ProHoster > blog > Amministrazzjoni > Verifika tas-sigurtà tal-pjattaforma MCS cloud

Verifika tas-sigurtà tal-pjattaforma MCS cloud

Verifika tas-sigurtà tal-pjattaforma MCS cloud
SkyShip Dusk minn SeerLight

Il-bini ta’ kull servizz bilfors jinkludi ħidma kostanti fuq is-sigurtà. Is-sigurtà hija proċess kontinwu li jinkludi analiżi kostanti u titjib tas-sigurtà tal-prodott, monitoraġġ tal-aħbarijiet dwar vulnerabbiltajiet u ħafna aktar. Inklużi verifiki. Il-verifiki jsiru kemm internament kif ukoll minn esperti esterni, li jistgħu jgħinu radikalment fis-sigurtà għax mhumiex mgħaddsa fil-proġett u għandhom moħħ miftuħ.

L-artiklu huwa dwar din il-ħarsa mill-aktar sempliċi ta 'esperti esterni li għenu lit-tim ta' Mail.ru Cloud Solutions (MCS) jittestja s-servizz tal-cloud, u dwar dak li sabu. Bħala "forza esterna," MCS għażlet il-kumpanija tas-Sigurtà Diġitali, magħrufa għall-kompetenza għolja tagħha fiċ-ċrieki tas-sigurtà tal-informazzjoni. U f'dan l-artikolu se nanalizzaw xi vulnerabbiltajiet interessanti misjuba bħala parti minn verifika esterna - sabiex tevita l-istess rake meta toħloq is-servizz cloud tiegħek stess.

Описание продукта

Mail.ru Cloud Solutions (MCS) hija pjattaforma għall-bini ta 'infrastruttura virtwali fil-cloud. Jinkludi IaaS, PaaS, u suq ta 'immaġini ta' applikazzjoni lesti għall-iżviluppaturi. B'kont meħud tal-arkitettura MCS, kien meħtieġ li tiġi ċċekkjata s-sikurezza tal-prodott fl-oqsma li ġejjin:

  • il-protezzjoni tal-infrastruttura tal-ambjent tal-virtwalizzazzjoni: hypervisors, routing, firewalls;
  • protezzjoni tal-infrastruttura virtwali tal-klijenti: iżolament minn xulxin, inkluż netwerk, netwerks privati ​​fl-SDN;
  • OpenStack u l-komponenti miftuħa tiegħu;
  • S3 tad-disinn tagħna stess;
  • IAM: proġetti b'ħafna kerrejja b'mudell;
  • Viżjoni (viżjoni tal-kompjuter): APIs u vulnerabbiltajiet meta taħdem ma 'immaġini;
  • interface tal-web u attakki tal-web klassiċi;
  • vulnerabbiltajiet tal-komponenti PaaS;
  • API tal-komponenti kollha.

Forsi dan hu dak kollu li hu essenzjali għal aktar storja.

X’tip ta’ xogħol sar u għaliex kien meħtieġ?

Verifika tas-sigurtà hija mmirata lejn l-identifikazzjoni ta’ vulnerabbiltajiet u żbalji ta’ konfigurazzjoni li jistgħu jwasslu għal tnixxija ta’ data personali, modifika ta’ informazzjoni sensittiva, jew tfixkil tad-disponibbiltà tas-servizz.

Matul ix-xogħol, li jdum bħala medja 1-2 xhur, l-awdituri jirrepetu l-azzjonijiet ta 'attakkanti potenzjali u jfittxu vulnerabbiltajiet fil-partijiet klijent u server tas-servizz magħżul. Fil-kuntest tal-verifika tal-pjattaforma MCS cloud, ġew identifikati l-għanijiet li ġejjin:

  1. Analiżi tal-awtentikazzjoni fis-servizz. Vulnerabbiltajiet f'dan il-komponent jgħinu biex immedjatament jidħlu fil-kontijiet ta 'nies oħrajn.
  2. Studju tal-mudell u l-kontroll tal-aċċess bejn kontijiet differenti. Għal attakkant, il-kapaċità li tikseb aċċess għall-magna virtwali ta 'xi ħadd ieħor hija għan mixtieq.
  3. Vulnerabbiltajiet tan-naħa tal-klijent. XSS/CSRF/CRLF/eċċ. Huwa possibbli li tattakka utenti oħra permezz ta' links malizzjużi?
  4. Vulnerabbiltajiet tan-naħa tas-server: RCE u kull tip ta 'injezzjonijiet (SQL/XXE/SSRF u l-bqija). Il-vulnerabbiltajiet tas-server huma ġeneralment aktar diffiċli biex jinstabu, iżda jwasslu għall-kompromess ta 'ħafna utenti f'daqqa.
  5. Analiżi tal-iżolament tas-segment tal-utent fil-livell tan-netwerk. Għal attakkant, in-nuqqas ta 'iżolament iżid ħafna l-wiċċ tal-attakk kontra utenti oħra.
  6. Analiżi tal-loġika tan-negozju. Huwa possibbli li tqarraq bin-negozji u toħloq magni virtwali b'xejn?

