MCS mākoņa platformas drošības audits

SkyShip Dusk autors SeerLight

Jebkura pakalpojuma izveide obligāti ietver pastāvīgu darbu pie drošības. Drošība ir nepārtraukts process, kas ietver pastāvīgu produktu drošības analīzi un uzlabošanu, ziņu uzraudzību par ievainojamībām un daudz ko citu. Ieskaitot auditus. Auditus veic gan iekšēji, gan ārēji eksperti, kuri var radikāli palīdzēt drošības jomā, jo viņi nav iedziļinājušies projektā un ir atvērti.

Raksts ir par šo vistiešāko ārējo ekspertu viedokli, kuri palīdzēja Mail.ru Cloud Solutions (MCS) komandai pārbaudīt mākoņpakalpojumu, un par to, ko viņi atrada. Kā “ārējais spēks” MCS izvēlējās Digital Security uzņēmumu, kas pazīstams ar savu augsto pieredzi informācijas drošības aprindās. Un šajā rakstā mēs analizēsim dažas interesantas ievainojamības, kas tika atklātas ārējā audita ietvaros, lai, veidojot savu mākoņpakalpojumu, izvairītos no tā paša grābekļa.

Описание продукта

Mail.ru mākoņa risinājumi (MCS) ir platforma virtuālās infrastruktūras veidošanai mākonī. Tas ietver IaaS, PaaS un gatavu lietojumprogrammu attēlu tirgu izstrādātājiem. Ņemot vērā MCS arhitektūru, bija nepieciešams pārbaudīt produkta drošību šādās jomās:

• virtualizācijas vides infrastruktūras aizsardzība: hipervizori, maršrutēšana, ugunsmūri;
• klientu virtuālās infrastruktūras aizsardzība: izolācija vienam no otra, ieskaitot tīklu, privātos tīklus SDN;
• OpenStack un tā atvērtās sastāvdaļas;
• S3 mūsu pašu dizains;
• IAM: vairāku īrnieku projekti ar paraugu;
• Vīzija (datorredze): API un ievainojamības, strādājot ar attēliem;
• tīmekļa saskarne un klasiskie tīmekļa uzbrukumi;
• PaaS komponentu ievainojamības;
• Visu komponentu API.

Varbūt tas ir viss, kas ir būtiski tālākai vēsturei.

Kādi darbi tika veikti un kāpēc tas bija vajadzīgs?

Drošības audita mērķis ir identificēt ievainojamības un konfigurācijas kļūdas, kas var izraisīt personas datu noplūdi, sensitīvas informācijas izmaiņas vai pakalpojumu pieejamības traucējumus.

Darba laikā, kas ilgst vidēji 1-2 mēnešus, auditori atkārto potenciālo uzbrucēju darbības un meklē ievainojamības izvēlētā servisa klienta un servera daļās. MCS mākoņplatformas audita kontekstā tika noteikti šādi mērķi:

1. Autentifikācijas analīze pakalpojumā. Ievainojamības šajā komponentā palīdzētu nekavējoties iekļūt citu cilvēku kontos.
2. Lomu modeļa un piekļuves kontroles izpēte starp dažādiem kontiem. Uzbrucējam iespēja piekļūt kāda cita virtuālajai mašīnai ir vēlams mērķis.
3. Klienta puses ievainojamības. XSS/CSRF/CRLF/u.c. Vai ir iespējams uzbrukt citiem lietotājiem, izmantojot ļaunprātīgas saites?
4. Servera puses ievainojamības: RCE un visa veida injekcijas (SQL/XXE/SSRF un tā tālāk). Servera ievainojamības parasti ir grūtāk atrast, taču tās noved pie daudzu lietotāju kompromisa vienlaikus.
5. Lietotāja segmenta izolācijas analīze tīkla līmenī. Uzbrucējam izolācijas trūkums ievērojami palielina uzbrukuma virsmu pret citiem lietotājiem.
6. Biznesa loģikas analīze. Vai ir iespējams maldināt uzņēmumus un izveidot virtuālās mašīnas bez maksas?

Šajā projektā darbs tika veikts pēc “Gray-box” modeļa: auditori mijiedarbojās ar pakalpojumu ar parasto lietotāju privilēģijām, bet daļēji viņiem piederēja API pirmkods un bija iespēja precizēt detaļas ar izstrādātājiem. Tas parasti ir ērtākais un tajā pašā laikā diezgan reālistisks darba modelis: uzbrucējs joprojām var savākt iekšējo informāciju, tas ir tikai laika jautājums.

