Epic fail of the month: rsync как «вектор» на утянуть данные

    Изначально просто хотел бросить ссылкой к некоторым комментариям для первой ветки вот этой статьи, в качестве примера, почему торчать портами наружу (почём зря) — не есть хорошо.
    Ну и ответ вырос в простыню в эту статью, да и коммент увидит раз-два человека (а так возможно кому пригодится).


    Речь пойдет совсем не про уязвимость в прямом смысле этого слова, а про то как по недосмотру (халатности или лени) выстрелить в ногу сразу длинной очередью.


    Что собственно случилось


    Команда UpGuard Cyber Risk нашла "дыру", где многия документы, в том числе и секретные, валялись (другого слова не подберу) в прямом публичном доступе.
    Чтобы оценить серьёзность — среди компаний накрытых той "дырой" подразделения VW, Chrysler, Ford, Toyota, GM, Tesla и ThyssenKrupp.


    Данные у всех разного типа, степени конфиденциальности и "грифа" секретности, но...



    Где утащили нашли


    На публично доступных серверах, принадлежащих к группе Level One Robotics, "провайдера инженерных услуг, специализирующегося на процессе автоматизации и сборки для OEM-производителей"…
    Список собственно пострадавших компаний-производителей, см. выше.


    Что утащили нашли


    Порядка 157GB добра, включающего в себя схемы сборочных линий (за более чем 10 лет), планы расположения фабричных помещений, робототехническую конфигурацию и документация, формы запросов с ID сотрудников, формы запросов доступа по VPN, соглашения о неразглашении (тут смеяться), и т.д. и т.п. Это то что касается почти всех вышеупомянутых компаний. Кроме того персональные данные сотрудников (Level One и другие), включая сканы водительских лицензий и паспортов, бизнес-данные Level One (счета-фактуры, договора и реквизиты банковских счетов). Но то так, для разминки.


    И наконец, видимо чтобы уже совсем добить, уровень доступа (permissions set), установленный на сервере, на момент открытия "дыры" внезапно обнаружился как writable, т.е. кто угодно мог потенциально изменить лежащие там документы, например изменив номер банковского счета в инструкции бухгалтеру на прямой перевод, мог зачислить себя любимого в штат сотрудников, мог воткнуть вредоносную программу и т.п. радости.


    Как утащили зашли


    А тут (как я уже намекал выше) всё очень просто — сервер был (или внезапно когда-то стал) доступен через rsync. Rsync-сервер не был ограничен не по IP (не на уровне пользователей, ключей и т.д.), т.е. все данные могли быть списаны любым rsync-клиентом, соединенным с rsync-портом.


    Еще раз — rsync тупо торчал открытым портом наружу, без какой либо дополнительной проверки.


    Вероятно просто — неправильная настройка (эффект нескольких поваров на одной кухне и т.п.).
    Я не знаю (а UpGuard умалчивает), что там было конкретно — открытый ли ssh (что вряд ли), легаси rsh в качестве transport layer, прямой unison или какой другой socket-метод, rdiff или csync по HTTP, и т.д. Вариантов много, но — смысл в том, что в любом случае "вектор атаки" был бы сведен на нет простейшим firewall-правилом, разрешающим коннект только строго определенным портам и от 127.0.0.1, [::1] и еще пары "знакомых" адресов, aka белым списком.


    Что имеем


    Автоматизация производства изменила промышленность, но она также создала множество новых областей для риска, где слабейшее звено (в том числе человеческий фактор, по злому ли умыслу, в следствии недосмотра, misconfiguration или тупо лени) сводит на нет всю корпоративную систему безопасности, что значит, что предприятиям нужно серьезнее заботиться обо всех без исключения звеньях, вовлеченных в цифровую экосистему организации.


    А на вашей VPS-ке (а может где еще, где трафик завтра могут пробросить туннелем или как-то завернуть до "снаружи") закройте всё от греха подальше белым списком (whitelisting), чтобы завтра какой-нибудь сервис внезапно получивший доступ наружу (или новый появившийся вектор атаки) не уронил вашу безопасность ниже плинтуса.


    Ну и натравите знакомого аудитора на вашего "провайдера инженерных и других услуг"…


    Вдруг там тоже rsync портами наружу торчит — рыльце в пушку.

