Привет, это снова Angara Security и наши эксперты по киберразведке Angara MTDR. Сегодня мы расскажем, что можно узнать об инфраструктуре компании, используя легитимные онлайн-сервисы, и дадим советы, как защитить организацию от неприятных сюрпризов.
Ежегодно ИТ-инфраструктура компаний разрастается: появляются новые сетевые активы, увеличивается число рабочих станций сотрудников. Для отделов ИТ и ИБ отслеживание актуальности установленных версий ПО и ОС становится большой головной болью. Также практически ежедневно публикуется информация о появлении новых уязвимостей, а злоумышленники практически сразу могут начать их эксплуатировать.
Если системы не будут своевременно обновляться, сервер превратится в «новогоднюю ёлку». Только вместо украшений и игрушек, яркими цветами будут гореть CVE с уровнем критичности по CVSS.
Общий взгляд на проблему
Изучая вопрос уязвимых серверов, мы провели выгрузку данных из онлайн-сервиса Shodan — специализированной поисковой системы, которая сканирует интернет в поисках устройств, подключённых к сети. В рамках исследования мы сосредоточили внимание на четырёх российских технологических провайдерах ИТ-инфраструктуры. В общей сложности в выгрузку попали 80655 IP-адресов, 80066 из которых — уникальные. Основной пул серверов (76306) находится в России, но в список также попали Нидерланды (3342), Германия (624), Казахстан (339), Турция (21), Польша, Франция, Болгария и Хорватия.
Топ-10 открытых портов
Углубляясь в технические детали, мы посмотрели открытые порты на серверах. В наш топ-10 вошли следующие:
· порт 7547 — порт протокола CWMP (TR-069), используемый интернет-провайдерами для удалённого управления абонентскими устройствами;
· порт 22 — стандартный порт SSH;
· порт 443 — стандартный HTTPs-порт;
· порт 80 — порт HTTP;
· порт 21 — порт, используемый протоколом FTP;
· порт 53 — порт DNS;
· порт 5060 — порт, используемый SIP для организации голосовой и мультимедийной сессии;
· порт 123 — порт NTP;
· порт 25 — порт, используемый протоколом SMTP для передачи электронной почты;
· порт 8080 — альтернативный порт HTTP.
Топ продуктов, размещённых на серверах
Продолжая исследование, мы выделили самые популярные продукты, размещённые на исследуемых серверах. В лидерах веб-сервер Nginx, а также OpenSSH — набор инструментов для удалённого управления и передачи данных по протоколу SSH (Secure Shell). Также в выборку вошли разнообразные почтовые и сетевые службы.
Продукт |
Количество серверов |
Nginx |
14 662 |
OpenSSH |
13 976 |
Exim smtpd |
1 822 |
Apache httpd |
1 524 |
Remote Desktop Protocol |
897 |
WinRM |
832 |
PostgreSQL |
822 |
Prometheus Node Exporter |
792 |
MySQL |
789 |
Postfix smtpd |
559 |
MikroTik bandwidth-test server |
514 |
Kubernetes |
496 |
PPTP |
490 |
MikroTik Winbox |
476 |
Microsoft IIS httpd |
423 |
Облако HTTP-заголовков
Далее мы решили изучить запущенные на серверах веб-сервисы. Для этого собрали и визуализировали в виде облака тегов HTTP-заголовки.
Таким образом удалось установить, что в исследуемой нами выборке лидирует заголовок Fastpanel — панель управления облачным сервером, что естественно для облачных сервисов. Однако мы предлагаем сосредоточить внимание не на явных лидерах, а на сервисах Vault, Grafana и GitLab.
Vault — это высокофункциональная система управления секретами, разработанная компанией HashiCorp. Сервис Vault предоставляет функционал для хранения секретов в зашифрованном виде. Помимо этого, владелец хранилища может довольно гибко настраивать права доступа и политики. Под секретом может пониматься всё, доступ к чему вы хотите контролировать, например API-ключи, пароли или ключи шифрования. Злоумышленник, получивший доступ к системе Vault, сможет не только украсть ценные данные, но также и выполнять дальнейшее горизонтальное перемещение и закрепление в инфраструктуре атакуемой организации.
