Censys über 2.000 Geräte aufgedeckt, deren Hauptzweck darin besteht, die Steckdosen eines Systems aus der Ferne zu verwalten und zu überwachen. In vielen Fällen ist das Einzige, was zwischen dem physischen Ausschaltknopf eines Servers und einem böswilligen Benutzer steht, ein einfaches Anmeldeformular, und in einer Handvoll Fälle gibt es überhaupt keine Authentifizierung oder Sicherheit.
Als Ingenieure sprechen wir oft über die Methoden und Mittel, die zur Ausführung und Vereitelung eines Angriffs verwendet werden. Wir hinterfragen unsere Produkte, führen Sicherheitsscans für unsere Software durch und testen unsere Dienste unter Last. Wir verbringen außerordentlich viel Zeit damit, das Schlimmste zu planen und das Beste zu hoffen; wir beschäftigen uns mit Fragen wie "Haben wir Redundanz?", "Wie gehen wir mit der Authentifizierung um?" und "Ist unser Edge ausreichend vor einem Netzwerkangriff geschützt?".
Aber wir vergessen oft, uns elementare Fragen zu stellen wie: "Kann ein Angreifer den Stromschalter umlegen?". Sie könnten alle Sicherheits- und DDoS-Schutzmaßnahmen der Welt haben, und es wäre egal, wenn eine beliebige Person einfach in Ihr Rechenzentrum eindringen und Ihre Server ausschalten könnte. Es mag lächerlich klingen, aber die Bedrohung ist real.
Ganz gleich, ob Sie auf ein Netzwerkgerät zugreifen möchten, das keine externe Verbindung mehr hat, oder ob Sie auf Ihrer Couch sitzen und sich wünschen, dass die Lichter in einem anderen Rotton leuchten, es gibt wahrscheinlich ein erschwingliches Gerät, das genau dies ermöglicht. Die Klasse solcher Geräte reicht von "Out of Band" (OOB) über "Integrated Lights Out" (iLO) bis hin zum einfachen "Network Power Switch". Sie alle haben jedoch ein gemeinsames Ziel: die Vernetzung von Offline-Geräten zu administrativen Zwecken im Notfall.
Diese Geräte sind zwar nicht per se unsicher, aber das Hauptrisiko besteht darin, dass sie aufgrund ihres Formfaktors leicht vergessen oder übersehen werden können. Im besten Fall könnte ein Angreifer die von diesen Geräten gesammelten Informationen nutzen, um die Infrastruktur eines potenziellen Ziels zu verstehen. Im schlimmsten Fall könnte ein Angreifer eine Schwachstelle in einem dieser Geräte finden, um einen raffinierten Angriff oder eine Dienstverweigerung durchzuführen. Ein potenzieller Angreifer könnte einen aus der Ferne ausnutzbaren Fehler in der Software eines Geräts finden und ihn als Ausgangspunkt für einen Angriff auf andere Hosts im lokalen Netzwerk nutzen.
Analyse
Ausgehend von einer einfachen Produktsuche auf einer Einzelhandelswebsite nach "IP Remote Power" begann Censys mit der Suche nach Identifikatoren, die zuverlässig Ergebnisse mit über das Internet zugänglichen Hosts liefern, die physische Steckdosen verwalten. Censys fand eine Handvoll vernetzter Stromversorgungslösungen für den Endverbraucher, um diese breite Frage nach potenziellen Angriffsflächen zu beantworten. Diese Produkte reichten von professioneller, in ein Rack eingebauter Hardware bis hin zu kleinen, unauffälligen Blackboxen mit einem webbasierten Verwaltungspanel.
Um die Hardware, auf der diese Dienste laufen, besser zu verstehen, lud Censys die verfügbare Firmware und Dokumentation von verschiedenen Anbietern herunter, um alle Informationen zu finden, die bei der Suche hilfreich sein könnten.
Anbieter wie Dataprobe, die Prozessoren der ARM-Familie (insbesondere ein Beagleboard) verwenden, bewahrten ihre anfänglichen Serverkonfigurationen, einschließlich SSL-Zertifikaten, im Verzeichnis "/etc/ibootbar2" auf, während die unterstützende PHP-Software in "/var/iBB2-WebPages" zu finden war. Am anderen Ende des Spektrums speicherten Geräte wie Megatec, die einen Low-End-MIPS-Prozessor verwenden, SSL-Zertifikate in der Datei "/etc_ro/1024_RSA_(KEY|CERT).pem" und hielten alle zugehörigen CGI als kompilierte ELF-Objekte in "/etc_ro/web/cgi-bin".
Ausgehend von den standardmäßigen SSL-Zertifikaten, die auf diesen Geräten vorinstalliert sind, fanden wir weitere einzigartige Merkmale, mit denen sich die Geräte identifizieren. Viele Geräte, die über ein Web-Administrationspanel verfügen, geben ihren WWW-Authenticate-Header als Gerätenamen an. Im Gegensatz dazu platzierten andere die genauen Versionsinformationen im Titel einer Webseite:
Geräte, die über eine Remote-Konsole, z. B. einen Telnet-Server, verwaltet wurden, waren weniger sicher und in einigen Fällen sogar völlig unauthentifiziert! Ein solcher Anbieter verfügte über 73 über das Internet zugängliche Ports, von denen 50 beim Herstellen einer Verbindung zu einer Verwaltungsshell führten.
Insgesamt fand Censys 2.617 aktive vernetzte Stromversorgungsschalter, die mit Hilfe einer rudimentären Reihe von Suchbegriffen routingfähige IPv4-Adressen abhören. Das folgende Diagramm zeigt die Hersteller zusammen mit der Anzahl der gefundenen Ports, die administrative Panels bedienen.
Die meisten Betriebssysteminformationen, die wir von diesen dem Internet zugewandten Hosts entdeckten, stimmten nicht mit dem zugrunde liegenden Betriebssystem des verdächtigen Geräts überein. Diese häufige Diskrepanz ist wahrscheinlich darauf zurückzuführen, dass sich die physischen Geräte hinter einem Router oder einer Art Proxy-Dienst befinden. Höchstwahrscheinlich wurden diese Hosts versehentlich durch Fehlkonfigurationen, automatische Port-Weiterleitung mit UPnP, Port-Wiederverwendung oder sogar durch nachsichtige "allow-HTTP"-Zugangslisten offengelegt.
Was kann ich dagegen tun?
- Überwachen Sie Ihre Infrastruktur fortlaufend manuell mit Censys Searchoder automatisch mit Censys ASM, um ungewollt exponierte Ports und Dienste zu identifizieren.
- Deaktivieren Sie UPnP dauerhaft auf Ihren Gateway-Geräten.
- Passen Sie die Firewall-Regeln so an, dass nur vertrauenswürdige Hosts eine Verbindung herstellen können.
- Deaktivierung oder Einschränkung der Verwaltungsdienste für jedes mit dem Netz verbundene Gerät
