnerabilidades, pruebas de penetración, explotación, elevación de privilegios. Durante el proceso de elaboración se realizó también la escritura de un exploit simple que permitiera automatizar el proceso de ataque de la vulnerabilidad Shellshock en la máquina objetivo. Por último, el trabajo finaliza con la aplicación del modelo de Defensa en Profundidad con el fin de proteger adecuadamente el sistema garantizando así la minimización del riesgo de ataques futuros.

El present treball de fi de màster busca aplicar els coneixements adquirits durant el curs del MISTIC per aconseguir l'accés a un sistema operatiu vulnerable realitzant els passos necessaris per a tal fi, com són: enumeració, fingerprinting, anàlisi de vulnerabilitats, proves de penetració, explotació , elevació de privilegis. Durant el procés d'elaboració es va realitzar també l'escriptura d'un exploit simple que permetés automatitzar el procés d'atac de la vulnerabilitat Shellshock a la màquina objectiu. Finalment, el treball finalitza amb l'aplicació del model de Defensa a Profunditat per tal de protegir adequadament el sistema garantint així la minimització del risc d'atacs futurs.

The present project seeks to apply the knowledge acquired during the course of MISTIC to achieve access to a vulnerable operating system by performing the necessary steps for that purpose, such as: enumeration, fingerprinting, vulnerability analysis, penetration tests, exploitation , elevation of privileges. During the elaboration process, a simple exploit was written to automate the attack process of the Shellshock vulnerability in the target machine. Finally, the work ends with the application of the Defense in Depth model in order to adequately protect the system, thus guaranteeing the minimization of the risk of future attacks.