Miért térdelhetett le az előválasztási rendszer? – Mindent lebíró támadás vagy szakmai hiba?

elovalasztas.jpeg

Nehéz erre a kérdésre válaszolni anélkül, hogy pontosan tudnánk, mi a fene történt valójában. Egy igen kedves kollégám fejtegette, hogy ha kiadnák a logokat akkor a szakmai közösség elég gyorsan tudna konkrét válaszokat mondani – a naplófájl semleges, egyik oldal felé sem elkötelezett. Legfeljebb azzal lehet ellene érvelni, hogy nem hiteles – dehát nem véletlenül van a forensic eljárásokban a hiteles bizonyítékok begyűjtése és dokumentálása keményen kiemelve.

Szóval ott tartunk, hogy pletyka és azzal egyenértékű hitelességgel bíró információk alapján volt ott minden, a NER/kormány által felbérelt kínaiak és oroszok, de lehettek a baptista fogorvosok is. A szakmai hírek szerint volumetrikus DDOS támadás történt, tehát valaki mocskos nagy forgalommal esett neki a rendszernek, amitől az le is térdelt.

Namost innentől még inkább csak feltételezések következnek.

A rendszert elvileg a Cloudflare védte, ami többek között pont arra szolgál, hogy ne lehessen terheléses támadással kiütni a védett oldalt. A Cloudflare nem éppen a legroszabb megoldás erre, de persze nem is a legjobb.

Az biztos, hogy egy jól beállított CF szolgáltatás esetén az „ezt egy 15 éves gyerek is megcsinálja 15 dollárból” mondás nem igaz, a CF-et térdre kényszeríteni azért ennél jóval drágább mulatság (szóval nem is a 100-150 doláros kategória). Érdemes abba belegondolni, ha minden 15 éves gyerek 10-100 dollárból kiüti a védelmet, akkor, hogy létezhet még és miért a Cloudflare az egyik legmenőbb szolgáltatás?

Itt valami másnak (is) lennie kell. Én jelenleg csak az elovalasztas.hu oldallal foglalkoztam, de ebből azért elég sok következtetést lehet levonni.

A Cloudflare elfedi a mögöttes infrastruktúrát, ha jól van beállítva. Azaz elvileg nem lehet tudni, hogy milyen IP és infrastruktúra van a védett rendszerben. Azért csak elvileg, mert ha nem jól van beállítva, akkor felfedhetők a tényleges szerverek.

elovalasztas-cf.png

Látható, hogy simán pingelve a Cloudflare egyik IP címe válaszol (104.21.87.191). Az oldal tanúsítványa is rendben van, a Cloudflare által generált tanúsítványról van szó.

elovalasztas-normal.png

Van többféle módszer arra, hogy egy rosszul konfigurált CF szolgáltatás mögötti infrastruktúra felfedhető legyen.

Erre a legtriviálisabb megoldás annak ellenőrzése, hogy milyen IP címeken található olyan tanúsítvány, amely a vizsgált oldalon is megtalálható. Pontosabban, olyan tanúsítványt kell keresni, amelyben a vizsgált oldal domain címe szerepel. Erre kiváló megoldás a Censys eszközkereső vagy éppen a Shodan.

elovalasztas-censys-osszes.png

Hoppá, itt van is valami érdekes. elovalasztas.apont.hu? Nem csak a névben, de a rajta lévő tanúsítványban is szerepel az elovalasztas.hu.

elovalovalasztas-apont-censys.png

 Az oldalt megnézve az Előválasztás oldal régebbi verziója jön be, feltételezhetően valami fejlesztési vagy demókörnyezet, amit aztán ottfelejtettek.

elovalasztas-apont.png

Látható, hogy ugyan a Cloudflare szerepel benne, de a tanúsítványt a cPanel webhosting rendszer bocsátotta ki, nem pedig a Cloudflare.