F'dan il-proġett, ix-xogħol sar skont il-mudell "Gray-box": l-awdituri interaġixxew mas-servizz bil-privileġġi ta 'utenti ordinarji, iżda kellhom parzjalment il-kodiċi tas-sors tal-API u kellhom l-opportunità li jiċċaraw id-dettalji mal-iżviluppaturi. Dan huwa ġeneralment l-aktar mudell ta 'xogħol konvenjenti, u fl-istess ħin pjuttost realistiku: informazzjoni interna xorta tista' tinġabar minn attakkant, hija biss kwistjoni ta 'żmien.

Vulnerabbiltajiet misjuba

Qabel ma l-awditur jibda jibgħat diversi payloads (it-tagħbija użata biex iwettaq l-attakk) f'postijiet każwali, huwa meħtieġ li tifhem kif jaħdmu l-affarijiet u liema funzjonalità hija pprovduta. Jista’ jidher li dan huwa eżerċizzju inutli, għax fil-biċċa l-kbira tal-postijiet studjati mhux se jkun hemm vulnerabbiltajiet. Iżda l-fehim biss tal-istruttura tal-applikazzjoni u l-loġika tal-operat tagħha jagħmilha possibbli li jinstabu l-aktar vettori tal-attakk kumplessi.

Huwa importanti li ssib postijiet li jidhru suspettużi jew huma differenti ħafna minn oħrajn b'xi mod. U l-ewwel vulnerabbiltà perikoluża nstabet b'dan il-mod.

IDOR

Il-vulnerabbiltajiet IDOR (Insecure Direct Object Reference) huma waħda mill-vulnerabbiltajiet l-aktar komuni fil-loġika tan-negozju, li tippermetti lil wieħed jew ieħor jikseb aċċess għal oġġetti li l-aċċess għalihom mhuwiex fil-fatt permess. Il-vulnerabbiltajiet IDOR joħolqu l-possibbiltà li tinkiseb informazzjoni dwar utent ta 'gradi varji ta' kritiċità.

Waħda mill-għażliet IDOR hija li twettaq azzjonijiet ma 'oġġetti tas-sistema (utenti, kontijiet bankarji, oġġetti fil-shopping cart) billi timmanipula identifikaturi ta' aċċess għal dawn l-oġġetti. Dan iwassal għall-aktar konsegwenzi imprevedibbli. Pereżempju, il-possibbiltà li tissostitwixxi l-kont tal-mittent tal-fondi, li permezz tiegħu tista 'tirqilhom minn utenti oħra.

Fil-każ tal-MCS, l-awdituri għadhom kif skoprew vulnerabbiltà IDOR assoċjata ma 'identifikaturi mhux sikuri. Fil-kont personali tal-utent, l-identifikaturi UUID intużaw biex jaċċessaw kwalunkwe oġġett, li deher, kif jgħidu l-esperti tas-sigurtà, impressjonanti insigurtà (jiġifieri, protetti minn attakki ta 'forza bruta). Iżda għal ċerti entitajiet, ġie skopert li jintużaw numri prevedibbli regolari biex tinkiseb informazzjoni dwar l-utenti tal-applikazzjoni. Naħseb li tista 'raden li kien possibbli li tinbidel l-ID tal-utent b'wieħed, terġa' tibgħat it-talba u b'hekk tikseb informazzjoni billi tevita l-ACL (lista ta 'kontroll tal-aċċess, regoli ta' aċċess għad-dejta għall-proċessi u l-utenti).

