16 Лют, 2023

Неправильне налаштування безпеки

Vulnerability Assessment as a Service (VAaaS)

Tests systems and applications for vulnerabilities to address weaknesses.

Уразливості з неправильною конфігурацією є поширеною і часто упускати з виду загрозою безпеки, яка може вплинути практично на будь-яку технологічну систему, від невеликих мереж до великих хмарних інфраструктур. Неправильна настройка відноситься до ситуації, коли система або пристрій настроєно неправильно, що може привести до несподіваного і потенційно небезпечного поведінки. Неправильні налаштування можуть виникати з багатьох причин, включаючи людську помилку, погану документацію або неповне тестування, і вони можуть мати серйозні наслідки для безпеки і цілісності системи.

Конкретної абревіатури для "вразливостей неправильної конфігурації" не існує, але "Неправильні конфігурації" або "Неправильне визначення" іноді використовуються неофіційно. Повна назва вразливостей неправильної конфігурації буде "Уразливості неправильної конфігурації", що відноситься до вразливостей безпеки, що виникають із-за неправильної або неадекватною конфігурації програмного забезпечення, обладнання, мереж або систем. Неправильні налаштування можуть призвести до широкого спектру проблем безпеки, включаючи витік даних, збої системи і несанкціонований доступ.

Уразливості при неправильному налаштуванні можуть виникати різними способами, включаючи небезпечні паролі, відкриті порти, невідправлене програмне забезпечення і небезпечні мережеві настройки. Ці уразливості можуть дозволити зловмисникам отримати несанкціонований доступ до конфіденційних даних або системам, виконати шкідливий код або викликати збої або пошкодження критично важливої інфраструктури.

Приклади уразливого коду на різних мовах програмування

Уразливості з неправильною конфігурацією можуть виникати в самих різних мовах програмування і технологіях.

Деякі приклади коду, які можуть бути уразливі для неправильної установки:

  Java:

				
					<resource-ref>
  <description>My DataSource Reference</description>
  <res-ref-name>jdbc/mydb</res-ref-name>
  <res-type>javax.sql.DataSource</res-type>
  <res-auth>Container</res-auth>
  <res-sharing-scope>Shareable</res-sharing-scope>
  <mapped-name>jdbc/mydb</mapped-name>
</resource-ref>
				
			

Уразливості неправильної конфігурації можуть виникати у файлах конфігурації, наприклад web.xml , context.xml і application.properties, де конфіденційна інформація, така як облікові дані бази даних, ключі API і паролі, може зберігатися в звичайному текстовому форматі.

Python:

				
					# example of secrets stored in a config file
DATABASE_USER = "myusername"
DATABASE_PASSWORD = "mypassword"
				
			

Уразливості неправильної конфігурації можуть виникати у файлах конфігурації або змінних середовища. Наприклад, зберігання конфіденційних даних, таких як облікові дані бази даних, ключі API або паролі, в звичайному текстовому форматі у файлі конфігурації може призвести до вразливостей неправильної конфігурації.

JavaScript:

				
					app.get('/', function(req, res) {
  res.send('Hello World');
});
				
			

Уразливості неправильної конфігурації можуть виникати в середовищах веб-додатків, таких як Express.js , де конфіденційні дані можуть бути доступні через неправильно налаштоване проміжне програмне забезпечення або маршрути. Наприклад, якщо розробник забуває використовувати HTTPS і відправляє файли cookie по протоколу HTTP, вони можуть бути перехоплені і прочитані зловмисником.

PHP:

				
					// example of sensitive data in a config file
$dbname = 'mydatabase';
$username = 'myusername';
$password = 'mypassword';
				
			

Уразливості неправильної конфігурації можуть виникати у файлах конфігурації або уразливість при впровадженні коду, де зловмисник може використовувати помилки перевірки або очищення вхідних даних. Наприклад, зберігання конфіденційної інформації, такої як облікові дані бази даних або паролі, в звичайному текстовому форматі у файлі конфігурації може призвести до вразливостей неправильної конфігурації.

В цілому, уразливості з неправильною конфігурацією є поширеною і часто упускати з виду загрозою безпеки, і розробникам важливо ретельно перевіряти свій код і конфігурації, щоб запобігти ці типи вразливостей.

Приклади експлуатації Неправильне налаштування безпеки вразливі місця

Неправильні налаштування безпеки можуть бути використані різними способами, в залежності від специфіки неправильної конфігурації і цілей зловмисника. Ось кілька прикладів того, як зловмисники можуть використовувати неправильні налаштування безпеки:

  1. Незахищені кінцеві точки API: зловмисники можуть використовувати неправильні налаштування безпеки в кінцевих точках API для отримання несанкціонованого доступу до конфіденційних даних або виконання шкідливого коду. Наприклад, якщо кінцева точка API залишається незахищеною, зловмисник може легко отримати доступ до даних і змінити їх або навіть захопити всю систему.

