ServiceDesk Plus es un sólido software de gestión de servicios de TI en el que confían clientes de todo el mundo. Una gran clientela conlleva el intercambio de una enorme cantidad de datos sensibles cada día. No hay lugar para comprometer la seguridad de esos datos, ya que eso podría exponer a las organizaciones a graves riesgos. ServiceDesk Plus está diseñado para ofrecer una estricta seguridad de los datos desde el momento de la instalación y en todas las fases de uso del producto, incluida la autenticación del usuario, la transmisión de datos y el almacenamiento. Además del siguiente resumen de las medidas de seguridad ya establecidas, ManageEngine se esfuerza constantemente por mejorar las funciones de seguridad de ServiceDesk Plus.

Este documento describe las especificaciones de seguridad de ServiceDesk Plus.

Seguridad a varios niveles

Mecanismo de cifrado

En ServiceDesk Plus se utilizan los siguientes algoritmos de cifrado:

Autenticación y autorización

Integridad de los datos

Medidas de control de acceso

Mecanismo de disponibilidad

Recuperación de desastres

Funciones de seguridad

Mecanismo de cifrado

Cifrado en el servidor de aplicaciones

Cifrado en el servidor de la base de datos

Gestión de servicios empresariales (ESM)

Autenticación y autorización

Autenticación sólida a nivel de aplicación

ServiceDesk Plus tiene cuatro opciones de autenticación para acceder a la aplicación.

Integridad de los datos

Transmisión de datos

Almacenamiento de datos con cifrado

Validación de entradas de GUI de la web

Medidas de control de acceso

Control de acceso a los datos

Pistas de auditoría

Funciones de deducción

Mecanismo de disponibilidad

Servidor failover

Acceso sin conexión

Acceso móvil

Recuperación de desastres

Opción de copias de seguridad

Fallo y recuperación del sistema

Configuraciones de seguridad

Cómo activar la transmisión segura de datos

Cómo configurar las cabeceras de respuesta de seguridad

La política de seguridad de contenidos (CSP) es una capa de seguridad añadida que ayuda a detectar y mitigar ciertos tipos de ataques, como los ataques XSS y de inyección de datos.

Valor recomendado:

default-src 'unsafe-inline' 'unsafe-eval' <protocol>:// <server-name>: <port> data:

https://salesiq.zoho.com https://js.zohostatic.com https://css.zohostatic.com

https://salesiq.zohopublic.com https://img.zohostatic.com https://www.manageengine.com

https://manageengine.com https://connect.zoho.com https://www.youtube.com

https://www.youtube.com/iframe_api https://s.ytimg.com ws://vts.zohopublic.com

Nota: Actualice los datos del servidor en rojo antes de actualizar los datos de la cabecera.

CSP le permite controlar tanto los scripts internos como los externos, que pueden suponer una amenaza para la seguridad de su sitio web. En caso de ataque, los scripts serán bloqueados por CSP.

HTTP Strict-Transport-Security es una cabecera de respuesta (a menudo abreviada como HSTS) que permite a los navegadores acceder a los sitios web sólo mediante HTTPS en lugar de HTTP.

Valor recomendado:

max-age=10368000 includesubdomains preload

Al configurar esta cabecera, ServiceDesk Plus se libra de la vulnerabilidad TLS estricta, así como de la CWE-523. Las cabeceras HSTS sólo son válidas en las conexiones HTTPS, lo que garantiza que no se reciba tráfico HTTP sin cifrar. Combinado con la precarga, HSTS también mejora el tiempo de carga de las páginas al eliminar los redireccionamientos del servidor de HTTP a HTTPS.

Cache-Control contiene directivas (instrucciones) para el almacenamiento en caché tanto en las solicitudes como en las respuestas.

Valor recomendado

public no-cache max-age=0 proxy-revalidate

Ventajas de configurar esta cabecera:

X-Content-Type-Options se utiliza para proteger contra las vulnerabilidades de MIME sniffing, que se producen cuando un sitio web permite a los usuarios cargar contenido malicioso, creando una oportunidad para que el XSS comprometa la integridad del sitio web.

Valor recomendado:

nosniff

Al configurar esta cabecera, ServiceDesk Plus se libra de las vulnerabilidades de sniffing de contenido.

X-Frame-Options se puede utilizar para indicar si se debe permitir a un navegador renderizar una página en un <frame>, <iframe>, <embed> u <object>. Los sitios pueden utilizar esto para evitar los ataques de clickjacking garantizando que su contenido no esté incrustado en otros sitios.

Valor recomendado:

SAMEORIGIN

Al configurar esta cabecera de respuesta de seguridad, ServiceDesk Plus se libra de vulnerabilidades de clickjacking.

