#CyberMagazyn: Czy trudno jest znaleźć podatny serwer?

Należy zawsze pamiętać o tym, że ”podatność podatności nierówna”. Wskaźnik CVSS (ang. Common Vulnerability Scoring System) określa m.in. wektor i skomplikowanie ataku, stopień interakcji użytkownika i wymagane uprawnienia. Warto zwrócić uwagę na EPSS (ang. Exploit Prediction Scoring System), który określa prawdopodobieństwo wykorzystania podatności przez atakujących na bazie dostępnych informacji.

Zupełnie innym zagrożeniem jest podatność, której wykorzystanie jest „akademickie” (czyli praktycznie niemożliwe w realnych atakach) od takiej, której exploit (sposób wykorzystania) jest dostępny w Internecie. Należy również podkreślić, że zgodnie z artykułami 267 i 287 Kodeksu Karnego za atak na infrastrukturę informatyczną bez stosownych uprawnień grozi nam kara pozbawienia wolności. Stanowczo odradza się próby przejęcia serwerów bez odpowiednich pozwoleń.

Zbiory exploitów

Niektóre exploity są dostępne dla każdego na stronach utrzymywanych przez powszechnie znane organizacje zajmujące się szeroko pojętym cyberbezpieczeństwem. Jedną z takich witryn jest Exploit-DB, które agreguje sposoby wykorzystania luk bezpieczeństwa. Przykładem może być EternalBlue, czyli exploit odpowiedzialny za słynny atak WannaCry.

Wiedza o publicznych exploitach

CVE Details pozwala na sortowanie podatności według prawdopodobieństwa wykorzystania przez cyberprzestępców. Oprócz tego dodawane są również informacje o tym, czy dostępny jest publiczny exploit oraz ewentualne doniesienia o wykorzystywaniu ich w atakach ransomware.

Shodan i darmowy filtr podatnych serwerów

Shodan.io indeksuje informacje o wszystkich urządzeniach dostępnych z poziomu Internetu. Pozwala na zobaczenie m.in. listy otwartych portów i usług. W niektórych przypadkach zapisuje również zrzuty ekranu, przede wszystkim z kamer internetowych oraz paneli logowania do zdalnego pulpitu. W przypadku Polski można znaleźć 5321 takich wyników (stan na 4 grudnia) za pomocą polecenia ”has_screenshot:true country:pl”, które wyświetli wszystkie rekordy z zapisanymi zrzutami ekranu.

Shodan pozwala również na dostęp do filtru „vuln”, pokazujący serwery z wybranymi podatnościami. Dostęp do niego jest możliwy za darmo, poprzez założenie konta z wykorzystaniem maila w domenie akademickiej (zazwyczaj .edu). Więcej informacji znajduje się tutaj.

Przykładowe podatności oraz "honeypoty"

Wyszukiwanie podatnych serwerów na Shodanie może być utrudnione przez fakt, że możemy natknąć się na wiele tzw. „honeypotów”, czyli serwerów służących do poznania prawdziwych intencji atakujących poprzez utworzenie specjalnie przygotowanych do tego środowisk niezawierających prawdziwych zasobów organizacji.

Jeżeli wyszukamy frazę ”http.component:”Drupal” vuln:”CVE-2018-7600” otrzymamy 4912 wyników (stan na 4 grudnia). Nie oznacza to jednak, że tyle serwerów można przejąć za pomocą publicznego exploita dla tej podatności - wiele z wyników to właśnie tzw. „honeypoty”.

Można jednak znaleźć takie podatności, które mogą być możliwe do wykorzystania w produkcyjnych środowiskach. Nie można jednak uzyskać stuprocentowej pewności, ponieważ takie działanie jest nielegalne i może skutkować karą pozbawienia wolności do 2 lat. Takim przykładem jest zeszłoroczna podatność w JetBrains TeamCity, której nadano ID CVE-2024-3272. Exploit jest dostępny publicznie. Na Shodanie widoczne jest 377 urządzeń (stan na 4 grudnia), które Shodan zakwalifikował jako podatne - niektóre z nich nie wyglądają na tzw. „honeypoty” (co nie oznacza, że na pewno nimi nie są).

Należy dodać, że samo wyszukiwanie na Shodanie nie daje pewności co do tego, czy podatność można wykorzystać w produkcyjnym środowisku, zaś podejmowanie takich prób bez zgody właściciela systemu jest nielegalne.

Podatność, której nie da się "załatać"

Zdarzają się również sytuacje, gdzie sprzęt należy wymienić ze względu na wykrycie poważnej podatności. Dotyczy to sytuacji, kiedy wsparcie producenta zostało zakończone i nie zostaną opublikowane poprawki bezpieczeństwa. Opisywaliśmy taką sytuację w kwietniu br., kiedy wykryto RCE (zdalne wykonanie kodu) w starszych urządzeniach D-Linka.

Serwis CyberDefence24.pl otrzymał tytuł #DigitalEUAmbassador (Ambasadora polityki cyfrowej UE). Jeśli są sprawy, które Was nurtują; pytania, na które nie znacie odpowiedzi; tematy, o których trzeba napisać – zapraszamy do kontaktu. Piszcie do nas na: [email protected].