ProHoster > Blag > Riarachán > Iniúchadh Slándála MCS Cloud Platform

Iniúchadh Slándála MCS Cloud Platform

Iniúchadh Slándála MCS Cloud Platform
Skyship Dusk le SeerLight

Is gá go n-áirítear obair leanúnach ar shlándáil le haon seirbhís a thógáil. Is próiseas leanúnach é slándáil a chuimsíonn anailís leanúnach agus feabhsú ar shlándáil táirgí, monatóireacht a dhéanamh ar nuacht faoi leochaileachtaí, agus go leor eile. Lena n-áirítear iniúchtaí. Déanann saineolaithe inmheánacha agus seachtracha iniúchtaí, ar féidir leo cuidiú go mór le slándáil, toisc nach bhfuil siad tumtha sa tionscadal agus go bhfuil aigne oscailte acu.

Baineann an t-alt seo leis an dearcadh an-neamhscagtha seo de shaineolaithe seachtracha a chabhraigh le foireann Mail.ru Cloud Solutions (MCS) chun an tseirbhís scamall a thástáil, agus faoi na rudaí a fuair siad. Mar "fhórsaí seachtracha" roghnaigh MCS Slándáil Dhigiteach, ar a dtugtar as a saineolas ard i gciorcail slándála faisnéise. Agus san Airteagal seo, déanfaimid anailís ar roinnt leochaileachtaí suimiúla a fuarthas mar chuid d'iniúchadh seachtrach - ionas go seachnóidh tú an rake céanna nuair a chruthaíonn tú do sheirbhís scamall féin.

Описание продукта

Mail.ru Cloud Solutions (MCS) Is ardán é chun bonneagar fíorúil a thógáil sa scamall. Áiríonn sé IaaS, PaaS, margadh d’íomhánna feidhmchláir réamhdhéanta d’fhorbróirí. I bhfianaise ailtireacht an MCS, bhí sé riachtanach slándáil an táirge a sheiceáil sna réimsí seo a leanas:

  • cosaint bhonneagar na timpeallachta fíorúlaithe: hypervisors, ródú, ballaí dóiteáin;
  • cosaint bhonneagar fíorúil na gcustaiméirí: aonrú óna chéile, lena n-áirítear líonra, líonraí príobháideacha i SDN;
  • OpenStack agus a chomhpháirteanna oscailte;
  • S3 dár ndearadh féin;
  • IAM: tionscadail ilthionóntaí a bhfuil eiseamláir acu;
  • Fís (fís meaisín): API agus leochaileachtaí nuair a bhíonn tú ag obair le híomhánna;
  • comhéadan gréasáin agus ionsaithe gréasáin clasaiceach;
  • leochaileachtaí comhpháirteanna PaaS;
  • API na gcomhpháirteanna go léir.

B'fhéidir, ó na fíor-riachtanach le haghaidh tuilleadh stair - gach rud.

Cén cineál oibre a rinneadh agus cén fáth a bhfuil gá léi?

Tá iniúchadh slándála dírithe ar leochaileachtaí agus earráidí cumraíochta a aithint a bhféadfadh sceitheadh ​​sonraí pearsanta a bheith mar thoradh orthu, faisnéis íogair a mhodhnú, nó cur isteach ar infhaighteacht seirbhísí.

Le linn na hoibre, a mhaireann 1-2 mhí ar an meán, déanann iniúchóirí gníomhartha ionsaitheoirí ionchasacha arís agus lorgaíonn siad leochaileachtaí i gcodanna cliant agus freastalaí na seirbhíse roghnaithe. I gcomhthéacs an iniúchta ar ardán scamall an MCS, aithníodh na cuspóirí seo a leanas:

  1. Anailís ar fhíordheimhniú sa tseirbhís. Chabhródh leochaileachtaí sa chomhpháirt seo le dul isteach láithreach i gcuntais daoine eile.
  2. Staidéar ar an eiseamláir agus rialú rochtana idir cuntais éagsúla. I gcás ionsaitheoir, is sprioc inmhianaithe é an cumas chun rochtain a fháil ar mheaisín fíorúil duine eile.
  3. Leochaileachtaí taobh an chliaint. XSS/CSRF/CRLF/etc. B'fhéidir go bhfuil deis ann ionsaí a dhéanamh ar úsáideoirí eile trí naisc mhailíseacha?
  4. Leochaileachtaí taobh an fhreastalaí: RCE agus gach cineál insteallta (SQL/XXE/SSRF agus mar sin de). De ghnáth bíonn sé níos deacra teacht ar leochaileachtaí an fhreastalaí, ach bíonn go leor úsáideoirí ag comhréiteach orthu ag an am céanna.
  5. Anailís ar leithlisiú deighleoga úsáideoirí ag leibhéal an líonra. Maidir le ionsaitheoir, cuireann an easpa leithlisithe go mór leis an dromchla ionsaí d'úsáideoirí eile.
  6. Anailís loighic gnó. An féidir gnó a mhealladh agus meaisíní fíorúla a chruthú saor in aisce?

