Tweets by @buherablog
profile for buherator at IT Security Stack Exchange, Q&A for IT security professionals

A BitBetyár Blog

Túljártál a nagyokosok eszén? Küldd be a mutatványodat! (e-mail a buherator gmailkomra jöhet)

Full-Disclosure / Névjegy / Coming out


Promó

H.A.C.K.

Címkék

0day (110) adobe (87) adobe reader (21) anonymous (26) apple (60) az olvasó ír (49) blackhat (20) botnet (22) bug (200) buherablog (44) buhera sörözés (39) bukta (49) deface (38) dns (22) dos (29) esemény (82) facebook (26) firefox (64) flash (33) gondolat (31) google (59) google chrome (36) hacktivity (37) hírek (117) incidens (224) internet explorer (88) iphone (35) java (50) jog (22) kína (21) kriptográfia (68) kultúra (21) linux (24) malware (43) microsoft (142) móka (48) mozilla (23) office (26) oracle (40) os x (43) patch (197) php (20) politika (31) privacy (58) programozás (22) safari (34) sql injection (62) windows (85) xss (77) Címkefelhő

Licensz

Creative Commons Licenc

Sortűz

2013.04.25. 17:23 | buherator | Szólj hozzá!

HD Moore ismét nekiállt az Internet végigbogarászásának, célpontjai ezúttal az ún. serial serverek voltak. Ezek a kevéssé ismert kütyük arra jók, hogy soros portokat tegyenek távolról elérhetővé TCP/IP-n keresztül - a tapasztaltabbak itt már fogják is a fejüket...

A kutatás szerint a kommunikáció ezekkel az eszközökkel alapvetően három módon valósul meg:

  1. A serial server valamilyen hagyományos távoli terminált adó protokollt - Telnet, SSH, HTTP(S) - kínál az IP hálózat felé, ezen pedig általában elvár valamiféle autentikációt
  2. A TCP port azonnali proxy-zása a soros portra
  3. Saját protokoll

Az első eset talán a legjobb - feltéve, hogy a kapcsolat legalább titkosított (a hitelesítéssel kapcsolatban senkinek ne legyenek illúziói), és a jelszót nem hagyták alapértelmezetten. A harmadik esetben, bár a protokollok néhány esetben megvalósítanak autentikációt, illetve a kapcsolatot titkosítják, de sok gyártó esetében ez sincs így (nem beszélve az egyedi protokoll-megvalósítások jópofa hibáiról). A középső megoldás viszont mindenképpen komoly kockázatot hordoz:

Azon túl, hogy a soros kapcsolat a legritkább esetben titkosított, az ilyen interfészt nyújtó eszközök általában feltételezik, hogy a hozzájuk kapcsolódó felhasználó fizikailag is a közelükben tartózkodik, ezért sok esetben nem kérnek hitelesítést, de ha kérnek is, kilépési funkció hiányában egy nyitva hagyott, már nem használt konzol felett simán átvehető az irányítás!

A globális felderítés egyrészt SNMP használatával (public community), HTTP illetve FTP bannerek azonosításával, valamint az egyik gyártó saját felderítő protokollja segítségével történt, így összesen több mint 130.000 eszközt sikerült azonosításítani, 10%-ukon pedig autentikáció nélkül vagy alapértelmezett jelszóval konzolos hozzáférést lehetett szerezni. A felderített rendszerek között vannak üzemanyagtöltés-szabályzók, forgalmi hibamonitorozó eszközök és POS terminálok - a serial serverek jellemző felhasználási területei bizonyos támadók számára tehát igen vonzóak lehetnek.

Az utóbbi időben sok helyen felmerültek a szeparált/légrés mögött tartott rendszerek - az ilyen kutatások jól példázzák, hogy az egykor védett környezetbe szánt eszközök könnyen a nagyközönség szeme elé kerülhetnek (a témában ajánlom a Practical Oracle Security bevezetőjét is), ami igen kellemetlen következményekkel járhat.  

Címkék: hd moore soros port rapid7 serial server

Kommentek:

A hozzászólások a vonatkozó jogszabályok  értelmében felhasználói tartalomnak minősülnek, értük a szolgáltatás technikai  üzemeltetője semmilyen felelősséget nem vállal, azokat nem ellenőrzi. Kifogás esetén forduljon a blog szerkesztőjéhez. Részletek a  Felhasználási feltételekben és az adatvédelmi tájékoztatóban.

Nincsenek hozzászólások.