    AdBlock has stolen the banner, but banners are not teeth — they will be back

    More
    Ads

    Comments 17

      0
      Т.е. бэкапы были в открытом доступе без пароля, и все могли их скачать? Дальше можно не продолжать.
        +5
        не бэкапы, а по видимому сам сервис, что бэкапит…
          0
          … и да, rsync умеет в обе стороны (что не факт что здесь так можно было, но «writable» как бы намекает, да и судя по степени халатности/криворукости вполне себе могло иметь место).
          +3
          Как-то случайно забрел на открытую FTP шару одной маленькой нефтяной компании, которая вела очень непубличную жизнь. Там было все — от документов до ключей и дистрибов софта.
          –3
          157GB добра. Фи. У нас пакет Яровой начал действовать. То ли ещё будет.
            0
            Каким простите образом эти две поправки в Федеральный закон негативно влияют на IT-безопасность, и в частности имеют отношение к «дырке» в следствии «работы» человеческого фактора?
            Поясните вашу логику… Если вы про «хранение интернет-трафика», то сам трафик (читай данные) провайдерами не хранится (только мета-данные так сказать, кто — где — когда — через какой сервис и т.д.)
              –1
              Про логику речи не буду вести, но по закону Яровой, провайдеры обязаны хранить, всё что прошло через них.
              Но, хранить и перехватывать трафик пока нечем, т.к. комплексы, сертифицированные ФСБ (а значит и дороже на пару порядков) отсутствуют.
                0

                Вот не надо слухи только на хабре разводить (читайте закон внимательно).


                провайдеры обязаны хранить, всё что прошло через них.

                глупость, я вам уже писал что обязаны хранить провайдеры;


                хранить и перехватывать трафик пока нечем, т.к. комплексы, сертифицированные ФСБ отсутствуют.

                • про хранить см. выше; ну а следующее (отложенное в дальний угол с кучей поправок как минимум до 2023 года) подразумевает:
                  Согласно проекту приказа Минкомсвязи, интернет-компании и сервисы (не провайдеры) должны хранить и предоставлять спецслужбам: псевдоним, дату рождения, адрес, фамилию, имя, отчество, паспортные данные, языки, которыми владеет пользователь, список его родственников, текст сообщений, аудио- и видеозаписи, адрес электронной почты, дату и время авторизации и выхода из информационного сервиса, наименование программы-клиента;
                • "перехватывать трафик" — это нонсенс, где вы то взяли вообще?!
                • обязательная сертификация средств кодирования (шифрования) требуется только при передаче сведений, составляющих государственную тайну, поэтому сертификации систем мгновенного обмена сообщениями (месенджеров), таких как Telegram, WhatsApp и прочих при передаче сведений не составляющих гос-тайну, не требуется.

                Смотрю в книгу, вижу ...

                  0
                  Я сужу по этому постановлению publication.pravo.gov.ru/Document/View/0001201806280001
                  А то что, мы обязаны записывать весь трафик перехватом не является? И как провайдер может определить, что является секретной информацией? Читать каждый документ?
                    0
                    1. как вы пришли от «организаторов распространения» информации (сообщений и т.д.) к «провайдерам» (почему у вас это они, а не собственно сервисы)?
                    2. то что провайдер чисто физически не в состоянии расшифровать трафик (например по запросу прокуратуры) того же Телеграм или Ватсап и др., вам вероятно тоже не понятно?
                    3. если вы про пункт 3 постановления… вы правда думаете что главные актеры из соц-сетей, месенджеров и т.д. не хранят сообщения? (и думается мне что реально дольше чем 6 месяцев).
                      0
                      Я сотрудник небольшого провайдера и нашим юристам ясно сказали, что этот закон и к нам относится
                        0
                        закон и к нам относится

                        Ну дак наверно и вероятно даже (в случае звонков, смс, данных на юзверя какой IP в какое время за ним закреплен и т.д.)… И это кстати например в тех же Европах (например в Германии) уже несколько лет с гаком так (только больше не от террористов, а в защиту интелектуальной собственности, чтоб значит торрентами не пользовались и всякий контент "нелегальный" не раздавали).


                        Вы же мне выше про "провайдеры обязаны хранить, всё что прошло через них." расказывали… и про "хранить и перехватывать трафик пока нечем"!


                        Согласитесь это не одно и тоже что "закон и к провайдерам относится"?

                          0
                          Это придирка к словам. Тем более я не лингвист и русский не считается моим родным языком. Перехват, это разве не захват всего трафика пользователя?
                          endic.ru/ozhegov/Perehvatit-22859.html
                            0
                            Прошу прощения, не сразу осознал, про что вы речь ведете. По закону Яровой, мы как провайдер, должны хранить в пока течение месяца «текстовую, аудио, видео, и прочую информацию».
                            В этом моменте «прочая» и кроется проблема. Это, конечно, утрированно но так и обстоит.
                            www.vedomosti.ru/technology/articles/2018/06/28/774110-pravitelstvo-yarovoi
                0
                Если бы это было 157GB шифрованных длинным ключём архивов, то сравнение было бы понятно, а так, видимо, вы просто не в курсе вместе с Dvlbug.
                0
                Спасибо за статью, познавательно.
                Однако есть определённые сомнения, что на серверах компаний лежали секретные данные с грифами. Думаю, вы имели в виду конфиденциальные? В противном случае, резонанс был бы совершенно другим.
                  0
                  ну грифы бывают разные, но спасибо, добавлю кавычки…

                Only users with full accounts can post comments. Log in, please.