Sa tionscadal seo, rinneadh an obair de réir an tsamhail "Gray-box": d'idirghníomhaigh na hiniúchóirí leis an tseirbhís le pribhléidí na ngnáthúsáideoirí, ach bhí cuid de na téacsanna foinse API acu agus bhí deis acu na sonraí a shoiléiriú leis na forbróirí. . Is gnách gurb é seo an tsamhail oibre is áisiúla, agus ag an am céanna go leor réalaíoch: is féidir faisnéis inmheánach a bhailiú fós ag ionsaitheoir, níl ann ach ceist ama.

Leochaileachtaí aimsithe

Sula dtosaíonn an t-iniúchóir ag seoladh ualaí pá éagsúla (an pálasta lena ndéantar an t-ionsaí) chuig áiteanna randamacha, is gá tuiscint a fháil ar cad a oibríonn, cén fheidhmiúlacht a chuirtear i láthair. D'fhéadfadh sé a bheith cosúil gur cleachtadh gan úsáid é seo, mar ní bheidh aon leochaileachtaí ann sa chuid is mó de na háiteanna a ndearnadh staidéar orthu. Ach ní bheidh ach tuiscint a fháil ar struchtúr an fheidhmchláir agus ar loighic a chuid oibre in ann teacht ar na veicteoirí ionsaithe is casta.

Tá sé tábhachtach áiteanna a bhfuil cuma amhrasach orthu a aimsiú nó atá an-difriúil le háiteanna eile. Agus fuarthas an chéad leochaileacht contúirteach ar an mbealach seo.

IDOR

Tá leochaileachtaí IDOR (Tagairt Dhíreach Neamhdhaingean Oibiachta, tagairtí díreacha neamhchinnte do réada) ar cheann de na cineálacha leochaileachtaí is coitianta i loighic ghnó, a cheadaíonn bealach amháin nó bealach eile chun rochtain a fháil ar rudaí nach gceadaítear rochtain a fháil orthu i ndáiríre. Cruthaíonn leochaileachtaí IDOR an fhéidearthacht faisnéis a fháil faoin úsáideoir ag céimeanna éagsúla criticiúla.

Ceann de na roghanna IDOR is ea gníomhartha a dhéanamh le réada córais (úsáideoirí, cuntais bhainc, earraí sa chiseán) trí aitheantóirí rochtana a ionramháil le haghaidh na n-earraí sin. Tá na hiarmhairtí is nach féidir a thuar mar thoradh air seo. Mar shampla, leis an bhféidearthacht a chur in ionad an cuntas ar an seoltóir na gcistí, mar gheall ar ar féidir leat iad a ghoid ó úsáideoirí eile.

I gcás MCS, fuair iniúchóirí leochaileacht IDOR a bhaineann le haitheantóirí neamhshlána. I gcuntas pearsanta an úsáideora, baineadh úsáid as UUIDanna chun rochtain a fháil ar aon réada, rud a bhí cosúil, mar a deir saineolaithe slándála, go hiontach neamh-brúidiúil (is é sin, cosanta ó ionsaí brúidiúil). Ach maidir le haonáin áirithe, fuarthas amach go n-úsáidtear gnáthuimhreacha intuartha chun faisnéis a fháil faoi úsáideoirí an fheidhmchláir. Sílim gur féidir leat buille faoi thuairim go raibh sé indéanta an t-aitheantas úsáideora a athrú ar cheann amháin, an t-iarratas a sheoladh arís agus mar sin faisnéis a fháil ag seachaint an ACL (liosta rialaithe rochtana, rialacha rochtana sonraí do phróisis agus úsáideoirí).