Grafana — открытая платформа для сбора, мониторинга и визуализации данных. Сервис позволяет объединять данные из разных источников в одном окне, что удобно для мониторинга. А злоумышленник, получивший доступ к платформе, получает возможность видеть изнутри инфраструктуру организации: метрики сервисов, имена хостов, представление о топологии сети и многое другое.
Говоря о системе контроля версий GitLab, можно составить множество различных сценариев. Злоумышленник, получивший доступ к GitLab, может не только украсть исходный код разрабатываемого программного обеспечения или сервиса, но также и внедрить программную закладку в ПО. При этом вредоносный функционал программной закладки может быть различным: шпионаж, организация удалённого доступа или выведение из строя заражённой системы.
Облако тегов Shodan
Так как в рамках своего исследования мы использовали онлайн-сервис Shodan, нам было интересно посмотреть на самые популярные теги, проставленные данным сервисом. По результатам визуализации мы получили весьма интересную картину. Так, на первом месте мы видим тег eol-product (End-of-life product), который нам говорит о том, что на сервере установлено ПО с истекшим сроком поддержки. Второе место занимает тег self-signed — на сервере используются самоподписанные цифровые сертификаты.
Помимо этого, на данной визуализации мы можем заметить такие теги, как database (базы данных), ICS (системы управления и контроля для и мониторинга процессов в промышленности), c2 (сервера для управления и контроля скомпрометированными хостами) и Сryptocurrency (сервер связан с добычей криптовалют).
Количество уязвимостей
После получения общей картины о состоянии серверов мы посчитали суммарное количество уязвимостей на них. Всего мы обнаружили 212118 записей, из них 3880 — уникальные. По уровню критичности мы выделили 31070 уязвимостей с уровнем Critical (CVSS 9.0-10.0) и 84902 с уровнем критичности High (CVSS 7.0-8.9).
Топ-5 CVE
Топ-5 CVE |
Количество записей |
Описание уязвимости |
CVE-2023-44487 |
4,891 |
Уязвимость в протоколе HTTP/2, позволяющая атакующему вызвать отказ в обслуживании (DoS) путём быстрого сброса множества потоков запросов |
CVE-2021-3618 |
4,855 |
Уязвимость в реализации TLS, позволяющая атакующему с доступом к трафику на уровне TCP/IP перенаправить трафик с одного поддомена на другой |
CVE-2021-23017 |
4,469 |
Уязвимость в DNS-резолвере NGINX, позволяющая атакующему с доступом к сети отправить поддельные UDP-пакеты, вызывая перезапись одного байта памяти |
CVE-2007-2768 |
1,485 |
Уязвимость в OpenSSH при использовании OPIE (One-Time Passwords in Everything) для PAM, позволяющая удалённым атакующим определить существование определённых учётных записей |
CVE-2008-3844 |
1,485 |
Уязвимость в некоторых пакетах OpenSSH для Red Hat Enterprise Linux 4 и 5, подписанных легитимным GPG-ключом Red Hat, но содержащих внешне введённые изменения |
Топ-10 направлений деятельности компаний
Большая часть серверов в нашей выборке принадлежит различным организациям. Продолжая анализ, нам удалось установить более 2000 различных компаний, но для понимания общей картины мы взяли для рассмотрения 550 из них. Получив информацию об их направлении деятельности, мы выяснили, что большая часть из них ведёт работу в области информационных технологий и разработки ПО. Также в Топ-10 входят рекламные агентства, управляющие, строительные, логистические компании и даже научные организации.