Atrastas ievainojamības

Pirms auditors uz nejaušām vietām sāk sūtīt dažādas kravnesības (uzbrukuma veikšanai izmantoto kravu), ir jāsaprot, kā lietas darbojas un kāda funkcionalitāte tiek nodrošināta. Var šķist, ka tas ir bezjēdzīgs vingrinājums, jo lielākajā daļā pētīto vietu ievainojamību nebūs. Bet tikai izpratne par lietojumprogrammas struktūru un tās darbības loģiku ļaus atrast vissarežģītākos uzbrukuma vektorus.

Ir svarīgi atrast vietas, kas šķiet aizdomīgas vai kaut kādā ziņā ļoti atšķiras no citām. Un šādā veidā tika atrasta pirmā bīstamā ievainojamība.

IDOR

IDOR (Insecure Direct Object Reference) ievainojamības ir viena no visbiežāk sastopamajām biznesa loģikas ievainojamībām, kas ļauj vienam vai otram piekļūt objektiem, kuriem piekļuve faktiski nav atļauta. IDOR ievainojamības rada iespēju iegūt informāciju par dažādas kritiskuma pakāpes lietotāju.

Viena no IDOR iespējām ir veikt darbības ar sistēmas objektiem (lietotājiem, bankas kontiem, precēm iepirkumu grozā), manipulējot ar piekļuves identifikatoriem šiem objektiem. Tas noved pie visneparedzamākajām sekām. Piemēram, iespēja nomainīt naudas sūtītāja kontu, caur kuru jūs varat tos nozagt no citiem lietotājiem.

MCS gadījumā auditori tikko atklāja IDOR ievainojamību, kas saistīta ar nedrošiem identifikatoriem. Lietotāja personīgajā kontā UUID identifikatori tika izmantoti, lai piekļūtu jebkuriem objektiem, kas, kā saka drošības eksperti, šķita iespaidīgi nedroši (tas ir, aizsargāti no brutāla spēka uzbrukumiem). Bet dažām entītijām tika atklāts, ka informācijas iegūšanai par lietojumprogrammas lietotājiem tiek izmantoti regulāri paredzami skaitļi. Domāju, ka var nojaust, ka bija iespējams mainīt lietotāja ID par vienu, nosūtīt pieprasījumu vēlreiz un tādējādi iegūt informāciju, apejot ACL (piekļuves kontroles saraksts, datu piekļuves noteikumi procesiem un lietotājiem).

Servera puses pieprasījuma viltošana (SSRF)

OpenSource produktu labā puse ir tā, ka tajos ir milzīgs skaits forumu ar detalizētiem tehniskiem aprakstiem par problēmām, kas rodas, un, ja jums paveicas, arī risinājuma aprakstu. Taču šai monētai ir arī otrā puse: detalizēti aprakstītas arī zināmās ievainojamības. Piemēram, OpenStack forumā ir brīnišķīgi ievainojamību apraksti [XSS] и [SSRF], kuru nez kāpēc neviens nesteidzas labot.

Izplatīta lietojumprogrammu funkcionalitāte ir iespēja lietotājam nosūtīt serverim saiti, uz kuras serveris noklikšķina (piemēram, lai lejupielādētu attēlu no noteikta avota). Ja drošības rīki nefiltrē pašas saites vai no servera lietotājiem atdotās atbildes, uzbrucēji var viegli izmantot šādu funkcionalitāti.

SSRF ievainojamības var ievērojami veicināt uzbrukuma attīstību. Uzbrucējs var iegūt:

• ierobežota piekļuve uzbrukuma lokālajam tīklam, piemēram, tikai caur noteiktiem tīkla segmentiem un izmantojot noteiktu protokolu;
• pilnīga piekļuve lokālajam tīklam, ja ir iespējama pazemināšana no lietojumprogrammas līmeņa uz transporta līmeni, un līdz ar to pilnas slodzes pārvaldība lietojumprogrammas līmenī;
• piekļuve lokālo failu lasīšanai serverī (ja tiek atbalstīta shēma file:///);
• и многое другое.

OpenStack jau sen ir zināma SSRF ievainojamība, kas pēc būtības ir "akla": sazinoties ar serveri, jūs nesaņemat no tā atbildi, bet atkarībā no pieprasījuma rezultāta saņemat dažāda veida kļūdas/aiztures. . Pamatojoties uz to, varat veikt portu skenēšanu iekšējā tīklā esošajos saimniekdatoros ar visām no tā izrietošajām sekām, kuras nevajadzētu novērtēt par zemu. Piemēram, produktam var būt back-office API, kas ir pieejama tikai no korporatīvā tīkla. Izmantojot dokumentāciju (neaizmirstiet par iekšējām personām), uzbrucējs var izmantot SSRF, lai piekļūtu iekšējām metodēm. Piemēram, ja jums kaut kā izdevās iegūt aptuvenu noderīgo URL sarakstu, tad, izmantojot SSRF, varat tos iziet cauri un izpildīt pieprasījumu - nosacīti runājot, pārskaitīt naudu no konta uz kontu vai mainīt limitus.