Brionnú Iarratas Taobh an Fhreastalaí (SSRF)

Is é an rud go maith faoi tháirgí OpenSource ná go bhfuil líon mór fóram acu le cur síos teicniúil mionsonraithe ar na fadhbanna a thagann chun cinn agus, má tá an t-ádh ort, le cur síos ar an réiteach. Ach tá míbhuntáiste ag baint leis an mbonn seo: sonraítear leochaileachtaí aitheanta freisin. Mar shampla, tá cur síos iontach ag fóram OpenStack ar leochaileachtaí [xss] и [SSRF]nach bhfuil aon duine i Hurry a shocrú ar chúis éigin.

Feidhmchlár coitianta is ea an cumas don úsáideoir nasc a sheoladh chuig an bhfreastalaí a leanann an freastalaí (mar shampla, chun íomhá a íoslódáil ó fhoinse sonraithe). Mura bhfuil dóthain scagtha ag uirlisí slándála ar na naisc féin nó na freagraí a chuirtear ar ais ón bhfreastalaí chuig úsáideoirí, is furasta d’ionsaitheoirí an fheidhm sin a úsáid.

Is féidir le leochaileachtaí SSRF forbairt ionsaí ar aghaidh a chur chun cinn go mór. Is féidir le hionsaitheoir:

  • rochtain theoranta ar an líonra áitiúil faoi ionsaí, mar shampla, trí dheighleoga líonra áirithe amháin agus de réir prótacail áirithe;
  • rochtain iomlán ar an ngréasán áitiúil, más féidir íosghrádú ón gciseal iarratais go dtí an ciseal iompair agus, mar thoradh air sin, bainistíocht iomlán ualach ar an gciseal iarratais;
  • rochtain a léamh ar chomhaid áitiúla ar an bhfreastalaí (má thacaítear leis an scéim comhaid ///);
  • agus i bhfad níos mó.

Tá leochaileacht SSRF ar eolas le fada ag OpenStack atá “dall” sa nádúr: nuair a théann tú isteach ar an bhfreastalaí, ní fhaigheann tú freagra uaidh, ach faigheann tú cineálacha éagsúla earráidí / moilleanna, ag brath ar thoradh an iarratais. Bunaithe ar seo, is féidir scanadh poirt a dhéanamh ar óstach ar an ngréasán inmheánach, agus níor cheart na hiarmhairtí go léir ina dhiaidh sin a mheas faoina luach. Mar shampla, d'fhéadfadh go mbeadh API cúloifige ag táirge nach bhfuil inrochtana ach ón líonra corparáideach. Le doiciméadú (ná déan dearmad faoi chos istigh), is féidir le hionsaitheoir SSRF a úsáid chun rochtain a fháil ar mhodhanna inmheánacha. Mar shampla, má d'éirigh leat a fháil ar bhealach éigin liosta de na URLanna úsáideacha, ansin le cabhair ó SSRF is féidir leat dul trí iad agus iarratas a fhorghníomhú - ag labhairt go réasúnta, airgead a aistriú ó chuntas go cuntas nó teorainneacha a athrú.

Ní hé seo an chéad uair a aimsíodh leochaileacht SSRF in OpenStack. San am atá caite, bhíothas in ann íomhánna ISO de VManna a íoslódáil ó nasc díreach, rud a d’eascair iarmhairtí comhchosúla freisin. Baineadh an ghné seo de OpenStack faoi láthair. De réir dealraimh, mheas an pobal gurb é seo an réiteach is simplí agus is iontaofa ar an bhfadhb.

Agus i seo I dtuarascáil atá ar fáil go poiblí ó HackerOne (h1), ag rith SSRF nach bhfuil dall a thuilleadh leis an gcumas torthaí mar shampla meiteashonraí a léamh i rochtain Root ar bhonneagar Shopify ar fad.

I MCS, fuarthas leochaileachtaí SSRF in dhá áit le feidhmiúlacht den chineál céanna, ach bhí siad beagnach dodhéanta leas a bhaint as mar gheall ar bhallaí dóiteáin agus cosaintí eile. Bealach amháin nó bealach eile, shocraigh foireann MCS an fhadhb seo ar aon nós, gan fanacht leis an bpobal.

XSS in ionad "sliogáin" a lódáil

In ainneoin na céadta staidéar scríofa, ó bhliain go bliain is é XSS (ionsaí scriptithe tras-láithreáin) an ceann is mó fós coitianta leochaileacht gréasáin (nó ionsaí?).

