България сканирана
В марте мой знакомый Александр Рябцев ( https://medium.com/@alexriabtsev/ ) заинтересовавшись исследованием Christian Haschek-а ( https://blog.haschek.at/2019/i-scanned-austria.html ) просканировал диапазон айпи адресов которые закреплены за Украиной на предмет повторения эксперимента и выявления слабых мест и сравнения уровня сетевой безопасности. Исследование доступно по ссылке . Меня так-же заинтересовало данное исследование и я решил по принципу домино запустить небольшое исследования в Болгарии. 4 дня ушло на сбор информации и день на обобщение, оформление и выводы.
Для сбора информации не использовалось никаких специфических средств или оборудования, все скрипты и программное обеспечения лежат в свободном бесплатном доступе в интернете, ссылки на которые Вы можете с легкостью обнаружить в любой поисковой системе.
Внимание! Никаких попыток использовать найденный уязвимые сервера или сервисы не было и не планировалось, так-же как и не будут в будущем.
Шаг первый, определяем все IP которые относятся к Болгарии, скачиваем из публичного источника https://download.ip2location.com/lite/IP2LOCATION-LITE-DB1.CSV.ZIP ( любой может его себе его скачать ) и отфильтруем по интересующей нас стране скриптом https://gist.github.com/chrisiaut/8473c8c0f28ca929e6f84e4e3d068241 который любезно предоставил Christian
Болгарии принадлежит 4427015 IPv4 это приблизительно в два раза меньше Украины (11640409), а если быть точными то 2,63 раза и в 2,52 раза меньше Австрии (11170487).
Итак пристегнем ремни и safe fly…
Угроза Вирус-вымогатель:
Как Вы думаете, есть в Болгарии Windows машины которые не пропатчены? — В мыслях это-ж Болгария — Европа, тут все защищено фаерволами и провайдеры следят за безопасностью. Проверяем, получаем первый результат командой:
masscan -p445 -rate 300 -iL bulgaria.ips -oG bulgaria.445.scan && cat bulgaria.445.scan | wc -l
5669 машин c открытым 445 портом в Украине это 0,049% от общего количества, 0,011% в Австрии, а в Болгарии аж 7397 это 0.167% от общего количества, это очень много, если сравнивать с Украиной то в три с половиной раза больше и в почти 15 раз больше чем в Австрии.
Да… значит и дырок должно быть на порядок больше, надо проверять. Ладно, идем дальше и проверим есть ли среди них такие которые подвержены атаке с помощью експлойта ETHERNALBLUE https://en.wikipedia.org/wiki/EternalBlue
который известен с 2017 т.е. уже два года. В Австрии таких машин нету в Украине 198, а в Болгарии выдохнули всего 4. {Хоть тут не в лидерах наоборот).
Угроза DNS.DDoS
Про Windows понятно, давайте посмотрим что в Болгарии с DNS open-resolvers которые могут использоваться для DDoS атаки.
Это работает приблизительно так, атакующий отправляет маленький dns пакет, а уязвимый сервис отвечает пакетом больше например в сто раз. Первая цель таких атак корпоративный сети которые могут просто упасть от такого объема данных, а для атаки достаточно пропускная способность какую может обеспечить обыкновенный смартфон , и такие атаки я вам скажу не редкость даже на GitHub (https://www.zdnet.com/article/github-was-hit-with-the-largest-ddos-attack-ever-seen/ ). Посмотрим есть ли такие сервера в Болгарии
masscan -pU:53 -iL bulgaria.ips -oG bulgaria.53.scan && cat bulgaria.53.scan | wc -l
Найдем все IP у кого открыт 53 порт и в результате имеем 40844 адресов, но это не означает что все они могут быть использованы для атаки, необходимо еще чтобы выполнялось второе правило они должны быть open-resolver, тут используем команду dig и смотрим что мы можем накопать dig +short test.openresolver.com TXT @ip.of.dns.server если сервер open-resolver-detected то его можно считать потенциальным объектом атаки.
Что еще можно найти в Болгарском сегменте? давайте быстро пройдемся по популярным сервисам:
SSH порты открыты на 12107 машинах, почти на 0,5% из них возможна эксплуатация уязвимости CVE-2018–10933 из-за использования библиотеки libssh, популярном решении для поддержки Secure Shell (SSH) аутентификации. Фактически баг позволяет атакующему обойти аутентификацию и получить доступ к уязвимому серверу со включенной SSH-аутентификацией, не вводя пароль.
15321 адресов отдают контент по протоколу ssl на 443 порту, на подавляющем большинстве (2241 адресов) используется apache вэбсервер последней версии, второе место естественно за nginx 1589 на третьем LiteSpeed 241, все остальное устаревшие версии на количестве которых не стоит заострять внимания, но именно они в силу отсутствия своевременного обновления несут в себе угрозу как для сервиса так и для всей инфраструктуры в целом. Так например nginx 1.5.2 который подвержен как минимум 7-ми известным уязвимостям ( https://www.cvedetails.com/vulnerability-list/vendor_id-10048/product_id-17956/version_id-176502/Nginx-Nginx-1.5.2.html ) имеет 227 вхождений.
