Securitas audit de MCS nubem platform

SkyShip Opa per SeerLight

Aedificium quodlibet servitium necessario includit constantem laborem securitatis. Securitas est continuus processus, qui constantem analysim et emendationem securitatis producti includit, vigilantia nuntiorum de vulnerabilitate et multo magis. Complectens audits. Auditiones exercentur tam domestici quam periti externi, qui funditus adiuvare possunt securitati, quia in incepto non immerguntur et mentem apertam habent.

Articulus est de hac simplicissima sententia peritorum externorum qui in Mail.ru Cloud Solutiones adiuverunt (MCS) equos temptantes nubem servitutis et circa id quod invenerunt. Sicut "vim externam" MCS elegit turmam Securitatis Digitalis, notam ob altam peritiam in circulos securitatis informationis. Et in hoc articulo excutiemus quasdam vulnerabilitates interesting quae inventas sunt ut partem auditionis exterioris, ut eundem rastrum fugias cum ministerium proprium nubem creas.

Описание продукта

Nubes Mail.ru Solutions (MCS) suggestum est aedificandi virtualem infrastructuram in nube. IaaS, Paas, mercatumque includit imagines applicationis paratae ad tincidunt. Cum architecturae MCS ratione habita, salutem producti in sequentibus locis reprimere oportuit;

• tuentes infrastructuram virtualis ambitus: hypervisores, fusiones, firewalls;
• tutela clientium virtualis infrastructura: solitudo ab invicem, retiaculis inclusis, retiacula privata in SDN;
• OpenStack and its open components;
• S3 nostri consili;
• IAM: multi-tenens incepta cum munere exemplari;
• Visio (visio computatrum): APIs et vulnerabilities cum imaginibus operando;
• web interface and classic impetus;
• nuditates paas tium;
• tium omnium api.

Forsitan id omnia necessaria ulterioris historiae sunt.

Quale opus confectum et cur opus fuit?

Auditorium securitatis intendit ad cognoscendas vulnerabilitates et errores conformationem, qui ad lacus personalis notitiae, modificationis notitiarum sensibilium, aut distractio servitutis disponibilitatem inducere potuerunt.

In labore, quod in mediocris 1-2 mensibus durat, auditores actiones impugnantium potentiarum repetunt et exspectent vulnerabilitates in cliente et servitore partium delectarum operarum. In contextu in computo in suggestu nubes MCS, proposita sequentia notantur;

1. Analysis authenticationis in ministerio. Vulnerabilitates in hac parte adiuvabunt ut statim rationes aliorum acquirant.
2. Investigans munus exemplar et accessum temperantiae inter varias rationes. Pro impugnante, facultas accedendi ad aliam machinam virtualem est finis desiderabilis.
3. Cliens lateris nuditates. XSS/CSRF/CRLF/etc. Licetne alios usores invadere per nexus malignos?
4. Servi lateris vulnerabilitates: RCE et omnia genera injectionum (SQL/XXE/SSRF et sic deinceps). Servi passibilitates plerumque difficiliores sunt inventu, sed ad multorum utentium simul componendum ducunt.
5. Analysis segmenti utentis solitarii in gradu retis. Nam oppugnator, defectus solitarii valde auget oppugnationem superficiei contra alios utentes.
6. Negotium analysis logicae. Licetne negotia fallere et machinis virtualis gratis creare?

In hoc incepto opus peractum est secundum exemplar "Gray-box": auditores cum privilegiis usorum ordinariorum interacte sunt, sed partim principium API codicem possidebant et opportunitas erat singula enucleandae cum machinis explicandi. Hoc plerumque commodissimum est, simulque plane realisticum laboris exemplar: notitia interna ab oppugnante adhuc colligi potest, tempus tantum est.

Vulnerabilities invenerunt

Priusquam auditor incipit mittere varias stipendiarias (solutae solutiones ad impetum faciendum) ad loca temere facienda, intelligere necessarium est quomodo res operae et quid functiones provisae sint. Frustra haec exercitatio videri potest, quia in pluribus locis consideratis nulla erunt vulnera. Sed solum intelligendo structuram applicationis et operationis suae logicam, faciet eam invenire vectorem multiplicissimam oppugnationem.

Interest invenire loca quae suspecta videntur vel ab aliis aliquo modo longe diversa sunt. Prima autem vulnerabilitas periculosa hoc modo inventa est.

IDOR

IDOR (Insecure Direct Object Reference) passibilitates sunt una ex vilissimis nuditatibus in logica negotiis, quae unum aut alterum permittit accedere ad res ad quas accedere non licet. Nudabilitates IDOR efficiunt facultatem obtinendi informationes circa utentem diversi gradus criticae.

Una optionum IDOR est agere actiones cum obiectis systematis (usores, rationes argentariae, supellex cart) per accessum identificatores ad haec obiecta abusiva. Hinc vagus maxime consequatur. Exempli causa, possibilitas reponendarum rationum mittente pecuniarum, per quam ab aliis utentibus surripere potes.