Is fearr le haon taighdeoir slándála uaslódála comhaid. Is minic a tharlaíonn sé gur féidir leat script treallach (asp / jsp / php) a luchtú agus orduithe OS a fhorghníomhú, i dtéarmaíocht na pentesters - “load a shell”. Ach oibríonn an tóir a bhí ar leochaileachtaí den sórt sin sa dá threo: déantar iad a mheabhrú agus tá leigheasanna á bhforbairt ina gcoinne, agus mar sin le déanaí tá an dóchúlacht go “luchtú blaosc” go nialas.

Bhí an t-ádh ar an bhfoireann ionsaí (arna ionadú ag Digital Security). Ceart go leor, i MCS ar thaobh an fhreastalaí, seiceáladh inneachar na gcomhad uaslódáilte, níor ceadaíodh ach íomhánna. Ach is pictiúr é SVG freisin. Agus conas is féidir íomhánna SVG a bheith contúirteach? Ós rud é gur féidir leat gearrthóga JavaScript a leabú iontu!

D'éirigh sé amach go bhfuil na comhaid íoslódála ar fáil do gach úsáideoir na seirbhíse MCS, rud a chiallaíonn gur féidir ionsaí a dhéanamh ar úsáideoirí eile an scamall, eadhon riarthóirí.

Iniúchadh Slándála MCS Cloud Platform
Foirm Logála Isteach Phishing Sampla Ionsaí XSS

Samplaí de shaothrú ionsaithe XSS:

  • Cén fáth iarracht seisiún a ghoid (go háirithe ós rud é anois tá fianáin HTTP-Only i ngach áit, cosanta ó goid ag baint úsáide as scripteanna js), más féidir leis an script luchtaithe rochtain a fháil láithreach ar an API acmhainne? Sa chás seo, is féidir leis an pálasta cumraíocht an fhreastalaí a athrú trí iarratais XHR, mar shampla, eochair phoiblí SSH an ionsaitheora a chur leis agus rochtain SSH a fháil ar an bhfreastalaí.
  • Má chuireann polasaí an CSP (Beartas um Chosaint Ábhar) cosc ​​ar instealladh JavaScript, is féidir le hionsaitheoir déanamh gan é. Ar HTML íon, cruthaigh foirm logáil isteach bhréige agus goid pasfhocal an riarthóra trí fhioscaireacht chomh hard sin: tá an leathanach fioscaireachta don úsáideoir ar an URL céanna, agus tá sé níos deacra don úsáideoir é a bhrath.
  • Ar deireadh, is féidir le ionsaitheoir socrú a dhéanamh cliant DoS - socraigh Fianáin atá níos mó ná 4 KB. Is leor don úsáideoir an nasc a oscailt uair amháin - agus ní bheidh an láithreán ar fad ar fáil go dtí go smaoiníonn tú ar an mbrabhsálaí a ghlanadh de réir a chéile: i bhformhór mór na gcásanna, diúltóidh an freastalaí gréasáin glacadh le cliant den sórt sin.

Breathnaímid ar shampla de XSS nochta eile, an uair seo le saothrú níos caolchúisí. Ligeann an tseirbhís MCS duit socruithe balla dóiteáin a chomhcheangal i ngrúpaí. Bhí an XSS aimsithe in ainm an ghrúpa. Ba é an rud is suntasaí ná nár oibrigh an veicteoir láithreach, ní nuair a bhí sé ag féachaint ar liosta na rialacha, ach nuair a bhí grúpa á scriosadh:

Iniúchadh Slándála MCS Cloud Platform

Is é sin, d'éirigh an cás amach mar seo a leanas: cruthaíonn ionsaitheoir riail balla dóiteáin le "ualach" san ainm, tugann an riarthóir faoi deara tar éis tamaill, cuireann sé tús leis an bpróiseas a bhaint. Agus seo an áit a n-oibríonn an JS mailíseach.

Le gur féidir le forbróirí MCS cosaint a thabhairt i gcoinne XSS in íomhánna SVG uaslódáilte (mura féidir iad a dhíliostáil), mhol an fhoireann Slándála Digiteach:

  • Comhaid óstaigh arna uaslódáil ag úsáideoirí ar fhearann ​​ar leith nach bhfuil baint ar bith aige le "fianáin". Déanfar an script a fhorghníomhú i gcomhthéacs fearainn eile agus ní bheidh sí ina bagairt ar MCS.
  • Seol an ceanntásc "Content-disposition: attachment" i bhfreagra HTTP an fhreastalaí. Ansin déanfaidh an brabhsálaí na comhaid a íoslódáil, agus ní dhéanfar iad a fhorghníomhú.