X-XSS-Protection está diseñado para activar el filtro XSS integrado en los navegadores web modernos.

Valor recomendado:

1;mode=block

Al configurar esta cabecera, ServiceDesk Plus se libra de vulnerabilidades XSS reflejadas.

Access-Control-Allow-Origin indica si la respuesta puede ser compartida solicitando el código del origen dado.

Valor recomendado:

https://www.zoho.com,https://www.google.com

La cabecera HTTP Referrer-Policy controla cuánta información de referencia (enviada a través de la cabecera Referrer) debe incluirse en las solicitudes.

Valor recomendado:

same-origin

La cabecera Expect-CT permite a los sitios elegir la notificación y la aplicación de los requisitos de transparencia de los certificados para evitar el uso de certificados mal emitidos para ese sitio.

Valor recomendado:

enforce,max-age=300

Cómo evitar los ataques de fuerza bruta

Un ataque de fuerza bruta utiliza el método de ensayo y error para adivinar la información de inicio de sesión o las claves de cifrado, o para encontrar una página web oculta. Los hackers trabajan con todas las combinaciones posibles con la esperanza de adivinar la información correctamente.

Solución: Habilite la configuración de seguridad del umbral de bloqueo de la cuenta y la duración en Admin > General > Security Settings > Advanced.

Cómo desactivar los inicios de sesión simultáneos de los usuarios

Los inicios de sesión simultáneos pueden hacer que personal ilegítimo utilice credenciales válidas para autenticar el acceso a la red. Esto podría causar múltiples problemas de seguridad en la organización, como el uso indebido de la información personal y los recursos del usuario legítimo para realizar acciones no autorizadas.

Solución: Habilite la configuración de seguridad Desactivar inicios de sesión simultáneos en Admin > General > Security Settings.

Cómo activar la transmisión cifrada de contraseñas

Las contraseñas en texto claro son un grave riesgo para la seguridad. No hay ningún escenario en el que sea posible transmitir dichas contraseñas sin riesgos.

Solución: Abra el archivo product-config.xml y habilite el cifrado de la contraseña cambiando el valor de la configuración a "true". Debe reiniciar ServiceDesk Plus para aplicar esta configuración.

<configuration name="user.password.encrypt" value="true"/>

Cómo desactivar la función "Keep me signed in" (Mantener mi sesión iniciada).

La funcionalidad "Keep me signed in" disminuye la seguridad de una aplicación e idealmente debería evitarse, porque al seleccionar "Remember me" se almacena permanentemente un token de sesión, que un hacker podría encontrar y utilizar para acceder a la aplicación.

Solución: Desactive la función "Keep me signed in" en Admin > General > Security Settings.

Cómo solucionar el problema de seguridad de Enumeración de dominios (CVE-2018-7248)

Los usuarios no autentificados pueden validar las cuentas de usuario del dominio enviando una solicitud que contenga el nombre de usuario a un endpoint de la API, que luego devuelve el dominio de inicio de sesión del usuario si la cuenta existe.

Solución: Desactive el desplegable Enable Domain durante la configuración de seguridad de inicio de sesión en Admin > General > Security Settings > Advanced.

Cómo evitar el uso de URL no autentificadas

Por lo general, se genera una URL sin necesidad de iniciar sesión para cargar los detalles de los activos en ServiceDesk Plus. Se recomienda desactivar esta URL en los siguientes casos:

Para desactivar esta URL, active la configuración de seguridad Stop (Detener) la carga de XML analizados a través de una URL que no sea de inicio de sesión en Admin > General > Security Settings.

Para las aprobaciones se proporciona una URL que no sea de inicio de sesión. Se recomienda habilitar el inicio de sesión para todas las URL de aprobación que no sean de inicio de sesión.

Para habilitar el inicio de sesión, haga clic en Allow (Permitir) acciones de aprobación sólo a los usuarios que hayan iniciado sesión en Admin > Self-Service Portal Settings.

Cómo desactivar la opción de copiar y pegar en los campos de entrada de contraseña

Para deshabilitar la opción de copiar y pegar, active la configuración de seguridad Disable (Desactivar) pegar para campos de contraseña en Admin > General > Security Settings.

Cómo eliminar los métodos HTTP vulnerables

Se han identificado algunos métodos HTTP como vulnerables y, por lo tanto, se pueden desactivar en ServiceDesk Plus.

Solución: Siga los siguientes pasos para desactivar los métodos HTTP vulnerables.

Paso 1: Ejecute la siguiente consulta de actualización en la consola de consulta de la base de datos. update GlobalConfig SET PARAMVALUE = 'OPTIONS,TRACE' where PARAMETER = 'DISABLED_HTTP_METHODS';

Paso 2: Reinicie el servidor de aplicaciones.