80 порт, обычный вэб к которому все давно привыкли без изощрений всего 84072 хоста, но тут в сравнении с 443 портом подавляющим большинством занимается nginx 4292 оставляя apache на втором месте 1330, на третьем месте lighttpd 380 и Микрософт на четвертом — всего 170, тут количество версий и модификаций составляет более двух сотен, описывать даже по одной на всю ветку продукта не хватит никакого времени и пока буду писать выйдет еще новый продукт или версия, на старые выйдут експлойты, найдутся новые уязвимости и колесо закрутится дальше )
Если мы проверяли 445 порт который используется в Microsoft Windows 2000 и поздних версий для прямого TCP/IP-доступа без использования NetBIOS (например, в Active Directory) и количество адресов которые отвечали по нему составило 7397 то количество открытых портов для RDP — терминала для удаленного управления почти половина 3225. Как к нему получить несанкционированный доступ это материал для отдельной статьи.
И если эта статья которую Вы сейчас читаете получит положительный отклик, возможно раскрою тему несанкционированного доступа к RDP в отдельной статье.
Я не буду описывать количество общедоступных принтеров в сети на которых может печатать кто угодно и что угодно, я лучше заострю внимание на более ценных как по моему мнению сервисах — базы данных. Именно в них сейчас хранится все что угодно от картинок до данных спецслужб. Давайте глянем одним глазком как обстоят дела тут.
По популярности вендоры разместились таким образом
1 MySQL — 2501
2 MSSQL — 1711
3 PostgreSQL — 1478
4 SyBase — 1420
5 Oracle — 1169
Для меня небольшое приятное открытие было использование в сети SyBase (именно с этого продукта началось изучение sql в далеких 90-х, немного поностальгировал) и разочарованием что Oracle так мало, по моему мнению он должен быть на третьем месте сразу за MySQL & MSSQL и впереди PostgreSQL & SyBase (это мое частное мнение).
Углубимся и посмотрим есть ли машины с возможной эксплуатацией уязвимостями.
MySQL только 0,5% хостов отвечают как MariaDB, больше половины хостов не удалось обнаружить версию но из оставшихся общая картина на лицо, расхлябанное отношение к хранению данных и подход “работает не трогай” испортило общую картину, используются такие древние версии как 3.23.38 20 уязвимостей (https://www.cvedetails.com/vulnerability-list/vendor_id-185/product_id-316/version_id-8469/Mysql-Mysql-3.23.38.html) 4.1.14 14 уязвимостей (https://www.cvedetails.com/vulnerability-list/vendor_id-185/product_id-316/version_id-31805/Mysql-Mysql-4.1.14.html ) и множество других устаревших версий и их модификаций.
MSSQL — 203 машины из 1711 стоят с Microsoft SQL Server 2008 R2 возможно с такими как MS15–058 удаленное выполнение кода, MS12–070 несанкционированное получение прав и MS14–044 может привести к несанкционированному повышению привилегий. Пробы делать не будем дабы узнать действительно ли они подвержены уязвимостям, будем надеяться что эти машины обновлялись и сопровождались квалифицированными админами и с защитой там все в порядке.
PostgreSQL — 1478 хостов нарисовали приблизительно одинаковую картину для всех версий, отдетектился плавный рост от древних к современным от 7.4.2 до 11.2 возможные уязвимости все те-же, можно найти на сайте базе данных всех публичных уязвимостей ( https://www.cvedetails.com/product/575/Postgresql-Postgresql.html?vendor_id=336 )
SyBase — 1420 хостов меня порадовали полным отсутствием идентификации. Видимо из-за того что этот продукт не так популярен как остальные ( хотя обогнали по количеству Оракал) разнообразных уязвимостей для этого вендора всего 37 и это с 2000 года суммарно по всей линейке продуктов. Только представьте, на продукты Microsoft публикуют в десять раз больше уязвимостей в год чем у SyBase за всю его историю вообще.
Oracle — из 1169 определенных 1% хостов из далекого 6 года, 3% из далекого 7 года, подавляющее большинство из тех кого удалось определить достаточно точно достаточно свежие 15–17–19 год хотя и на последние версии уже есть уязвимости которые можно найти по ссылке приведенной выше.
Это приблизительный анализ баз данных видимых в прямом доступе из сети и не в коем случае никак не претендующий на 100% истину, так как подавляющее большинство машин в сети хоть и детектировано как сервер базы данных версию установить точно не удалось по причине поверхностного сканирования и малого времени на анализ.
FTP серверов описывать уже не буду, вероятно устали от сухого чтива, но топ по популярности приведу:
всего: 7596 — онлайн
Pure-FTPd 1849
ProFTPD 672
vsftpd 547
остальные более редкие версии которых в сети меньше 500 штук KnFTPD/FileZilla/Microsoft и остальные еще более редкие или модифицированные, которых совсем незначительное количество.
— — — -
Вэбкамеры — это не новость что в Болгарии очень много камер которые транслируют себя в интернет и собраны на разнообразных ресурсах, так более сотни транслируют картинку прямо сейчас без какой либо защиты, посмотреть на них можно тут https://www.insecam.org/en/bycountry/BG/ .
Что дальше?
Болгария маленькая страна, но имеет те-же проблемы с безопасностью как и большие страны в сфере ИТ, нам (IT профессионалам) необходимо со всей серьезностью доносить до пользователей информацию о том что безопасно, а что нет. Производители оборудования должны предоставлять безопасную начальную конфигурацию своего оборудования, чтобы крайний пользователь который не может получить квалифицированную консультацию получал надежное устройство, а не дырку в своем тылу.
И естественно нанимайте хороших админов например как Олександр (https://www.facebook.com/PlusUABG) которые будут следить за Вашей инфраструктурой и безопасностью в сети и помогать своевременно противодействовать попыткам использования Ваших сервисов и ресурсов.