So sehr wir uns auch bemühen, den Equifax-Sicherheitsverstoß zu vergessen, so sehr bietet er doch endlose Lektionen für Informationssicherheitsexperten und Forscher. Dies war ein weiterer Fall, in dem Sicherheitsgrundlagen und gute Hygiene den Angriff verhindert oder zumindest verlangsamt hätten. Im Fall von Equifax verschafften sich die Angreifer Zugang, indem sie einen Fehler in einer mit dem Unternehmen verbundenen Apache-Struts-Plattform ausnutzten. Dies ist genau die niedrig hängenden Früchte, über die wir in der Sicherheit sprechen, die Angreifer ausnutzen können, um in einem Unternehmen Fuß zu fassen und einen ziemlich großen Schaden anzurichten.
Die Sicherheitsverletzung wurde schnell zu einem Albtraum, nicht nur für das Unternehmen, sondern auch für die meisten Amerikaner, die Equifax sensible finanzielle und persönliche Daten anvertraut hatten. Es war das perfekte Szenario für einen Medienrummel - Berichten zufolge waren 145,5 Millionen Amerikaner betroffen, die Reaktion der Öffentlichkeitsarbeit war ziemlich glanzlos und uninformiert, und der CEO verlor seinen Job - die Schlagzeilen schrieben sich im Grunde selbst.
Es liegt auf der Hand, dass diese Art von Angriffen und Exploits weltweit in jeder Minute des Tages stattfinden, aber nicht in dem Maße bekannt gemacht werden, wie es bei Equifax der Fall war.
Es ist die Pflicht jeder Organisation, ihre Unternehmensinfrastruktur sorgfältig gegen Angreifer abzusichern. Der Apache Struts-Server von Equifax war durch eine CVE verwundbar , die bereits im März gemeldet wurde, vier Monate bevor Equifax den Einbruch entdeckte.
Heute zeigen wir Ihnen, wie Sie nach verdächtig aussehenden Apache Tomcat-Servern suchen und sie entweder sichern oder vom Netz nehmen können, um einen Missbrauch zu verhindern.
Auffinden potenziell ungeschützter Tomcat-Server
Da wir davon ausgehen, dass die Standardseiten zur Einrichtung von Domänen oft auf eine unvollständige (und wahrscheinlich unsichere) Installation hindeuten, haben wir nach der Sprache gesucht, die auf den Standardseiten zu finden ist, sobald die Installation erfolgreich abgeschlossen ist. In diesem Sinne haben wir nach dem folgenden Text gesucht: "Sie haben Tomcat erfolgreich installiert. Herzlichen Glückwunsch".
Es gibt etwas mehr als 5 Millionen Suchergebnisse aus dieser Abfrage, die unter Forschungsgesichtspunkten recht interessant sind, aber gibt es eine Möglichkeit, festzustellen, ob Sie einige dieser unsicheren Server in Ihrem Netzwerk oder Ihrem Unternehmensnetzwerk haben?
Entdeckung ungesicherter Tomcat-Server, die an Ihr Netzwerk oder Ihre Marke gebunden sind
Um alle diese Server in Ihrem Unternehmensnetzwerk zu finden, führen Sie die folgende Abfrage aus und fügen AND "[Unternehmensdomäne]" hinzu, um die Ergebnisse auf die Server in Ihrem Netzwerk zu beschränken.
Hier ein Beispiel dafür, wie das aussehen könnte: "Sie haben Tomcat erfolgreich installiert. Herzlichen Glückwunsch" UND "airbnb.com". Wir haben für unsere Beispiele Domänen gewählt, die mit Bug Bounty-Programmen in Verbindung stehen.
Sie können auch das Feld parsed.names verwenden, um nur Paypal (oder die von Ihnen eingegebene Domäne) einzuschränken. Zum Beispiel: https://censys.io/ipv4?q=tomcat+AND+443.https.tls.certificate.parsed.names%3A+aol.com
Was sollte ich tun, wenn ich einen Server finde?
Wenn Sie Server in Ihrem Unternehmensnetzwerk finden, empfehlen wir Ihnen, diese zu nutzen:
- Stellen Sie fest, wer in Ihrer Organisation den Server online gestellt hat. Die Forward- oder Reverse-DNS-Namen könnten Aufschluss darüber geben, welche Gruppe diesen Server installiert hat, andere Dienste auf dem Host oder die IP-Adresse könnten helfen, das Objekt zu finden, aber das kann eine kleine Herausforderung sein.
- Wenn die Person, die den Server eingerichtet hat, ihn nicht benutzt, nehmen Sie ihn offline.
- Wenn sie ihn benutzen, führen Sie die üblichen Verfahren durch, um ihn zu sperren, oder, wenn der Server auch mit zusätzlichen Maßnahmen nicht Ihren Sicherheitsstandards entspricht, richten Sie einen neuen, sicheren Server für den Mitarbeiter ein und richten ihn darauf ein. Dazu können Firewall-Regeln gehören, die den Fernzugriff auf den Anwendungsserver verhindern.
- Klären Sie den Mitarbeiter über die Sicherheitsverfahren auf, die jeder befolgen muss, um neue Unternehmensressourcen zu Ihrer Infrastruktur hinzuzufügen. Dabei ist es wichtig, der Person keine Schuld zuzuweisen oder sie zu beschämen, denn sie wird wahrscheinlich frustriert und verlegen sein, wenn sie auf ihren Fehler hingewiesen wird. Versuchen Sie, geduldig zu bleiben und die Schritte für sie aufzuschreiben. Wenn es sich um eine Führungskraft handelt, sorgen Sie dafür, dass auch ihre direkten Mitarbeiter diese Richtlinien kennen.
Was kann ich sonst noch auf Censys finden?
Wir erweitern ständig unsere Datensätze, aber für den Anfang können Sie nach Oracle-, MySQL-, MSSQL-, Postgres- und MongoDB-Datenbanken, NGINX- und APACHE-Servern sowie IMAP-Protokollen suchen. Wir haben vor, weiterhin Blogs über das Auffinden verwundbarer Hosts zu schreiben, aber in der Zwischenzeit können Sie selbst ein wenig stöbern und sehen, was Sie ausgraben können.