Cómo evitar el problema de seguridad Logjam (CVE-2015-4000)

Descripción de la vulnerabilidad: : Fuerza de grupo insuficiente de Diffi-Helmen 1024 bits o 83875 - Módulo Diffie-Hellman de SSL/TLS <= 1024 Bits

Configure Java para utilizar un grupo Diffie-Hellman de 2048 bits. Establezca jdk.tls.ephemeralDHKeySize en "2048" en los parámetros JVM (por ejemplo, -Djdk.tls.ephemeralDHKeySize=2048).

Siga los pasos siguientes para configurar el parámetro JVM.

Paso 1: Abra el archivo wrapper.conf, que está disponible en el directorio \conf.

Paso 2: Añada la línea marcada de la siguiente captura de pantalla al archivo wrapper.conf.

Cómo prevenir un ataque BREACH (CVE-2013-3587)

Para evitar un ataque BREACH, active la configuración de seguridad Desactivar compresión HTTP en Admin > General > Security Settings.

Cómo restablecer las contraseñas por defecto

Se recomienda restablecer la contraseña por defecto en estas áreas:

Solución: Reinicie las cuentas de usuario incluidas utilizando la opción de cambio de contraseña (Change Password). Reinicie la contraseña de las copias de seguridad en Admin > General > Backup Scheduling.

Cómo restablecer la contraseña de usuario común

En ServiceDesk Plus, todos los usuarios recién importados tendrán una contraseña común que podrán utilizar para acceder a las cuentas de los demás.

Solución: Seleccione la configuración de seguridad de Forzar el restablecimiento de la contraseña en el primer inicio de sesión para restablecer la contraseña de todos los nuevos usuarios. Esta función está disponible en Admin > General > Security Settings > Password Policy.

Cómo activar la protección por contraseña de los archivos adjuntos

Cuando se configuran varias instancias de la mesa de ayuda en ServiceDesk Plus, los archivos adjuntos de todas las instancias se almacenan en el servidor de ServiceDesk Plus. Esto permite a los usuarios de todas las instancias acceder a estos archivos. Para prevenir esto, active la protección por contraseña de los archivos adjuntos.

Solución: Seleccione la configuración de Habilitar protección con contraseña para todos los archivos adjuntos en Admin > General > Security Settings.

Cómo habilitar una contraseña para todos los archivos de informes exportados

El envío de informes a usuarios no autorizados conlleva problemas de seguridad; la activación de la protección por contraseña de los archivos adjuntos a los informes ayuda a evitarlo.

Solución: Seleccione la configuración de Habilitar contraseña de protección de archivos en Admin > General > Privacy Settings.

Cómo reforzar la política de contraseñas de los usuarios

Una política de contraseñas es un conjunto de reglas diseñadas para mejorar la seguridad de ServiceDesk Plus, animando a los usuarios a emplear contraseñas seguras y a utilizarlas correctamente.

Solución: Habilite la función de política de contraseñas en Admin > General > Security Settings > Password Policy.

Cómo activar los atributos Secure y HttpOnly para las cookies sensibles

ServiceDesk Plus viene con atributos de cookies Secure y HttpOnly para todas las cookies que contienen información sensible.

Vulnerabilidad de secuestro de sesión

Un hacker puede lanzar ataques sobre las sesiones activas y secuestrarlas. Por lo tanto, es obligatorio establecer tiempos de expiración para cada sesión. Una caducidad de sesión insuficiente por parte de ServiceDesk Plus aumenta la exposición a otros ataques basados en la sesión. Para evitarlo, configure el tiempo de espera de la sesión (Session Timeout) en Admin > General > Security Settings.

ServiceDesk Plus está libre de los siguientes problemas de seguridad:

El servidor Tomcat incluido (9.0.34) está libre de los siguientes problemas de seguridad:

El servidor Postgres incluido (10.12) está libre de las siguientes vulnerabilidades:

Posible vulnerabilidad RCE

Las siguientes funciones de ServiceDesk Plus permiten a los usuarios ejecutar comandos del sistema operativo para satisfacer la demanda de los usuarios y, por lo tanto, no se consideran problemas de seguridad.

Sugerencias para proteger aún más estas funciones:

Posibles vulnerabilidades XSS en la personalización de páginas web

Las siguientes funciones de ServiceDesk Plus permiten a los usuarios ejecutar contenido HTML, lo que podría permitir que los contenidos HTML vulnerables se cuelen en la página de personalización.

Soluciones para superar esta vulnerabilidad:

Si tiene alguna pregunta, no dude en escribirnos a servicedeskplus.