A Censys webes felülete mellett van lehetőség CLI-ből is keresgetni. Sokféle eszköz áll a rendelkezésre, én a CloudFlair eszközt használtam.

cli-cloudflair-elovalasztas.png

Megnézve úgy tűnik, hogy az elovalasztas.hu és eleve.hu domainekhez a tanúsítványokon keresztül nem jutunk közelebb, a CF és az oldalak ebből a szempontból jól vanak beállítva. Leszámítva a fent felejtett régebbi verziót – egyébként ez is übergáz lehet, pláne, ha még egyebeket is ott felejtettek rajta, például publikusan elérhető konfig fájlokat, mentéseket, stb. Sajnos a fejlesztési rendszerek védelmére kevesebb erőfeszítéseket szoktak tenni.

Oké szóval feltehetőleg a CF jól van beállítva, viszont akkor más gebasz is előfordulhat. A CF tényleg viszonylag jó védelmet ad, akkor hogyan feküdt meg a védett oldal?

Amivel találkozni szoktam, hogy maga az oldal van tele olyan sérülékenységgel, amely kihasználásával és 1-2 jól formázott kérdéssel magába fordítható az alkalmazás. Nyilván ezt nem tudom vizsgálni (hiszen nincs rá engedélyem), de még mindig van másik lehetőség – ami nyilvános forrásokból vizsgálható.

Nézzük meg a hosting history-t. Hol működött az oldal, milyen IP címek köthetők hozzá?

eleve-history.png

A sárgával jelölt címek a Cloudflare szolgáltatás IP címei, azonban megjelenik nekünk a 193.32.232.143 és a 87.229.45.33 IP cím, amelyeken korábban az eleve.hu domain működött.

elovalasztas-history.png

Hasonlóan, az elovalasztas.hu esetében is ott vannak a sárgával jelölt Cloudflare IP-k, illetve megjelent a 185.33.52.19 is, ahol korábban az elovalasztas.hu működött.

Ilyenkor felsejlik az emberben egy rémkép – mégpedig, hogy esetleg ezek az IP-k lehetnek a tényleges kiszolgálók. Sőt, még rosszabb, ezeket direkt megcímezve is el lehet jutni az oldalig, megkerülve a CF védelmét (pontosabban nem megkerülve, mert ha közvetlenül nézzük a címet, akkor a CF egyáltalán nincs benne a forgalomba.

Ez viszonylag egyszerűen ellenőrizhető.

elovalasztas-kozvetlen-regicimre.png

A host fájlba beírva az IP címet és az elovalasztas.hu domaint, a böngésző nem tud oldalt betölteni, azaz úgy tűnik, közvetlenül nem elérhető ezen az IP cím és domain párosításon semmi.

eleve-193-regi.png

Az eleve.hu és a 193.32.232.143 IP párosítása sem igazán vezet eredményre, annyi derül ki, hogy egyébként ez aHang szerver – ők fejlesztették a rendszert még az önkormányzati választásra. Hasonlóan a 87.229.45.33 IP címen sem volt érdemi tartalom.

És mi van, ha nem felrázzuk, hanem keverjük?

elovalasztas-193.png

Szóval akkor az van, hogy ha a 193.32.232.143 IP címhez az elovalasztas.hu-t párosítjuk, akkor bejön az előválasztási oldal aktuális (vagy legalábbis a most látható) verziója. Jajj.

Ez azt jelenti, hogy az elovalasztas.hu bár a Cloudflare védelme alatt áll, de feltételezhetően közvetlenül is megcímezhető.

Feltehetőleg a beállításból kimaradt, hogy az IP cím csak a Cloudflare felől fogadhat kapcsolatot, így gyakorlatilag nem kell szofisztikált és sokezer, soktízezer dolláros DDOS támadást vásárolni, ez a szerver egy 150 dollárból vett támadástól is meg fog feküdni.

Természetesen ezek még mindig csak feltételezések, viszont, ha igazam van, és ez a konfigurációs hiba létezik, akkor nemigazán voltak a toppon akik a rendszert beállították, és eséllyel lesznek ott másik, akár nagyobb aknák is.

Remélem tévedek.

Remélem, hogy ami a 193.32.232.143 IP-n bejön, az nem az éles oldal. Kinézetre úgy néz ki, van rajta aktuális tartalom, és a tényleges oldalon sem látok egyéb kontetet.

De még mindig van esély, hogy ez is valami dev rendszer csak frissebb tartalommal, de azért vannak félelmeim.