En febrero, el austriaco Christian Haschek publicó en su blog un interesante artículo titulado . Por supuesto, me interesó saber qué pasaría si este estudio se repitiera, pero con Ucrania. Varias semanas de recopilación de información las XNUMX horas del día, un par de días más para preparar el artículo y, durante esta investigación, conversaciones con varios representantes de nuestra sociedad, luego aclaraciones y luego más información. Por favor debajo del corte...
TL; DR
No se utilizaron herramientas especiales para recopilar información (aunque varias personas recomendaron utilizar el mismo OpenVAS para que la investigación fuera más exhaustiva e informativa). En cuanto a la seguridad de los IP que se relacionan con Ucrania (más sobre cómo se determinó más adelante), la situación, en mi opinión, es bastante mala (y definitivamente peor que lo que está sucediendo en Austria). No se ha realizado ni planeado ningún intento de explotar los servidores vulnerables descubiertos.
Primero que nada: ¿cómo se pueden obtener todas las direcciones IP que pertenecen a un determinado país?
En realidad es muy simple. Las direcciones IP no las genera el propio país, sino que se le asignan. Por tanto, hay una lista (y es pública) de todos los países y todas las IP que pertenecen a ellos.
Todos pueden y luego filtrarlo grep Ucrania IP2LOCATION-LITE-DB1.CSV> ucrania.csv
, le permite llevar la lista a una forma más utilizable.
Ucrania posee casi tantas direcciones IPv4 como Austria, más de 11 millones 11 para ser exactos (a modo de comparación, Austria tiene 640).
Si no quieres jugar con direcciones IP tú mismo (¡y no deberías hacerlo!), entonces puedes usar el servicio .
¿Hay máquinas con Windows sin parches en Ucrania que tengan acceso directo a Internet?
Por supuesto, ni un solo ucraniano consciente abrirá ese acceso a sus computadoras. ¿O lo será?
masscan -p445 --rate 300 -iL ukraine.ips -oG ukraine.445.scan && cat ukraine.445.scan | wc -lSe encontraron 5669 máquinas Windows con acceso directo a la red (en Austria sólo hay 1273, pero es mucho).
Ups. ¿Hay alguno entre ellos que pueda ser atacado con exploits ETHERNALBLUE, conocidos desde 2017? No había ni un solo coche de este tipo en Austria y esperaba que tampoco se encontrara en Ucrania. Desafortunadamente, no sirve de nada. Encontramos 198 direcciones IP que no cerraron este "agujero" en sí mismas.
DNS, DDoS y la profundidad de la madriguera del conejo
Ya basta de Windows. Veamos qué tenemos con los servidores DNS, que son de resolución abierta y pueden usarse para ataques DDoS.
Funciona algo como esto. El atacante envía una pequeña solicitud de DNS y el servidor vulnerable responde a la víctima con un paquete 100 veces más grande. ¡Auge! Las redes corporativas pueden colapsar rápidamente debido a tal volumen de datos, y un ataque requiere el ancho de banda que un teléfono inteligente moderno puede proporcionar. Y hubo tales ataques incluso en GitHub.
Veamos si existen servidores de este tipo en Ucrania.
masscan -pU 53 -iL ukraine.ips -oG ukraine.53.scan && cat ukraine.53.scan | wc -lEl primer paso es encontrar aquellos que tengan el puerto 53 abierto. Como resultado, tenemos una lista de 58 direcciones IP, pero esto no significa que todas ellas puedan usarse para un ataque DDoS. Se debe cumplir el segundo requisito, es decir, deben ser de resolución abierta.
Para hacer esto, podemos usar un comando dig simple y ver que podemos “excavar” dig + short test.openresolver.com TXT @ip.of.dns.server. Si el servidor respondió con open-resolver-detected, entonces puede considerarse un objetivo potencial de ataque. Los resolutores abiertos representan aproximadamente el 25%, cifra comparable a la de Austria. En términos del número total, esto representa aproximadamente el 0,02% de todos los IP ucranianos.
¿Qué más puedes encontrar en Ucrania?
Me alegra que hayas preguntado. Es más fácil (y lo más interesante para mí personalmente) mirar la IP con el puerto 80 abierto y lo que se ejecuta en ella.
Servidor web
260 IP ucranianas responden al puerto 849 (http). 80 direcciones respondieron positivamente (125 estados) a una simple solicitud GET que su navegador puede enviar. El resto produjo uno que otro error. Es interesante que 444 servidores emitieron un estado de 200, y los estados más raros fueron 853 (solicitud de autorización de proxy) y el completamente no estándar 500 (IP no en la "lista blanca") para una respuesta.
Apache es absolutamente dominante: lo utilizan 114 servidores. La versión más antigua que encontré en Ucrania es la 544, lanzada el 1.3.29 de octubre de 29 (!!!). nginx ocupa el segundo lugar con 2003 servidores.
11 servidores utilizan WinCE, que fue lanzado en 1996, y terminaron de parchearlo en 2013 (solo hay 4 de ellos en Austria).
El protocolo HTTP/2 utiliza 5 servidores, HTTP/144 - 1.1, HTTP/256 - 836.
Impresoras... porque... ¿por qué no?
2 HP, 5 Epson y 4 Canon, a los que se puede acceder desde la red, algunos de ellos sin autorización alguna.
cámaras web
No es ninguna novedad que en Ucrania hay MUCHAS cámaras web que se transmiten a Internet, recopiladas en diversos recursos. Al menos 75 cámaras retransmiten a Internet sin ningún tipo de protección. puedes mirarlos .
¿Qué será lo próximo?
Ucrania es un país pequeño, como Austria, pero tiene los mismos problemas que los países grandes en el sector de TI. Necesitamos desarrollar una mejor comprensión de qué es seguro y qué es peligroso, y los fabricantes de equipos deben proporcionar configuraciones iniciales seguras para sus equipos.
Además, colecciono empresas asociadas (), que puede ayudarle a garantizar la integridad de su propia infraestructura de TI. El siguiente paso que planeo dar es revisar la seguridad de los sitios web ucranianos. ¡No cambies!
Fuente: habr.com