Топ-10 направлений деятельности |
Количество записей |
Разработка компьютерного программного обеспечения |
105 |
Деятельность по созданию и использованию баз данных и информационных ресурсов |
18 |
Деятельность, связанная с использованием вычислительной техники и информационных технологий, прочее |
17 |
Консультативная деятельность и работы в области компьютерных технологий |
15 |
Деятельность рекламных агентств |
14 |
Консультирование по вопросам коммерческой деятельности и управления |
11 |
Разработка компьютерного программного обеспечения, консультационные услуги в данной области и другие сопутствующие услуги |
11 |
Строительство жилых и нежилых зданий |
10 |
Деятельность вспомогательная прочая, связанная с перевозками |
9 |
Научные исследования и разработки в области естественных и технических наук |
9 |
Распределение уязвимых серверов по размеру бизнеса
Как показало наше исследование, чем меньше размер бизнеса, тем более уязвима его сетевая инфраструктура. Внизу рейтинга — госсектор и средний бизнес, в середине — крупные организации, в лидерах — малые и микро-предприятия.
Распределение уровней уязвимостей по размеру бизнеса
А вот распределение уровней уязвимостей не зависит от размера бизнеса. Для всех категорий компаний на уязвимых серверах мы видим примерно одинаковую картину: лидируют уязвимости высокого уровня критичности, далее расположились средний и критический уровни, а замыкают список уязвимости низкого уровня критичности.
Наличие PоC и цена эксплойта на уязвимость
Рассмотрим распространённые критические уязвимости для веб-серверов Apache HTTP Server и пакетов OpenSSH:
Уязвимость CVE-2008-3844 в некоторых пакетах OpenSSH для Red Hat Enterprise Linux 4 и 5, подписанных легитимным GPG-ключом Red Hat, но содержащих внешне введённые изменения.
CVE-2023-38408 (BDU:2023-03950) — уязвимость, обнаруженная в OpenSSH, которая затрагивает функцию PKCS#11 компонента ssh-agent и связана с использованием ненадёжного пути поиска динамических библиотек. Она позволяет злоумышленнику удалённо выполнить произвольный код на целевой системе, если включена переадресация ssh-agent. Проблема актуальна для версий OpenSSH до 9.3p2.
CVE-2024-38474 — уязвимость в функции mod_rewrite веб-сервера Apache HTTP Server, затрагивающая версии 2.4.0–2.4.59.
CVE-2024-38475 — уязвимость связана с некорректной обработкой (экранированием) выходных данных в модуле mod_rewrite веб-сервера Apache HTTP Server.
CVE-2024-38476 — уязвимость в ядре Apache HTTP Server 2.4.59 и более ранних версий может привести к раскрытию информации, SSRF-атакам или локальному выполнению скриптов через бэкенд-приложения, заголовки ответов которых вредоносны или могут быть использованы для эксплуатации.
Top-5 (CVE) |
Количество записей |
CVSS |
Наличие PоC |
Цена эксплойта* |
CVE-2008-3844 |
1485 |
9.3 (v2.0) |
Нет |
$25k–$50k |
CVE-2023-38408 |
1376 |
9.8 (v3.1) |
Да |
$10k–$25k |
CVE-2024-38474 |
1128 |
9.8 (v3.1) |
Да |
$2k–$5k |
CVE-2024-38475 |
1128 |
9.1 (v3.1) |
Да |
$0–$1k |
CVE-2024-38476 |
1128 |
9.8 (v3.1) |
Да |
$2k–$5k |
* Согласно данным сервиса vuldb.com
Как видно из таблицы, практически для всех уязвимостей существует PoC (Proof of Concept, демонстрация уязвимости в контролируемой среде). Помимо этого, каждая уязвимость имеет цену эксплуатации. Цена эксплуатации уязвимостей зависит от различных факторов, среди которых, например, наличие PoC, стоимость покупки или разработки эксплойта, наличие доступа у злоумышленников к закрытым форумам в теневом сегменте сети и многое другое. Уязвимости CVE-2008-3844 и CVE-2023-38408, как упомянуто выше, касаются OpenSSH, они сложны в эксплуатации и практически неприменимы. Остальные уязвимости связаны с Apache HTTP Server и позволяют обходить ограничения на доступ к файлам и выполнять произвольный код. Это свежие уязвимости, они имеют массовое применение, а благодаря наличию PoC возможно создание эксплойтов на их основе.
