Em Fevereiro, o austríaco Christian Haschek publicou um interessante artigo no seu blog intitulado . Claro, fiquei interessado no que aconteceria se este estudo fosse repetido, mas com a Ucrânia. Várias semanas de coleta de informações XNUMX horas por dia, mais alguns dias para preparar o artigo, e durante essa pesquisa, conversas com diversos representantes da nossa sociedade, depois esclarecer, depois saber mais. Por favor, sob o corte...
TL, DR
Nenhuma ferramenta especial foi usada para coletar informações (embora várias pessoas tenham aconselhado o uso do mesmo OpenVAS para tornar a pesquisa mais completa e informativa). Com a segurança dos IPs relacionados com a Ucrânia (mais sobre como foi determinado abaixo), a situação, na minha opinião, é bastante má (e definitivamente pior do que o que está a acontecer na Áustria). Nenhuma tentativa foi feita ou planejada para explorar os servidores vulneráveis descobertos.
Em primeiro lugar: como obter todos os endereços IP que pertencem a um determinado país?
Na verdade, é muito simples. Os endereços IP não são gerados pelo próprio país, mas atribuídos a ele. Portanto, existe uma lista (e é pública) de todos os países e de todos os IPs que lhes pertencem.
Todo mundo pode e, em seguida, filtre-o grep Ucrânia IP2LOCATION-LITE-DB1.CSV> ukraine.csv
, permite que você coloque a lista em um formato mais utilizável.
A Ucrânia possui quase tantos endereços IPv4 quanto a Áustria, mais de 11 milhões, 11 para ser exato (para comparação, a Áustria tem 640).
Se você não quiser brincar com endereços IP (e não deveria!), então você pode usar o serviço .
Há alguma máquina Windows sem patch na Ucrânia que tenha acesso direto à Internet?
É claro que nem um único ucraniano consciente abrirá esse acesso aos seus computadores. Ou será?
masscan -p445 --rate 300 -iL ukraine.ips -oG ukraine.445.scan && cat ukraine.445.scan | wc -lForam encontradas 5669 máquinas Windows com acesso direto à rede (na Áustria existem apenas 1273, mas isso é muito).
Ops. Há algum deles que possa ser atacado usando exploits ETHERNALBLUE, conhecidos desde 2017? Não existia um único carro assim na Áustria e eu esperava que também não fosse encontrado na Ucrânia. Infelizmente, não adianta. Encontramos 198 endereços IP que não fecharam esse “buraco” por si só.
DNS, DDoS e a profundidade da toca do coelho
Chega de Windows. Vamos ver o que temos com servidores DNS, que são resolvedores abertos e podem ser usados para ataques DDoS.
Funciona mais ou menos assim. O invasor envia uma pequena solicitação de DNS e o servidor vulnerável responde à vítima com um pacote 100 vezes maior. Estrondo! As redes corporativas podem entrar em colapso rapidamente com esse volume de dados, e um ataque requer a largura de banda que um smartphone moderno pode fornecer. E houve tais ataques mesmo no GitHub.
Vamos ver se existem tais servidores na Ucrânia.
masscan -pU 53 -iL ukraine.ips -oG ukraine.53.scan && cat ukraine.53.scan | wc -lO primeiro passo é encontrar aqueles que possuem a porta 53 aberta. Como resultado, temos uma lista de 58 endereços IP, mas isso não significa que todos eles possam ser usados para um ataque DDoS. O segundo requisito deve ser atendido, ou seja, eles devem ser de resolução aberta.
Para fazer isso, podemos usar um comando dig simples e ver que podemos “cavar” dig + short test.openresolver.com TXT @ip.of.dns.server. Se o servidor respondeu com resolução aberta detectada, ele pode ser considerado um alvo potencial de ataque. Os resolvedores abertos representam aproximadamente 25%, o que é comparável à Áustria. Em termos de número total, isto representa cerca de 0,02% de todos os IPs ucranianos.
O que mais você pode encontrar na Ucrânia?
Que bom que você perguntou. É mais fácil (e mais interessante para mim pessoalmente) observar o IP com a porta 80 aberta e o que está sendo executado nele.
servidor web
260 IPs ucranianos respondem à porta 849 (http). 80 endereços responderam positivamente (status 125) a uma simples solicitação GET que seu navegador pode enviar. O resto produziu um ou outro erro. É interessante que 444 servidores emitiram um status de 200, e os status mais raros foram 853 (solicitação de autorização de proxy) e o 500 completamente fora do padrão (IP não na “lista branca”) para uma resposta.
O Apache é absolutamente dominante – 114 servidores o utilizam. A versão mais antiga que encontrei na Ucrânia é a 544, lançada em 1.3.29 de outubro de 29 (!!!). O nginx está em segundo lugar com 2003 servidores.
11 servidores usam o WinCE, lançado em 1996, e terminaram de corrigi-lo em 2013 (há apenas 4 deles na Áustria).
O protocolo HTTP/2 usa 5 servidores, HTTP/144 - 1.1, HTTP/256 - 836.
Impressoras... porque... por que não?
2 HP, 5 Epson e 4 Canon, acessíveis pela rede, alguns deles sem qualquer autorização.
webcams
Não é novidade que na Ucrânia existem MUITAS webcams se transmitindo para a Internet, coletadas em diversos recursos. Pelo menos 75 câmeras se transmitem para a Internet sem qualquer proteção. Você pode olhar para eles .
Qual é o próximo?
A Ucrânia é um país pequeno, como a Áustria, mas tem os mesmos problemas que os grandes países no sector das TI. Precisamos desenvolver uma melhor compreensão do que é seguro e do que é perigoso, e os fabricantes de equipamentos devem fornecer configurações iniciais seguras para seus equipamentos.
Além disso, coleciono empresas parceiras (), o que pode ajudá-lo a garantir a integridade da sua própria infraestrutura de TI. O próximo passo que pretendo dar é revisar a segurança dos sites ucranianos. Não mude!
Fonte: habr.com