Falsifikazzjoni ta' Talba fuq in-naħa tas-Server (SSRF)

Il-prodotti OpenSource huma tajbin għax għandhom numru kbir ta' forums b'deskrizzjonijiet tekniċi dettaljati tal-problemi li jinqalgħu u, jekk int xortik tajba, deskrizzjoni tas-soluzzjoni. Iżda din il-munita għandha flip side: il-vulnerabbiltajiet magħrufa huma deskritti wkoll fid-dettall. Per eżempju, hemm deskrizzjonijiet mill-isbaħ ta 'vulnerabbiltajiet fuq il-forum OpenStack [XSS] и [SSRF], li għal xi raġuni ħadd m'għandu għaġġla biex jirranġa.

Funzjonalità komuni tal-applikazzjonijiet hija l-abbiltà għall-utent li jibgħat link lis-server, li s-server jikklikkja fuqha (pereżempju, biex tniżżel immaġni minn sors speċifikat). Jekk l-għodod tas-sigurtà ma jiffiltrawx ir-rabtiet infushom jew ir-risposti rritornati mis-server lill-utenti, tali funzjonalità tista' faċilment tintuża mill-attakkanti.

Vulnerabbiltajiet SSRF jistgħu javvanzaw ħafna l-iżvilupp ta 'attakk. Attakkant jista' jikseb:

  • aċċess limitat għan-netwerk lokali attakkat, pereżempju, biss permezz ta 'ċerti segmenti tan-netwerk u bl-użu ta' ċertu protokoll;
  • aċċess sħiħ għan-netwerk lokali, jekk it-tnaqqis fil-livell tal-applikazzjoni għal-livell tat-trasport huwa possibbli u, bħala riżultat, ġestjoni sħiħa tat-tagħbija fil-livell tal-applikazzjoni;
  • aċċess biex taqra fajls lokali fuq is-server (jekk l-iskema file:/// hija appoġġjata);
  • u ħafna aktar.

Vulnerabbiltà SSRF ilha magħrufa f'OpenStack, li hija ta 'natura "għomja": meta tikkuntattja lis-server, ma tirċievix tweġiba minnu, iżda tirċievi tipi differenti ta' żbalji/dewmien, skont ir-riżultat tat-talba. . Ibbażat fuq dan, tista 'twettaq skan tal-port fuq hosts fuq in-netwerk intern, bil-konsegwenzi kollha li jirriżultaw li m'għandhomx jiġu sottovalutati. Pereżempju, prodott jista' jkollu API ta' back-office li hija aċċessibbli biss min-netwerk korporattiv. B'dokumentazzjoni (tinsiex dwar l-insiders), attakkant jista 'juża SSRF biex jaċċessa metodi interni. Pereżempju, jekk b'xi mod kont kapaċi tikseb lista approssimattiva ta 'URLs utli, allura billi tuża SSRF tista' tgħaddi minnhom u tesegwixxi talba - relattivament tittrasferixxi flus minn kont għal kont jew tibdel il-limiti.

Din mhix l-ewwel darba li ġiet skoperta vulnerabbiltà SSRF f'OpenStack. Fil-passat, kien possibbli li tniżżel immaġini VM ISO minn rabta diretta, li wassal ukoll għal konsegwenzi simili. Din il-karatteristika issa tneħħiet minn OpenStack. Apparentement, il-komunità qieset din l-aktar soluzzjoni sempliċi u affidabbli għall-problema.

U fl- dan rapport disponibbli pubblikament mis-servizz HackerOne (h1), l-isfruttament ta 'SSRF li m'għadux għomja bil-kapaċità li jaqra metadata tal-istanza twassal għal aċċess Root għall-infrastruttura Shopify kollha.

Fl-MCS, il-vulnerabbiltajiet SSRF ġew skoperti f'żewġ postijiet b'funzjonalità simili, iżda kienu kważi impossibbli li jiġu sfruttati minħabba firewalls u protezzjonijiet oħra. B’xi mod jew ieħor, it-tim tal-MCS rranġa din il-problema xorta waħda, mingħajr ma stenna l-komunità.

XSS minflok tagħbija qxur

Minkejja mijiet ta 'studji miktuba, sena wara sena XSS (cross-site scripting) attakk għadu l-aktar li jiltaqgħu magħhom ta’ spiss vulnerabbiltà tal-web (jew attakk?).

It-uploads tal-fajls huma post favorit għal kull riċerkatur tas-sigurtà. Ħafna drabi jirriżulta li tista 'tagħbija b'kitba arbitrarja (asp/jsp/php) u tesegwixxi kmandi tal-OS, fit-terminoloġija ta' pentesters - "load shell". Iżda l-popolarità ta 'vulnerabbiltajiet bħal dawn taħdem fiż-żewġ direzzjonijiet: huma mfakkra u rimedji huma żviluppati kontrihom, sabiex reċentement il-probabbiltà ta' "tagħbija ta 'qoxra" għandha t-tendenza għal żero.

