Nous avons beau essayer d'oublier la faille d'Equifax, elle est riche d'enseignements pour les professionnels de la sécurité de l'information et les chercheurs. Il s'agit là encore d'un cas où les principes de base de la sécurité et une bonne hygiène auraient permis d'éviter l'attaque, ou du moins de la ralentir. Dans le cas d'Equifax, les attaquants ont obtenu l'accès en exploitant un bogue dans une plateforme Apache Struts liée à l'entreprise. C'est exactement le type d'attaque dont nous parlons en matière de sécurité, que les attaquants peuvent exploiter pour prendre pied au sein d'une entreprise et causer des dommages assez graves.
La violation s'est rapidement transformée en cauchemar, non seulement pour l'entreprise, mais aussi pour la plupart des Américains qui avaient confié des données financières et personnelles sensibles à Equifax. C'était la configuration parfaite pour une frénésie médiatique - 145,5 millions d'Américains auraient été touchés, la réaction des relations publiques a été plutôt terne et mal informée, et le PDG a perdu son emploi - les gros titres se sont pratiquement écrits d'eux-mêmes.
Il va de soi que ces types d'attaques et d'exploits se produisent dans le monde entier, à chaque minute de la journée, et qu'ils ne bénéficient pas du même niveau d'exposition que celui que nous avons connu avec la violation d'Equifax.
Il incombe à chaque organisation de travailler avec diligence pour sécuriser son infrastructure d'entreprise contre les attaquants. Le serveur Apache Struts d'Equifax était vulnérable à une CVE signalée en mars, quatre mois avant qu'Equifax ne découvre l'intrusion.
Aujourd'hui, nous allons vous montrer comment vous pouvez rechercher des serveurs Apache Tomcat suspects et les sécuriser ou les mettre hors ligne pour empêcher leur exploitation.
Recherche de serveurs Tomcat potentiellement non protégés
Sachant que les pages de configuration par défaut d'un domaine indiquent souvent une installation incomplète (et probablement non sécurisée), nous avons recherché le langage que l'on est susceptible de trouver sur les pages par défaut une fois que l'installation est réussie. Dans cette optique, nous avons choisi de rechercher le texte suivant : "Vous avez installé Tomcat avec succès. Félicitations".
Cette requête a donné lieu à un peu plus de 5 millions de résultats de recherche, qui sont assez intéressants à explorer du point de vue de la recherche, mais existe-t-il un moyen de déterminer si vous avez un de ces serveurs non sécurisés sur votre réseau ou sur le réseau de votre entreprise ?
Découvrez les serveurs Tomcat non sécurisés liés à votre réseau ou à votre marque
Pour trouver tous ces serveurs dans votre réseau d'entreprise, vous devez exécuter la requête suivante et ajouter AND "[domaine de l'entreprise]" après pour limiter les résultats à ceux trouvés dans votre réseau.
Voici un exemple de ce à quoi cela ressemblerait : "Vous avez installé Tomcat avec succès. Félicitations" ET "airbnb.com". Pour nos exemples, nous avons choisi des domaines associés à des programmes de récompenses pour les bogues.
Vous pouvez également utiliser le champ parsed.names pour restreindre l'accès à Paypal (ou à tout autre domaine inséré). Par exemple : https://censys.io/ipv4?q=tomcat+AND+443.https.tls.certificate.parsed.names%3A+aol.com
Que dois-je faire si je trouve des serveurs ?
Si vous trouvez des serveurs dans votre réseau d'entreprise, nous vous suggérons de les utiliser :
- Faites quelques recherches pour déterminer qui, dans votre organisation, a mis le serveur en ligne. Les noms DNS directs ou inversés peuvent aider à indiquer quel groupe a installé ce serveur, d'autres services sur l'hôte, ou l'adresse IP peuvent aider à localiser le bien, mais cela peut être un peu difficile.
- Si la personne qui a mis en place le serveur ne l'utilise pas, mettez-le hors ligne.
- S'il l'utilise, suivez vos procédures habituelles pour le verrouiller ou, si le serveur n'est pas conforme à vos normes de sécurité malgré les mesures supplémentaires mises en place, créez un nouveau serveur sécurisé pour l'employé et installez-le dessus. Cela peut inclure des règles de pare-feu pour empêcher l'accès à distance au serveur d'application.
- Expliquez à l'employé les procédures de sécurité que chacun doit suivre pour ajouter de nouveaux actifs à votre infrastructure. Il est important ici de ne pas blâmer ou faire honte à cette personne, qui sera probablement frustrée et embarrassée de voir son erreur pointée du doigt. Essayez de rester patient et de lui indiquer les étapes à suivre. S'il s'agit d'un cadre, veillez à ce que ses subordonnés directs connaissent également ces politiques.
Que puis-je trouver d'autre sur Censys?
Nous enrichissons constamment nos ensembles de données, mais pour commencer, essayez de rechercher les bases de données Oracle, MySQL, MSSQL, Postgres, MongoDB, les serveurs NGINX et APACHE, ainsi que les protocoles IMAP. Nous prévoyons de continuer à écrire des blogs sur la recherche d'hôtes vulnérables, mais en attendant, faites un peu d'exploration et voyez ce que vous pouvez trouver.
