I februar publiserte østerrikeren Christian Haschek en interessant artikkel på bloggen sin med tittelen . Jeg ble selvfølgelig interessert i hva som ville skje hvis denne studien ble gjentatt, men med Ukraina. Flere uker med døgnåpen innsamling av informasjon, et par dager til for å forberede artikkelen, og i løpet av denne forskningen, samtaler med ulike representanter for samfunnet vårt, for så å avklare, for så å finne ut mer. Vennligst under kuttet...
TL; DR
Ingen spesielle verktøy ble brukt for å samle informasjon (selv om flere personer anbefalte å bruke samme OpenVAS for å gjøre forskningen mer grundig og informativ). Med sikkerheten til IP-er som er relatert til Ukraina (mer om hvordan det ble bestemt nedenfor), er situasjonen, etter min mening, ganske dårlig (og definitivt verre enn det som skjer i Østerrike). Det er ikke gjort eller planlagt noen forsøk på å utnytte de oppdagede sårbare serverne.
Først av alt: hvordan kan du få alle IP-adressene som tilhører et bestemt land?
Det er faktisk veldig enkelt. IP-adresser genereres ikke av landet selv, men tildeles det. Derfor er det en liste (og den er offentlig) over alle land og alle IP-er som tilhører dem.
Alle kan og filtrer det deretter grep Ukraine IP2LOCATION-LITE-DB1.CSV> ukraine.csv
, lar deg bringe listen til en mer brukbar form.
Ukraina eier nesten like mange IPv4-adresser som Østerrike, mer enn 11 millioner 11 640 409 for å være nøyaktig (til sammenligning har Østerrike 11 170 487).
Hvis du ikke ønsker å spille med IP-adresser selv (og du bør ikke!), så kan du bruke tjenesten .
Er det noen uoppdaterte Windows-maskiner i Ukraina som har direkte tilgang til Internett?
Selvfølgelig vil ikke en eneste bevisst ukrainer åpne slik tilgang til datamaskinene sine. Eller blir det?
masscan -p445 --rate 300 -iL ukraine.ips -oG ukraine.445.scan && cat ukraine.445.scan | wc -l5669 Windows-maskiner med direkte tilgang til nettverket ble funnet (i Østerrike er det bare 1273, men det er mye).
Oops. Er det noen blant dem som kan bli angrepet ved hjelp av ETHERNALBLUE utnyttelser, som har vært kjent siden 2017? Det fantes ikke en eneste slik bil i Østerrike, og jeg håpet at den heller ikke ville bli å finne i Ukraina. Dessverre nytter det ikke. Vi fant 198 IP-adresser som ikke lukket dette "hullet" i seg selv.
DNS, DDoS og dybden på kaninhullet
Nok om Windows. La oss se hva vi har med DNS-servere, som er åpne oppløsere og kan brukes til DDoS-angrep.
Det fungerer noe sånt som dette. Angriperen sender en liten DNS-forespørsel, og den sårbare serveren svarer offeret med en pakke som er 100 ganger større. Bom! Bedriftsnettverk kan raskt kollapse fra et slikt datavolum, og et angrep krever båndbredden som en moderne smarttelefon kan gi. Og det var slike angrep selv på GitHub.
La oss se om det finnes slike servere i Ukraina.
masscan -pU 53 -iL ukraine.ips -oG ukraine.53.scan && cat ukraine.53.scan | wc -lDet første trinnet er å finne de som har åpen port 53. Som et resultat har vi en liste med 58 730 IP-adresser, men dette betyr ikke at alle kan brukes til et DDoS-angrep. Det andre kravet må være oppfylt, nemlig at de må være åpne oppløsere.
For å gjøre dette kan vi bruke en enkel dig-kommando og se at vi kan "grave" dig + kort test.openresolver.com TXT @ip.of.dns.server. Hvis serveren svarte med open-resolver-detected, kan den betraktes som et potensielt angrepsmål. Åpne resolvere utgjør omtrent 25 %, som kan sammenlignes med Østerrike. Når det gjelder totalt antall, er dette omtrent 0,02 % av alle ukrainske IP-er.
Hva annet kan du finne i Ukraina?
Glad du spurte. Det er lettere (og det mest interessante for meg personlig) å se på IP med åpen port 80 og hva som kjører på den.
Internett server
260 849 ukrainske IP-er svarer på port 80 (http). 125 444 adresser svarte positivt (200 status) på en enkel GET-forespørsel som nettleseren din kan sende. Resten ga en eller annen feil. Det er interessant at 853 servere ga en status på 500, og de sjeldneste statusene var 407 (forespørsel om proxy-autorisasjon) og den fullstendig ikke-standardiserte 602 (IP ikke i "hvitlisten") for ett svar.
Apache er absolutt dominerende - 114 544 servere bruker det. Den eldste versjonen jeg fant i Ukraina er 1.3.29, utgitt 29. oktober 2003 (!!!). nginx er på andreplass med 61 659 servere.
11 servere bruker WinCE, som ble utgitt i 1996, og de fullførte oppdateringen i 2013 (det er bare 4 av disse i Østerrike).
HTTP/2-protokollen bruker 5 servere, HTTP/144 - 1.1, HTTP/256 - 836.
Skrivere... fordi... hvorfor ikke?
2 HP, 5 Epson og 4 Canon, som er tilgjengelige fra nettverket, noen av dem uten autorisasjon.
webkameraer
Det er ikke en nyhet at det i Ukraina er MANGE webkameraer som sender seg selv til Internett, samlet på forskjellige ressurser. Minst 75 kameraer sender seg selv til Internett uten noen beskyttelse. Du kan se på dem .
Hva blir det neste?
Ukraina er et lite land, som Østerrike, men har de samme problemene som store land i IT-sektoren. Vi må utvikle en bedre forståelse av hva som er trygt og hva som er farlig, og utstyrsprodusenter må sørge for sikre innledende konfigurasjoner for utstyret deres.
I tillegg samler jeg inn partnerbedrifter (), som kan hjelpe deg med å sikre integriteten til din egen IT-infrastruktur. Det neste trinnet jeg planlegger å gjøre er å gjennomgå sikkerheten til ukrainske nettsteder. Ikke bytt!
Kilde: www.habr.com