Nový útok na weby v Česku

V posledních týdnech jsme na našich honeypotech zaznamenali novou aktivitu útočníků. Mini honeypoty, které může aktivovat každý uživatel Turrisu poskytují zajímavé informace o tom, jaké útoky jsou na router vedeny. Na Turrisu lze aktivovat HTTP, FTP, TELNET, a SMTP mini honeypoty. Všechny zaznamenávají, kromě jiného, jména a hesla, která používá útočník při pokusech o přihlášení. Lze tak identifikovat IP adresy útočníků a nejčastěji používaná jména a hesla.

Náhled Dynamického Firewallu v Sentinel View v1.1.0

Určitě jste četli některé z našich předchozích článků o Turris Sentinelu a jeho společníkovi – Sentinel View. Dnes bychom se chtěli podělit o novou skvělou funkci, která je k dispozici a která vám pomůže pochopit, jak nebezpečný je Internet.

Co přináší nová verze Turris OS 5.2.0?

V nově vydané verzi operačního systému Turris OS 5.2.0 najdete přehled webového rozhraní reForis, kde je možné zjistit, zda máte aktivované automatické aktualizace, sběr dat, dynamický firewall, test připojení společně s testem konektivity NetMetr, ale také je zde vidět přidané OpenVPN klienty pro připojení k jinému OpenVPN serveru. Dále jsme se, na základě zpětné vazby, zaměřili na chybějící funkce. V novém webovém rozhraní reForis nyní najdete záložku uložiště, možnost továrního nastavení a přidání registračního tokenu pro službu Honeypot as a Service, které nám chyběli v původním rozhraní. Vylepšili jsme také kabát rozcestníku WebApps a přidali možnost si nakonfigurovat si router pomocí USB flash disku. To se hodí v případě, kdy zařízení nemá ethernetový port.

Na uživatele domácích routerů směřuje i více než 250 útoků denně

O tom, jak zranitelné mohou být SOHO routery, se můžeme prakticky každý týden dočíst v analýzách nejrůznějších bezpečnostních firem. Zpráva společnosti Symantec za rok 2017 uvádí meziroční nárůst počtu útoků na IoT zařízení o 600 %. Mezi nejzranitelnější části pak patří právě nezabezpečené routery, prostřednictvím kterých je často možné získat snadný přístup k jednotlivým připojeným zařízením. O narůstajícím počtu těchto útoků a jejich závažnosti svědčí rovněž dubnové varování oficiálního amerického CERT.

Honeypot: pokus o zvýšení privilegií

Nedávno jsem na našem honeypotu narazil na útočníka, který se nalogoval na neprivilegovaného uživatele a snažil se dostat na účet roota, aby měl kontrolu nad celým systémem. Neboli klasické privilege escalation. Jak konkrétně to vypadá? Pokud máte aktualizovaný systém, musí útočník přijít s exploitovanou zranitelností, která zatím není opravená, ideálně ani veřejně známá. V tomto případě si myslím, že by útočník využil tuto znalost pro cílený útok na server, kde lze očekávat nějaká zajímavá data nebo aspoň zářez na pažbě v podobě známého serveru. V našem případě spíš zkoušel náhodnou IP, kde běželo SSH a existoval uživatel se slabým heslem. Podle toho taky vypadala sada jeho nástrojů – samé veřejně dostupné exploity.

Útočník nejprve nasbíral základní informace o systému – zda je na systému sám (w), verzi jádra (uname -a), uživatelské účty (cat /etc/passwd) a jak dlouho je systém spuštěný (uptime). Následně změnil heslo uživatele, na kterého byl přihlášený a v jeho domovském adresáři vytvořil podadresář nazvaný „…“, kam stáhl potřebné nástroje. Postupně útočník zkoušel tyto:

  1. CVE-2009-2692: sock_sendpage() NULL Pointer Dereference Vulnerability (informace a exploitpopis)
  2. CVE-2010-4604: IBM Tivoli Storage Manager (TSM) Local Root (exploit)
  3. CVE-2010-0832: Ubuntu PAM MOTD local root (exploit)
  4. Geany 0.18 Local File Overwrite Exploit (exploit)
  5. CVE-2010-2961 : Ubuntu Linux mountall Privilege Escalation (popis a exploit)
  6. CVE-2010-3081: 64-bit Compatibility Mode Stack Pointer Underflow (exploitanalýza exploitu)
  7. CVE-2009-3001: AF_LLC getsockname 5-Byte Stack Disclosure (exploit)
  8. Linux Kernel CAP_SYS_ADMIN to Root Exploit 2 (exploitanalýza exploitu)

Kromě exploitů chtěl útočník spustit i dva IRC klienty:

  1. perlb0t ver 0.5:  IRC bot, který umožňuje vzdáleně provádět TCP/UDP/HTTP flooding, scanovat porty, hledat a útočit na nezáplatované verze CMS Mambo/Joomla.
  2. IRC klient BitchX: Standardní IRC klient. Předpokládám, že když už se útočník nedostal na roota, chtěl alespoň použít napadený systém k řízení jiných botů, které napadl dříve.

Vhledem k tomu, že se jednalo o honeypot, tak útočník nakonec neuspěl. Po těchto pokusech tedy za sebou smazal stopy a odhlásil se. Tento příklad však ukazuje, jak jednoduché je takový útok provést i pro útočníka bez hlubších znalostí systému a jak důležité je udržovat systémy aktualizované.

Jiří Machálek