Censys a découvert plus de 2 000 dispositifs dont l'objectif principal est de gérer et de surveiller à distance les prises électriques d'un système. Dans de nombreux cas, la seule chose qui sépare le bouton d'arrêt physique d'un serveur d'un utilisateur malveillant est un simple formulaire de connexion et, dans une poignée de cas, aucune authentification ou sécurité du tout.
En tant qu'ingénieurs, nous parlons souvent des méthodes et des moyens utilisés pour exécuter et déjouer une attaque. Nous remettons en question nos produits, nous effectuons des analyses de sécurité de nos logiciels et nous testons la charge de nos services. Nous passons un temps considérable à prévoir le pire et à espérer le meilleur ; nous nous posons des questions telles que "avons-nous une redondance ?", "comment gérons-nous l'authentification ?" et "notre périphérie est-elle suffisamment protégée contre une attaque du réseau ?
Mais nous oublions souvent de nous poser des questions élémentaires telles que : "Un attaquant peut-il actionner l'interrupteur ?". Vous pourriez avoir toutes les mesures de sécurité et d'atténuation des attaques DDoS du monde, cela n'aurait aucune importance si une personne au hasard pouvait entrer dans votre centre de données et éteindre vos serveurs. Cela peut sembler ridicule, mais la menace est réelle.
Que vous souhaitiez accéder à un périphérique réseau qui a perdu sa connectivité externe ou que vous soyez assis sur votre canapé et souhaitiez que les lumières soient d'une autre teinte de rouge, il existe probablement un dispositif abordable pour le faire. La catégorie de ces dispositifs va de "Out of Band" (OOB) à "Integrated Lights Out" (iLO), en passant par le simple "Network Power Switch" (interrupteur d'alimentation du réseau). Néanmoins, ils ont tous pour objectif commun de mettre en réseau des dispositifs hors ligne à des fins d'administration d'urgence.
Bien qu'ils ne soient pas intrinsèquement peu sûrs, le risque principal réside dans le fait que ces appareils peuvent facilement être oubliés ou négligés en raison de leur forme. Dans le meilleur des cas, un pirate pourrait utiliser les informations glanées sur ces appareils pour comprendre l'infrastructure d'une cible potentielle. Au pire, un pirate pourrait trouver une vulnérabilité dans l'un de ces dispositifs pour exécuter une attaque plus sophistiquée ou un déni de service. Un attaquant potentiel pourrait trouver un bogue exploitable à distance dans le logiciel d'un appareil et l'utiliser comme point de départ pour attaquer d'autres hôtes sur le réseau local.
Analyse
À partir d'une simple recherche de produit sur un site web de vente au détail pour "IP Remote Power", Censys a commencé à chercher des identificateurs qui renverraient de manière fiable des résultats contenant des hôtes accessibles par Internet qui gèrent des prises de courant physiques. Censys a trouvé une poignée de solutions d'alimentation en réseau grand public pour répondre à cette vaste question de surfaces d'attaque potentielles. Ces produits allaient du matériel professionnel monté en rack à de petites boîtes noires discrètes dotées d'un panneau d'administration basé sur le web.
Pour mieux comprendre le matériel qui exécute ces services, Censys a téléchargé le micrologiciel et la documentation disponibles auprès de plusieurs fournisseurs afin d'identifier tout élément d'information susceptible d'aider à la recherche.
Des fournisseurs comme Dataprobe, qui utilisent la famille de processeurs ARM (en particulier une Beagleboard), ont conservé leurs configurations de serveur initiales, y compris les certificats SSL dans le répertoire "/etc/ibootbar2", tandis que le logiciel PHP de soutien se trouvait dans "/var/iBB2-WebPages". À l'autre extrémité du spectre, des appareils comme Megatec, utilisant un processeur MIPS bas de gamme, stockaient les certificats SSL dans le fichier "/etc_ro/1024_RSA_(KEY|CERT).pem" et conservaient tous les CGI associés sous forme d'objets ELF compilés dans "/etc_ro/web/cgi-bin.".
En commençant par les certificats SSL par défaut qui sont préchargés sur ces appareils comme terme de recherche initial, nous avons trouvé d'autres caractéristiques uniques que les appareils utilisaient pour s'identifier. De nombreux appareils dotés d'un panneau d'administration web annoncent leur en-tête WWW-Authenticate comme étant le nom de l'appareil. En revanche, d'autres placent les informations relatives à la version exacte dans le titre d'une page web :
Les appareils gérés via une console distante, telle qu'un serveur telnet, présentaient une sécurité plus faible et, dans certains cas, n'étaient pas du tout authentifiés ! L'un de ces fournisseurs disposait de 73 ports accessibles par l'internet, dont 50 vous permettaient d'accéder à un shell de gestion lors de la connexion.
Dans l'ensemble, Censys a trouvé 2 617 commutateurs d'alimentation en réseau actifs qui écoutent des adresses IPv4 routables en utilisant un ensemble rudimentaire de termes de recherche. Le tableau suivant présente le fournisseur ainsi que le nombre de ports desservant des panneaux administratifs.
La plupart des informations relatives au système d'exploitation que nous avons découvertes sur ces hôtes orientés vers l'internet ne correspondaient pas au système d'exploitation sous-jacent de l'appareil suspecté. Cette divergence fréquente est probablement due au fait que les appareils physiques se trouvent derrière un routeur ou une sorte de service proxy. Il est très probable que ces hôtes aient été exposés accidentellement en raison d'une mauvaise configuration, d'une redirection automatique des ports avec UPnP, d'une réutilisation des ports ou même de listes d'accès "allow-HTTP" trop souples.
Que puis-je faire ?
- Surveillez en permanence votre infrastructure manuellement avec Censys Search, ou automatiquement avec Censys ASM pour identifier les ports et les services exposés involontairement.
- Désactiver définitivement UPnP sur les périphériques de votre passerelle.
- Ajustez les règles du pare-feu pour n'autoriser que les hôtes de confiance à se connecter.
- Désactiver ou restreindre les services d'administration pour tout appareil connecté au réseau