Šī nav pirmā reize, kad OpenStack tiek atklāta SSRF ievainojamība. Agrāk VM ISO attēlus bija iespējams lejupielādēt no tiešās saites, kas arī izraisīja līdzīgas sekas. Šī funkcija tagad ir noņemta no OpenStack. Acīmredzot sabiedrība to uzskatīja par vienkāršāko un uzticamāko problēmas risinājumu.

Un šis publiski pieejams pārskats no pakalpojuma HackerOne (h1), vairs neakla SSRF izmantošana ar iespēju nolasīt gadījumu metadatus nodrošina saknes piekļuvi visai Shopify infrastruktūrai.

MCS SSRF ievainojamības tika atklātas divās vietās ar līdzīgu funkcionalitāti, taču tās bija gandrīz neiespējami izmantot ugunsmūru un citu aizsardzības līdzekļu dēļ. Tā vai citādi MCS komanda šo problēmu atrisināja, negaidot kopienu.

XSS tā vietā, lai ielādētu čaulas

Neskatoties uz simtiem rakstītu pētījumu, gadu no gada XSS (cross-site scripting) uzbrukums joprojām ir visvairāk bieži sastopams tīmekļa ievainojamība (vai uzbrukums?).

Failu augšupielāde ir iecienīta vieta jebkuram drošības pētniekam. Bieži vien izrādās, ka jūs varat ielādēt patvaļīgu skriptu (asp/jsp/php) un izpildīt OS komandas, pentesteru terminoloģijā - “load shell”. Taču šādu ievainojamību popularitāte darbojas abos virzienos: tās tiek atcerētas un pret tām tiek izstrādāti līdzekļi, tā ka pēdējā laikā varbūtība “ielādēt čaulu” mēdz būt nulle.

Uzbrucēju komandai (kuru pārstāv Digital Security) paveicās. Labi, MCS servera pusē tika pārbaudīts lejupielādēto failu saturs, bija atļauti tikai attēli. Bet SVG arī ir bilde. Kā SVG attēli var būt bīstami? Jo jūs varat iegult tajos JavaScript fragmentus!

Izrādījās, ka lejupielādētie faili ir pieejami visiem MCS servisa lietotājiem, kas nozīmē, ka ir iespējams uzbrukt citiem mākoņa lietotājiem, proti, administratoriem.

Piemērs XSS uzbrukumam pikšķerēšanas pieteikšanās veidlapai

XSS uzbrukuma izmantošanas piemēri:

• Kāpēc mēģināt nozagt sesiju (jo īpaši tāpēc, ka tagad HTTP-Only sīkfaili ir visur, aizsargāti pret zādzībām, izmantojot js skriptus), ja ielādētais skripts var nekavējoties piekļūt resursa API? Šajā gadījumā kravnesība var izmantot XHR pieprasījumus, lai mainītu servera konfigurāciju, piemēram, pievienotu uzbrucēja publisko SSH atslēgu un iegūtu SSH piekļuvi serverim.
• Ja CSP politika (satura aizsardzības politika) aizliedz ievadīt JavaScript, uzbrucējs var iztikt bez tā. Izmantojot tīru HTML, izveidojiet viltotu vietnes pieteikšanās veidlapu un nozagiet administratora paroli, izmantojot šo uzlaboto pikšķerēšanas metodi: lietotāja pikšķerēšanas lapa nonāk tajā pašā URL, un lietotājam to ir grūtāk noteikt.
• Beidzot uzbrucējs var noorganizēt klienta DoS — iestatīt sīkfailus, kas lielāki par 4 KB. Lietotājam tikai vienu reizi ir jāatver saite, un visa vietne kļūst nepieejama, līdz lietotājs domā īpaši notīrīt pārlūkprogrammu: vairumā gadījumu tīmekļa serveris atsakās pieņemt šādu klientu.

Apskatīsim cita atklātā XSS piemēru, šoreiz ar gudrāku izmantošanu. MCS pakalpojums ļauj apvienot ugunsmūra iestatījumus grupās. Grupas nosaukums bija vieta, kur tika atklāts XSS. Tā īpatnība bija tāda, ka vektors netika aktivizēts uzreiz, nevis skatot noteikumu sarakstu, bet gan dzēšot grupu:

Tas ir, scenārijs izrādījās šāds: uzbrucējs izveido ugunsmūra kārtulu, kuras nosaukumā ir “load”, administrators pēc kāda laika to pamana un uzsāk dzēšanas procesu. Un šeit darbojas ļaunprātīgais JS.