It-tim li jattakka (rappreżentat minn Digital Security) kien xortik tajba. OK, fl-MCS fuq in-naħa tas-server il-kontenut tal-fajls imniżżla ġew iċċekkjati, immaġini biss kienu permessi. Iżda SVG huwa wkoll stampa. Kif jistgħu l-immaġini SVG ikunu perikolużi? Minħabba li tista' tiddaħħal snippets JavaScript fihom!

Irriżulta li l-fajls imniżżla huma disponibbli għall-utenti kollha tas-servizz MCS, li jfisser li huwa possibbli li jiġu attakkati utenti oħra tas-sħab, jiġifieri amministraturi.

Verifika tas-sigurtà tal-pjattaforma MCS cloud
Eżempju ta' attakk XSS fuq formola ta' login ta' phishing

Eżempji ta' sfruttament ta' attakki XSS:

  • Għaliex tipprova tisraq sessjoni (speċjalment peress li issa l-cookies HTTP-Only huma kullimkien, protetti minn serq bl-użu ta 'skripts js), jekk l-iskript mgħobbi jista' jaċċessa immedjatament l-API tar-riżorsi? F'dan il-każ, it-tagħbija tista 'tuża talbiet XHR biex tibdel il-konfigurazzjoni tas-server, pereżempju, żid iċ-ċavetta SSH pubblika tal-attakkant u tikseb aċċess SSH għas-server.
  • Jekk il-politika CSP (politika tal-protezzjoni tal-kontenut) tipprojbixxi JavaScript milli jiġi injettat, attakkant jista 'jmur mingħajrha. Bl-użu ta 'HTML pur, oħloq formola ta' login falza għas-sit u serq il-password tal-amministratur permezz ta 'dan il-phishing avvanzat: il-paġna tal-phishing għall-utent tispiċċa fl-istess URL, u huwa aktar diffiċli għall-utent li jiskopriha.
  • Fl-aħħarnett, l-attakkant jista 'jirranġa klijent DoS — issettja Cookies akbar minn 4 KB. L-utent jeħtieġ li jiftaħ il-link darba biss, u s-sit kollu jsir inaċċessibbli sakemm l-utent jaħseb li jnaddaf speċifikament il-browser: fil-maġġoranza l-kbira tal-każijiet, is-server tal-web jirrifjuta li jaċċetta tali klijent.

Ejja nħarsu lejn eżempju ta 'XSS ieħor misjuba, din id-darba bi sfruttament aktar għaqlija. Is-servizz MCS jippermettilek tgħaqqad is-settings tal-firewall fi gruppi. L-isem tal-grupp kien fejn instab l-XSS. Il-partikolarità tiegħu kienet li l-vector ma kienx attivat immedjatament, mhux meta tara l-lista ta 'regoli, iżda meta tħassar grupp:

Verifika tas-sigurtà tal-pjattaforma MCS cloud

Jiġifieri, ix-xenarju kien kif ġej: l-attakkant joħloq regola tal-firewall b'"tagħbija" fl-isem, l-amministratur jinnotaha wara ftit żmien u jibda l-proċess tat-tħassir. U dan huwa fejn jaħdem il-JS malizzjuż.

Għall-iżviluppaturi tal-MCS, biex jipproteġu kontra XSS f'immaġini SVG imniżżla (jekk ma jistgħux jiġu abbandunati), it-tim tas-Sigurtà Diġitali rrakkomanda:

  • Poġġi fajls imtella’ mill-utenti fuq dominju separat li m’għandu x’jaqsam xejn ma’ “cookies”. L-iskript se jiġi eżegwit fil-kuntest ta' dominju differenti u mhux se jkun ta' theddida għall-MCS.
  • Fir-rispons HTTP tas-server, ibgħat l-intestatura "Content-disposition: attachment". Imbagħad il-fajls se jitniżżlu mill-browser u mhux esegwiti.