In casu MCS, auditores vulnerabilitas IDOR cum identificatoribus non-secutis tantum detexerunt. In ratione personali usoris, UUID identificatores ad aliqua obiecta accedere solebant, quae, ut periti securitatis dicunt, graviter insecure videbantur (hoc est, ab impetus violentis violentis protecti). Sed pro aliquibus rebus compertum est quod regulares praevidere numerorum solent habere informationem de utentibus applicationis. Puto te coniicere posse id usorem unum posse mutare, petitionem iterum mitte et sic informationes habere, praetereuntes ACL (album imperium accessum, regulas pro processibus et usoribus datas accessus).

Servo latus Request Forgery (SSRF)

Bona res circa OpenSource productorum est, quod ingentem numerum fororum habent cum explicationibus technicis problematum quae oriuntur et, si felix, descriptionem solutionis. Sed hic nummus latus flip; notae vulnerabilitates etiam singillatim describuntur. Exempli gratia, mirabilia descriptiones vulnerum in foro OpenStack [XSS] и [SSRF]quem aliqua de causa figere nemo properat.

Communis functionality applicationum facultas est utentis mittendi nexum cum servo, quem server clicks (exempli gratia, imaginem ex certo fonte deponi). Si instrumenta securitatis non spargunt ipsas nexus vel responsa a servo utentibus reddita sunt, huiusmodi officia ab oppugnatoribus facile adhiberi possunt.

SSRF vulnerabilities magnopere possunt progressus oppugnationis promovere. Percussor possumus:

• limitata accessum ad retia localia oppugnata, exempli gratia, solum per segmenta quaedam retis et protocollo quodam adhibita;
• plenus accessus ad retis localis, si descensus ab applicatione gradus ad gradum onerariorum fieri potest et, per consequens, plenam sarcinam procuratio in gradu applicationis;
• accessum ad legendas tabellas locales in calculonis servi (si tabella /// schema sustentatur);
• et multo amplius.

An SSRF vulnerabilitas iam pridem in OpenStack nota est, quae in natura "caeca" est: cum servo contactum, responsum ab eo non accipis, sed diversa genera errorum/moras secundum eventum petitionis accipis. . Ex hoc, potes portum facere in exercitibus in retis internis, cum omnibus consequentibus quae contemni non debent. Exempli gratia, productum potest habere officium API posticium quod solum e network corporatum pervium est. Cum documentis (noli de insiders oblivisci), oppugnator SSRF uti potest ad methodos internas accedere. Exempli gratia, si aliquo modo potes album proximum URL utilium obtinere, tunc SSRF utens per eas ire potes et petitionem - relative loquendo, pecuniam ex ratione ad rationem vel ad limites mutandum transfer.

Hoc primum vulnerabilitas SSRF non in OpenStack detecta est. Olim fieri potuit imagines VM ISO ex ligatione directa, quae etiam ad similes consectaria deducebatur. Haec factura nunc ab OpenStack remota est. Communitas videtur hanc solutionem problemati simplicissimam ac certissimam considerare.

et in haec palam praesto relationem de servitio HackerOne (h1), abusus SSRF non amplius caecum cum facultate legendi exempli metadata ducit ad radicem accessum ad totam infrastructuram Shopify.

In MCS, SSRF nuditates in duobus locis cum similibus functionibus repertae sunt, sed propter incendia et alia praesidia fieri non potuerunt. Uno modo vel alio, in mcs quadrigis fixa est haec quaestio usquam, non expectata communitas.

XSS loco loading conchas

Quamvis centena studiorum scripta, anno post annum XSS (cross-site scripting) oppugnatio est adhuc gravissima saepe offendit textus vulnerability (or * impetum?).

Fasciculi impositi sunt ventus locus cuilibet indagatori securitatis. Saepe evenit ut scriptionem arbitrariam (asp/jsp/php) onerare possis et mandata OS facere, in terminologia pentesters - "testa onere". Sed favore talium vulnerabilium in utramque partem operatur: recordantur et remedia contra eos augentur, ut nuper probabilitas "concham onerandi" in nihilum tendere.

Turma oppugnans (per Digital Securitatis repraesentata) felix fuit. OK, in MCS in calculonis servi contenta imaginum receptaculorum repressa sunt, tantum imagines concessa sunt. Sed SVG etiam imago est. Quomodo SVG imagines periculosae esse possunt? Quia JavaScript Excerpta embed in eas!

Evenit ut tabulae receptae praesto sint omnibus usoribus servitii MCS, quod significat fieri posse alios utentes nubeculas oppugnare, nempe administratores.

