I februar offentliggjorde østrigeren Christian Haschek en interessant artikel på sin blog med titlen . Selvfølgelig blev jeg interesseret i, hvad der ville ske, hvis denne undersøgelse blev gentaget, men med Ukraine. Flere ugers indsamling af information døgnet rundt, et par dage mere til at forberede artiklen, og i løbet af denne forskning, samtaler med forskellige repræsentanter for vores samfund, for derefter at afklare, så finde ud af mere. Please under cut...
TL; DR
Der blev ikke brugt særlige værktøjer til at indsamle information (selvom flere personer rådede til at bruge den samme OpenVAS for at gøre forskningen mere grundig og informativ). Med sikkerheden for IP'er, der relaterer til Ukraine (mere om hvordan det blev bestemt nedenfor), er situationen efter min mening ret dårlig (og absolut værre end hvad der sker i Østrig). Der er ikke gjort eller planlagt nogen forsøg på at udnytte de opdagede sårbare servere.
Først og fremmest: hvordan kan du få alle de IP-adresser, der hører til et bestemt land?
Det er faktisk meget enkelt. IP-adresser genereres ikke af landet selv, men tildeles det. Derfor er der en liste (og den er offentlig) over alle lande og alle de IP'er, der tilhører dem.
Alle kan og filtrer det derefter grep Ukraine IP2LOCATION-LITE-DB1.CSV> ukraine.csv
, giver dig mulighed for at bringe listen i en mere brugbar form.
Ukraine ejer næsten lige så mange IPv4-adresser som Østrig, mere end 11 millioner 11 for at være præcis (til sammenligning har Østrig 640).
Hvis du ikke selv vil spille med IP-adresser (og det skal du ikke!), så kan du bruge tjenesten .
Er der nogen upatchede Windows-maskiner i Ukraine, der har direkte adgang til internettet?
Selvfølgelig vil ikke en eneste bevidst ukrainer åbne en sådan adgang til deres computere. Eller bliver det?
masscan -p445 --rate 300 -iL ukraine.ips -oG ukraine.445.scan && cat ukraine.445.scan | wc -lDer blev fundet 5669 Windows-maskiner med direkte adgang til netværket (i Østrig er der kun 1273, men det er mange).
Ups. Er der nogen blandt dem, der kunne angribes ved hjælp af ETHERNALBLUE-bedrifter, som har været kendt siden 2017? Der var ikke en eneste sådan bil i Østrig, og jeg håbede, at den heller ikke ville blive fundet i Ukraine. Desværre nytter det ikke noget. Vi fandt 198 IP-adresser, der ikke lukkede dette "hul" i sig selv.
DNS, DDoS og dybden af kaninhullet
Nok om Windows. Lad os se, hvad vi har med DNS-servere, som er åbne-resolvere og kan bruges til DDoS-angreb.
Det virker sådan noget. Angriberen sender en lille DNS-anmodning, og den sårbare server svarer offeret med en pakke, der er 100 gange større. Bom! Virksomhedsnetværk kan hurtigt kollapse fra en sådan mængde data, og et angreb kræver den båndbredde, som en moderne smartphone kan give. Og der var sådanne angreb selv på GitHub.
Lad os se, om der er sådanne servere i Ukraine.
masscan -pU 53 -iL ukraine.ips -oG ukraine.53.scan && cat ukraine.53.scan | wc -lDet første skridt er at finde dem, der har åben port 53. Som et resultat har vi en liste med 58 IP-adresser, men det betyder ikke, at alle kan bruges til et DDoS-angreb. Det andet krav skal være opfyldt, nemlig de skal være open-resolver.
For at gøre dette kan vi bruge en simpel dig-kommando og se, at vi kan "grave" dig + kort test.openresolver.com TXT @ip.of.dns.server. Hvis serveren svarede med open-resolver-detected, så kan den betragtes som et potentielt mål for angreb. Åbne resolvere udgør cirka 25 %, hvilket kan sammenlignes med Østrig. Med hensyn til det samlede antal er dette omkring 0,02 % af alle ukrainske IP'er.
Hvad kan du ellers finde i Ukraine?
Godt du spurgte. Det er nemmere (og det mest interessante for mig personligt) at se på IP'en med åben port 80 og hvad der kører på den.
Webserver
260 ukrainske IP'er svarer på port 849 (http). 80 adresser reagerede positivt (125 status) på en simpel GET-anmodning, som din browser kan sende. Resten producerede en eller anden fejl. Det er interessant, at 444 servere udstedte en status på 200, og de sjældneste statusser var 853 (anmodning om proxy-autorisation) og den helt ikke-standardiserede 500 (IP ikke på "hvidlisten") for ét svar.
Apache er absolut dominerende - 114 servere bruger det. Den ældste version, jeg fandt i Ukraine, er 544, udgivet den 1.3.29. oktober 29 (!!!). nginx er på andenpladsen med 2003 servere.
11 servere bruger WinCE, som blev udgivet i 1996, og de var færdige med at patche det i 2013 (der er kun 4 af slagsen i Østrig).
HTTP/2-protokollen bruger 5 servere, HTTP/144 - 1.1, HTTP/256 - 836.
Printere... fordi... hvorfor ikke?
2 HP, 5 Epson og 4 Canon, som er tilgængelige fra netværket, nogle af dem uden nogen autorisation.
webkameraer
Det er ikke en nyhed, at der i Ukraine er MANGE webcams, der sender sig selv til internettet, samlet på forskellige ressourcer. Mindst 75 kameraer sender sig selv til internettet uden nogen beskyttelse. Du kan se på dem .
Hvad er det næste?
Ukraine er et lille land, ligesom Østrig, men har de samme problemer som store lande i IT-sektoren. Vi skal udvikle en bedre forståelse af, hvad der er sikkert, og hvad der er farligt, og udstyrsproducenter skal levere sikre indledende konfigurationer til deres udstyr.
Derudover indsamler jeg partnervirksomheder (), som kan hjælpe dig med at sikre integriteten af din egen it-infrastruktur. Det næste skridt, jeg planlægger at gøre, er at gennemgå sikkerheden på ukrainske websteder. Skift ikke!
Kilde: www.habr.com