Barra minn hekk, issa hemm ħafna modi disponibbli għall-iżviluppaturi biex itaffu r-riskji tal-isfruttament tal-XSS:

  • billi tuża l-bandiera "HTTP Biss", tista' tagħmel headers tas-sessjoni "Cookies" inaċċessibbli għal JavaScript malizzjuż;
  • politika CSP implimentata korrettament se jagħmilha ferm aktar diffiċli għal attakkant li jisfrutta XSS;
  • magni tal-mudell moderni bħal Angular jew React awtomatikament sanitizzaw id-dejta tal-utent qabel ma joħorġuha lill-browser tal-utent.

Vulnerabbiltajiet ta' awtentikazzjoni b'żewġ fatturi

Biex tittejjeb is-sigurtà tal-kont, l-utenti huma dejjem avżati li jippermettu 2FA (awtentikazzjoni b'żewġ fatturi). Tabilħaqq, dan huwa mod effettiv biex jipprevjeni attakkant milli jikseb aċċess għal servizz jekk il-kredenzjali tal-utent ikunu ġew kompromessi.

Imma l-użu tat-tieni fattur ta' awtentikazzjoni dejjem jiggarantixxi s-sigurtà tal-kont? Hemm il-kwistjonijiet ta' sigurtà li ġejjin fl-implimentazzjoni ta' 2FA:

  • Tfittxija b'forza bruta tal-kodiċi OTP (kodiċi ta' darba). Minkejja s-sempliċità tal-operat, kumpaniji kbar jiltaqgħu wkoll ma' żbalji bħal nuqqas ta' protezzjoni kontra l-forza bruta tal-OTP: Każ slack, Każ Facebook.
  • Algoritmu ta 'ġenerazzjoni dgħajjef, pereżempju l-abbiltà li tbassar il-kodiċi li jmiss.
  • Żbalji loġiċi, bħall-abbiltà li titlob l-OTP ta 'xi ħadd ieħor fuq it-telefon tiegħek, bħal dan kien minn Shopify.

Fil-każ ta 'MCS, 2FA hija implimentata bbażata fuq Google Authenticator u Duo. Il-protokoll innifsu diġà ġie ttestjat fiż-żmien, iżda l-implimentazzjoni tal-verifika tal-kodiċi fuq in-naħa tal-applikazzjoni ta 'min iċċekkja.

MCS 2FA jintuża f'diversi postijiet:

  • Meta awtentika l-utent. Hemm protezzjoni kontra forza bruta: l-utent għandu biss ftit tentattivi biex idaħħal password ta 'darba, imbagħad l-input jiġi mblukkat għal xi żmien. Dan jimblokka l-possibbiltà ta 'għażla ta' forza bruta ta 'OTP.
  • Meta tiġġenera kodiċijiet ta 'backup offline biex twettaq 2FA, kif ukoll tiddiżattivaha. Hawnhekk, l-ebda protezzjoni tal-forza bruta ma ġiet implimentata, li għamilha possibbli, jekk kellek password għall-kont u sessjoni attiva, li tirriġenera kodiċijiet backup jew tiddiżattiva kompletament 2FA.

Meta wieħed iqis li l-kodiċijiet tal-backup kienu jinsabu fl-istess firxa ta 'valuri ta' string bħal dawk iġġenerati mill-applikazzjoni OTP, iċ-ċans li jinstab il-kodiċi fi żmien qasir kien ħafna ogħla.

Verifika tas-sigurtà tal-pjattaforma MCS cloud
Il-proċess ta 'għażla ta' OTP biex 2FA tiddiżattiva bl-użu tal-għodda "Burp: Intruż".

Riżultat

B'mod ġenerali, MCS jidher li huwa sigur bħala prodott. Matul il-verifika, it-tim tal-pentesting ma setax jikseb aċċess għall-VMs tal-klijenti u d-dejta tagħhom, u l-vulnerabbiltajiet misjuba ġew ikkoreġuti malajr mit-tim tal-MCS.

Iżda hawnhekk huwa importanti li wieħed jinnota li s-sigurtà hija xogħol kontinwu. Is-servizzi mhumiex statiċi, qed jevolvu kontinwament. U huwa impossibbli li jiġi żviluppat prodott kompletament mingħajr vulnerabbiltajiet. Imma tista 'ssibhom fil-ħin u timminimizza ċ-ċans tar-rikorrenza tagħhom.

Issa l-vulnerabbiltajiet kollha msemmija fl-MCS diġà ġew irranġati. U sabiex in-numru ta' oħrajn ġodda jinżamm minimu u tnaqqas il-ħajja tagħhom, it-tim tal-pjattaforma jkompli jagħmel dan:

Sors: www.habr.com

Żid kumment