Exemplum XSS impetum in forma login hamatae

Exempla XSS oppugnationis abusionis:

• Cur sessionem surripere conaris (praesertim cum nunc HTTP-tantum crustula ubique sint, a furti utens scriptoribus defendantur), si scriptor onustus statim accedere potest subsidii API? In hoc casu, payload petitionibus XHR mutare configurationem ministrantis potest, exempli gratia, clavis publici oppugnatoris SSH adde et ad aditum servo SSH lucrandum.
• Si consilium CSP (consilium tutelae contentum) JavaScript injectus vetat, oppugnator sine eo potest obtinere. Pure HTML utens, fictam rationem pro site crea et tesseram administratoris per hanc hamatae provectam furaris: phishing pagina usoris in eodem URL terminatur, et difficilius est usorem detegere.
• Demum oppugnator disponere potest clientis DoS - posuit Crustulae maior quam IV KB. Usoris solum nexum semel aperiendum necesse est, et totus situs inaccessibilis fit donec usor navigatorem specifice purgare putat: in pluribus casibus, server tela talem clientem recusabit accipere.

Intueamur exemplum alterius XSS detecti, hoc tempore subtiliori facinore. Munus MCS tibi permittit ut occasus firewall in coetus coniungas. Coetus nomen erat ubi XSS detectum est. Proprium eius fuit quod vector statim non utitur, non inspicienti indicem regularum, sed coetus delendo;

Hoc est, missionem hanc esse: oppugnator firewall regulam cum nomine "onere" creat, administrator id post tempus animadvertit et deletionis processum inchoat. Et hoc est, ubi maligni JS opera.

Nam tincidunt MCS contra XSS protegere in imaginibus uploaded SVG (si omitti non possunt), turma Digital Securitatis suadetur:

• Loco files uploaded ab usoribus in dominico separato quod nihil ad "crustulum" pertinet. Scriptum exsecutioni mandabitur in contextu alterius dominii et periculum non faciet MCS.
• In responsione HTTP ministri, mitte "Content-dispositio: affectum" header. Tum tabulae ab navigatro receptae erunt et non exsecutioni mandabuntur.

Praeterea nunc multae viae praesto sunt tincidunt ad mitiganda pericula abusionis XSS:

• "HTTP" vexillum utens, sessionem "Crustulae" capitis inaccessibilem facere potes JavaScript malitiosi;
• recte implemented CSP consilium multo difficilius oppugnator XSS faciet;
• moderni machinis templates ut angulares vel React automatice inconsideratus notitias usoris antequam outputting eam ad navigatrum usoris.

Duo-elementum authenticas vulnerabilities

Securitatem rationem emendare, utentes semper monuerunt ut 2FA (duo factor authenticas). Hoc enim modo efficax est, ne oppugnator accederet ad servitium, si documentorum utentis suspecti sunt.

Sed numquid utens secundo factor authenticas rationem salutis semper spondet? Sequuntur quaestiones securitatis in exsequendo 2FA;

• Bruta vis inquisitionis ex codice OTP (unum codicibus temporis). Quamvis operandi simplicitas, errores, qui contra OTP violentam vim praesidio carent, etiam in magnis societatibus occurrunt; Remissa causa, Facebook causa.
• Debilis generatio algorithmus, exempli gratia facultas praedicendi codicem proximum.
• Errores logici, ut facultas petendi OTP alterius in telephono tuo, sic est erat from Shopify.

In casu MCS, 2FA inducitur secundum Google Authenticatorem et Duo. Protocollum ipsum iam probatum est, sed exsecutio verificationis codicis in parte applicationis reprehendo valet.

MCS 2FA pluribus in locis adhibetur:

• cum Inscrutando authenticando. Est praesidium contra vim violentam: usor solum paucos conatus ad unum tempus tesseram ingrediendi habet, initus ad tempus interclusus est. Hoc impedit ut electio OTP bruta vis.
• Cum tergum code generans offline ad 2FA perficiendum, tum inactivare. Hic nulla violentia violenta adhibita est tutela, quae fieri potuit, si tesseram rationis et sessionis activae haberes, ad tergum renatis codicibus vel 2FA omnino inactivare.

Cum tergum codicis positos esse in eadem extensione chordarum valorum ac e applicatione OTP generatorum, facultas codicis brevi inveniendi multo altior erat.

Processus eligendi OTP ut disable 2FA utens "Burp: Intruser" instrumentum

exitum

Super, MCS ut opus tutum esse videtur. In computo, turma pentestas accessum ad clientem VMs et notitias suas accedere non potuit, et vulnerabilitates inventae sunt celeriter a team MCS emendati.

Sed hic interest notare securitatem continuum opus esse. Officia non sunt statice, constanter evolvuntur. Impossibile est autem sine nuditatibus omnino aliquod opus enucleare. Sed eos in tempore invenire potes et casum recurrentis obscurare.

Nunc omnia vulnerabilitates praedictae in MCS iam certae sunt. Et ut numerum novorum ad minimum retineat et vitam suam minuat, manipulus suggestus hoc facere pergit;

• audits externas turmas regulariter peragunt;
• support et develop participationem in Mail.ru Group Bug Programma;
• securitatem committere. 🙂

Source: www.habr.com