MCS izstrādātājiem, lai aizsargātu pret XSS lejupielādētajos SVG attēlos (ja tos nevar pamest), Digital Security komanda ieteica:

• Novietojiet lietotāju augšupielādētos failus atsevišķā domēnā, kam nav nekāda sakara ar “sīkfailiem”. Skripts tiks izpildīts cita domēna kontekstā un neradīs draudus MCS.
• Servera HTTP atbildē nosūtiet galveni "Satura izvietojums: pielikums". Pēc tam faili tiks lejupielādēti pārlūkprogrammā un netiks izpildīti.

Turklāt tagad izstrādātājiem ir pieejami daudzi veidi, kā mazināt XSS izmantošanas riskus:

• izmantojot karogu “Tikai HTTP”, varat padarīt sesijas “Cookies” galvenes nepieejamas ļaunprātīgam JavaScript;
• pareizi īstenota CSP politika uzbrucējam būs daudz grūtāk izmantot XSS;
• mūsdienu veidņu dzinēji, piemēram, Angular vai React, automātiski sanitizē lietotāja datus pirms to izvadīšanas lietotāja pārlūkprogrammā.

Divfaktoru autentifikācijas ievainojamības

Lai uzlabotu konta drošību, lietotājiem vienmēr ir ieteicams iespējot 2FA (divu faktoru autentifikāciju). Patiešām, tas ir efektīvs veids, kā novērst uzbrucēja piekļuvi pakalpojumam, ja lietotāja akreditācijas dati ir apdraudēti.

Bet vai otrā autentifikācijas faktora izmantošana vienmēr garantē konta drošību? Ieviešot 2FA, pastāv šādas drošības problēmas:

• Brutāla OTP koda meklēšana (vienreizēji kodi). Neskatoties uz darbības vienkāršību, lielie uzņēmumi saskaras arī ar tādām kļūdām kā aizsardzības trūkums pret OTP brutālu spēku: Vājš futrālis, Facebook gadījums.
• Vāja ģenerēšanas algoritms, piemēram, spēja paredzēt nākamo kodu.
• Šādas loģiskas kļūdas, piemēram, iespēja pieprasīt kāda cita OTP jūsu tālrunī tas bija no Shopify.

MCS gadījumā 2FA tiek ieviests, pamatojoties uz Google Authenticator un Duo. Pats protokols jau ir pārbaudīts laika gaitā, taču ir vērts pārbaudīt koda verifikācijas ieviešanu lietojumprogrammas pusē.

MCS 2FA tiek izmantots vairākās vietās:

• Veicot lietotāja autentifikāciju. Ir aizsardzība pret brutālu spēku: lietotājam ir tikai daži mēģinājumi ievadīt vienreizēju paroli, pēc tam ievade kādu laiku tiek bloķēta. Tas bloķē iespēju OTP atlasīt ar brutālu spēku.
• Ģenerējot bezsaistes rezerves kodus, lai veiktu 2FA, kā arī to atspējojot. Šeit netika ieviesta aizsardzība pret brutālu spēku, kas ļāva, ja jums bija konta parole un aktīva sesija, atjaunot rezerves kodus vai pilnībā atspējot 2FA.

Ņemot vērā, ka rezerves kodi atradās tajā pašā virkņu vērtību diapazonā, ko ģenerēja OTP lietojumprogramma, iespēja īsā laikā atrast kodu bija daudz lielāka.

OTP atlases process, lai atspējotu 2FA, izmantojot rīku “Burp: Intruder”.

Piedzīvojiet efektīvu rezultātu spēku

Kopumā šķiet, ka MCS kā produkts ir drošs. Audita laikā pentestēšanas komanda nevarēja piekļūt klientu virtuālajām mašīnām un to datiem, un MCS komanda ātri izlaboja atrastās ievainojamības.

Bet šeit ir svarīgi atzīmēt, ka drošība ir nepārtraukts darbs. Pakalpojumi nav statiski, tie pastāvīgi attīstās. Un nav iespējams izstrādāt produktu pilnīgi bez ievainojamībām. Bet jūs varat tos atrast savlaicīgi un samazināt to atkārtošanās iespēju.

Tagad visas minētās ievainojamības MCS jau ir novērstas. Un, lai samazinātu jaunu skaitu un samazinātu to kalpošanas laiku, platformas komanda turpina rīkoties šādi:

• regulāri veic ārējo uzņēmumu auditus;
• atbalstīt un attīstīt līdzdalību programmā Mail.ru Group Bug Bounty;
• iesaistīties drošībā. 🙂

Avots: www.habr.com