Estimados. Buenos días les hago una consulta por un item bloqueante del Assessment de seguridad de la Agencia de sistema de GCBA. La consulta es de la ASI que efectuaron el assessment:
En la solapa “Administrar Personas”. Lo que yo pude observar es que en la pestaña de “Acceso al Sistema”, se le puede dar permisos de administrador del sistema al usuario que se está creando. Esto es así? Te adjunto una imagen en donde se puede observar esto. Por eso es que se pide que los usuarios con privilegios de administrador, deben validar contra el AD.
Dada la vulnerabilidad, preguntamos si es posible Validar por Active Directory en el módulo de autogestión?
Abajo detallo el ítem del informe original de la que surge la pregunta
4.1.2 Vulnerabilidad-0002
TIPO DE VULNERABILIDAD Alta
Aplicaciones
CÓDIGO CVE/CWE/BUGTRA Q/CVSS
DESCRIPCIÓN VULNERABILIDAD
La página de logueo no valida contra el AD (Active Directory).
VALORACIÓN RIESGO
DEL
Alta
DESCRIPCIÓN RECOMENDACIÓN
Modificar desarrollo, para detalles técnicos de la solución contactarse por favor con Pablo Wilczek de Desarrollo, mail: pwilczek@buenosaires.gob.ar
Para que desde Seguridad Informática podamos verificar la solución, necesitaríamos que habiliten en la aplicación el usuario j_perez@buenosaires.gob.ar que tiene el CUIT 20938693537
COSTO DE IMPLANTACIÓN
Medio
RESPONSABLE DE APLICAR IMPLANTACIÓN
Desarrollo
EVIDENCIA