Ina theannta sin, tá go leor bealaí ann anois d’fhorbróirí chun na rioscaí a bhaineann le saothrú XSS a mhaolú:

  • ag baint úsáide as an mbratach "HTTP Amháin", is féidir leat a dhéanamh ar na ceanntásca seisiúin "Fianáin" dorochtana do JavaScript mailíseach;
  • polasaí CSP curtha i bhfeidhm i gceart casta suntasach a dhéanamh ar shaothrú XSS le haghaidh ionsaitheoir;
  • ghlanann innill templála nua-aimseartha ar nós Angular or React sonraí úsáideoirí go huathoibríoch sula ndéantar iad a rindreáil do bhrabhsálaí an úsáideora.

Leochaileachtaí i bhfíordheimhniú dhá fhachtóir

Chun slándáil na gcuntas a mhéadú, moltar i gcónaí d’úsáideoirí 2FA (fíordheimhniú dhá fhachtóir) a chumasú. Go deimhin, is bealach éifeachtach é seo chun cosc ​​​​a chur ar ionsaitheoir ó rochtain a fháil ar sheirbhís má chuirtear isteach ar dhintiúir an úsáideora.

Ach an ráthaíonn úsáid an dara fachtóir fíordheimhnithe sábháilteacht an chuntais i gcónaí? I gcur chun feidhme 2FA, tá fadhbanna slándála den sórt sin:

  • Áireamh garbh ar an gcód OTP (cóid aonuaire). In ainneoin a éasca le húsáid, tarlaíonn earráidí ar nós an easpa cosanta i gcoinne brúidiúlacht OTP i gcuideachtaí móra: Cás bog, Cás Facebook.
  • Algartam giniúna lag, mar shampla an cumas an chéad chód eile a thuar.
  • Earráidí loighciúla, mar shampla a bheith in ann OTP duine eile a iarraidh ar do ghuthán, mar seo bhí ó Shopify.

I gcás MCS, cuirtear 2FA i bhfeidhm bunaithe ar Google Authenticator agus Duo. Tá an prótacal féin tástáilte cheana féin in am, ach is fiú seiceáil a dhéanamh ar chur i bhfeidhm fíoraithe cód ar thaobh an iarratais.

In MCS, úsáidtear 2FA in áiteanna éagsúla:

  • Agus úsáideoir á fhíordheimhniú. Tá cosaint brute-force anseo: níl ach cúpla iarracht ag an úsáideoir pasfhocal aonuaire a chur isteach, ansin cuirtear bac ar an ionchur ar feadh tamaill. Cuireann sé seo bac ar an gcumas an OTP a fhórsa go brúidiúil.
  • Nuair a bheidh cóid chúltaca as líne á nginiúint chun 2FA a chomhlíonadh, chomh maith lena dhíchumasú. Anseo, níor cuireadh cosaint fórsa brute i bhfeidhm, rud a d'fhág go bhféadfaí, má bhí pasfhocal don chuntas agus seisiún bailí, cóid chúltaca a athghiniúint nó 2FA a dhíchumasú ar fad.

Ós rud é go raibh na cóid chúltaca suite sa raon céanna luachanna teaghrán leo siúd a ghin an t-iarratas OTP, bhí an deis an cód a phiocadh suas i mbeagán ama i bhfad níos airde.

Iniúchadh Slándála MCS Cloud Platform
An próiseas chun OTP a roghnú chun 2FA a dhíchumasú ag baint úsáide as an uirlis "Burp: Intruder"

Toradh

Go ginearálta, ba chosúil go raibh MCS mar tháirge sábháilte. Le linn an iniúchta, theip ar fhoireann pentester rochtain a fháil ar VManna na gcliant agus ar a gcuid sonraí, agus shocraigh foireann an MCS na leochaileachtaí a fuarthas go tapa.

Ach anseo tá sé tábhachtach a thabhairt faoi deara gur obair leanúnach í an tslándáil. Níl seirbhísí seasta, tá siad ag athrú i gcónaí. Agus tá sé dodhéanta táirge a fhorbairt go hiomlán gan leochaileachtaí. Ach is féidir leat iad a fháil in am agus an seans go n-athrá a íoslaghdú.

Anois tá na leochaileachtaí go léir a luaitear i MCS socraithe cheana féin. Agus chun líon na cinn nua a choinneáil chomh híseal agus is féidir agus a saolré a laghdú, leanann foireann an ardáin ag déanamh seo:

Foinse: will.com

Add a comment