Для общего понимания количества уязвимостей, имеющих PoC, мы приведём следующую статистику. Согласно нашему исследованию, на популярном веб-сервисе GitHub размещено порядка 30 тысяч репозиториев, содержащих упоминание слова «exploits». Важно отметить, что в эту статистику входят как непосредственно эксплойты и PoC, так и упоминания о них в учебной литературе, сканерах уязвимостей и различных инструментах. Отметим, что от появления информации о любой уязвимости до начала её потенциальной эксплуатации проходит буквально несколько дней, что даёт стороне защиты узкое окно для устранения потенциальных угроз.
Репозиторий GitHub с PoC на CVE-2023-44487
Как пример, рассмотрим репозиторий GitHub с PoC на CVE-2023-44487 — критическую уязвимость в протоколе HTTP/2, также известную как Rapid Reset. Она позволяет злоумышленнику создавать и отменять большое количество запросов и способна вызывать атаки типа «отказ в обслуживании» (DoS).
Сервис поиска PoC SPLOITUS
Существует множество сервисов, которые агрегируют информацию об уязвимостях. SPLOITUS — это открытый сервис, который позволяет очень быстро находить POC по уязвимостям. Он собирает информацию с ряда ресурсов помимо GitHub.
Для наглядности разберём несколько примеров продажи готовых эксплойтов, а после разберём важный пример атаки, в которой активно эксплуатировалась критическая уязвимость в Microsoft Exchange.
Объявления о продаже 0-day уязвимостей в Cisco
Первый пример — 0-day уязвимость в Cisco. По сообщению злоумышленника, эта уязвимость позволяет удалённо выполнить код, работает на последней версии ПО и срабатывает в 100% случаев.
Второй пример — 0-day уязвимость в Fortinet. Эта уязвимость позволяет злоумышленнику подключиться к FortiGate и выгрузить всю конфигурацию, логины, VPN-токены и настройки сети, если открыт API-интерфейс.
Атаки с эксплуатацией уязвимости ProxyShell
ProxyShell — набор уязвимостей в серверах Microsoft Exchange, которые позволяют злоумышленникам запускать произвольный код удалённо и без какой-либо авторизации на сервере. Набор включает три уязвимости:
· CVE-2021-34473 — ошибка несоответствия пути. Она позволяет обходить защиту ACL и запускать произвольный код.
· CVE-2021-34523 — ошибка повышения привилегий.
· CVE-2021-31207 — уязвимость, допускающая запись произвольного файла и, как следствие, запуск произвольного кода.
Несмотря на то, что уязвимости ProxyShell были исправлены Microsoft в апреле-мае 2021 года, они активно эксплуатируются десятками APT-группировок и в настоящий времени. На пике популярности в 2021 году в атаках группировок-вымогателей с использованием уязвимости ProxyShell средний размер выкупа составлял 10 тысяч долларов. В отдельных случаях требования достигали 50 миллионов долларов. Пострадали десятки тысяч организаций.
Наши рекомендации
Для оперативного закрытия уязвимостей и повышения уровня безопасности компании мы советуем:
• Организовать процесс управления уязвимостями в вашей сети:
§ проводите регулярную инвентаризацию активов;
§ собирайте информацию об используемом ПО;
§ проводите регулярный мониторинг информации о появлении новых уязвимостей;
§ выполняйте обновление в случае обнаружения уязвимых компонентов.
• Управлять активами сети:
§ вынесите критические ресурсы в закрытую сеть;
§ организуйте VPN-соединение с двухфакторной аутентификацией, если необходим удалённый доступ.
• Использовать данные киберразведки (CTI) для получения актуальной информации о трендах атакующих.
• Организовать непрерывный мониторинг безопасности:
§ настройте централизованный сбор логов;
§ используйте СЗИ для своевременного детектирования вредоносной активности.