Na terceira parte desta série de posts, foi descrito o processo de elevação de privilégios, e como saltamos para servidores adjacentes. Para relembrar, basta clicar aqui e ler novamente o post referido.

Nesta última parte da série, estão as informações de conclusão do processo.

Mapa do Processo de Exploração

Para visualizar melhor a progressão do ataque, o desenho do processo é importante e neste caso procuramos simplificar ao máximo, evitando utilizar multiplas raias:

Conclusões

No ataque completo descrito nesta série, sumarizamos aqui os problemas de segurança encontrados:

• SQL Injection na aplicação Zabbix;
• Configuração insegura em dispositivos de rede, possibilitando o main-in-the-middle;
• Utilização de usuário administrativo do SGDB como usuário de acesso ao banco da aplicação web;
• Diretórios disponíveis via webserver com permissão de escrita para qualquer usuário;
• Problemas com permissões em arquivos diversos (scripts, backups, configurações, diretórios);
• Utilização de NFSv3 (sem autenticação de usuários) como meio de compartilhamento de arquivos;
• SSL não está ativo ou não é mandatório;

Itens que não contemplam um problema em si, mas que poderiam cair como pontos relevantes às “melhores práticas”:

• Compiladores instalados no servidor;
• Configuração PHP permite comandos como “system()”, “passthru()” entre outras;

No início do processo, foram traçadas metas:

Primária – Obter a base de ativos cadastrados e informações sensíveis para servir de base a novos ataques.
Secundária 1 – Mapear restrições de firewall e identificar possíveis acessos antes ocultos.
Secundária 2 – Obter execução de comandos com acesso administrativo ao servidor.
Secundária 3 – Obter acesso a servidores adjacentes.

Com a finalização do processo, foi possível alcançar todas as metas.
No mesmo servidor de arquivos (via NFS) foram encontrados documentos sigilosos tais como contratos, dados financeiros, configurações, agravando o impacto de uma exploração maliciosa onde uma espionagem seria viável. É importante ressaltar também que o ataque não foi detectado por nenhum agente do cliente.

Navegue entre as partes deste artigo através dos links abaixo:

Parte 1 | Parte 2 | Parte 3 | Parte 4

Postado por: Douglas dos Santos

Consultor de segurança da informação.

• Twitter
|
• More Posts (13)