  2. Слабкі паролі або облікові дані за замовчуванням: зловмисники можуть використовувати неправильні налаштування безпеки, пов'язані зі слабкими паролями або обліковими даними за замовчуванням, для отримання доступу до систем або програм. Наприклад, якщо адміністратор забуде змінити пароль за умовчанням в новій системі або додатку, зловмисник може легко знайти і використовувати цей пароль для доступу.

  3. Відкриті мережеві порти: зловмисники можуть використовувати неправильні налаштування безпеки, пов'язані з відкритими мережевими портами, для отримання доступу до мережі або системі. Наприклад, якщо адміністратор залишає відкритим порт, який повинен бути закритий, зловмисник може використовувати цей порт для отримання доступу до мережі або системі.

  4. Неправильні дозволу для файлів. Зловмисники можуть використовувати неправильні налаштування безпеки, пов'язані з неправильними дозволи для файлів, для отримання доступу до конфіденційних даних. Наприклад, якщо веб-сервер налаштований на дозвіл спільного доступу до каталогу, який містить конфіденційні дані, зловмисник може просто перейти до цього каталогу і переглянути або завантажити дані.

  5. Неправильно сконфігуровані брандмауери або мережеві пристрої: зловмисники можуть використовувати неправильні налаштування безпеки, пов'язані з брандмауерами або іншими мережевими пристроями, для отримання несанкціонованого доступу до мережі або системі. Наприклад, якщо брандмауер неправильно налаштований і допускає трафік, який повинен бути заблокований, зловмисник може використовувати цей трафік для отримання доступу до мережі або системі.

Методи підвищення привілеїв Неправильне налаштування безпеки вразливі місця

Підвищення привілеїв - це тип атаки, який включає використання неправильних налаштувань безпеки для отримання доступу до ресурсів або привілеїв, якими зазвичай не має зловмисник. Це може включати отримання адміністративного доступу до системи або програми, доступ до конфіденційних даних або функцій або виконання коду з більш високими привілеями, ніж зазвичай дозволені. У контексті неправильних налаштувань безпеки атак з підвищенням привілеїв часто можливі із-за помилок конфігурації, які дозволяють зловмиснику обходити або використовувати засоби контролю доступу.

Ось кілька поширених методів, які зловмисники можуть використовувати для використання неправильних налаштувань безпеки і виконання атак з підвищенням привілеїв:

  1. Небезпечні права доступу до файлів: зловмисники можуть використовувати неправильні налаштування, пов'язані з правами доступу до файлів, для отримання доступу до конфіденційних даних або функцій. Наприклад, якщо для файлу був налаштований надмірно дозвільний контроль доступу, зловмисник може прочитати, змінити або виконати файл і отримати доступ до системних ресурсів або привілеїв.

  2. Неправильно налаштовані облікові записи користувачів: зловмисники можуть використовувати неправильні налаштування, пов'язані з обліковими записами користувачів, для отримання підвищеного доступу до системи або програми. Наприклад, якщо обліковий запис адміністратора була неправильно налаштована на використання слабких або облікових даних за замовчуванням, зловмисник може використовувати ці дані для отримання адміністративного доступу.

  3. Використання уразливого програмного забезпечення: Зловмисники можуть використовувати уразливості в програмному забезпеченні чи додатках для отримання підвищених привілеїв. Наприклад, якщо програмне додаток має уразливість, яка дозволяє зловмиснику виконувати код з підвищеними привілеями, зловмисник може використовувати цю уразливість для отримання доступу до конфіденційних ресурсів або функцій.

  4. Неправильно сконфігуровані елементи управління безпекою: зловмисники можуть використовувати неправильні налаштування в елементах управління безпекою, таких як брандмауери або списки контролю доступу, для обходу контролю доступу і отримання доступу до конфіденційних ресурсів або функцій. Наприклад, якщо брандмауер був неправильно налаштований для дозволу доступу до конфіденційних ресурсів з неавторизованого розташування, зловмисник може використовувати цю неправильну конфігурацію для отримання доступу.

  5. Використання вразливостей ядра: Зловмисники можуть використовувати уразливість в ядрі операційної системи для отримання підвищених привілеїв. Це може включати уразливості, пов'язані з пошкодженням пам'яті, переповненням цілих чисел або іншими типами вразливостей програмного забезпечення.

  6. Зловживання неправильними налаштуваннями служб: зловмисники можуть використовувати неправильні налаштування в службах, запущених у системі, для отримання підвищених привілеїв. Наприклад, якщо служба була неправильно налаштована для запуску з підвищеними привілеями, зловмисник може скористатися цим, щоб отримати доступ до конфіденційних ресурсів.

  7. Використання бекдорів або руткітів: зловмисники можуть встановити бекдори або руткіти в системі, щоб отримати постійний доступ і підвищені привілеї. Вони можуть бути встановлені за допомогою різних засобів, таких як використання вразливостей в програмному забезпеченні або обман користувачів з метою встановлення зловмисного програмного забезпечення.

  8. Використання неправильних налаштувань віртуалізації: зловмисники можуть використовувати неправильні налаштування в середовищах віртуалізації для отримання підвищених привілеїв. Наприклад, якщо віртуальна машина неправильно налаштовано для надання адміністративної доступу користувачам, що не є адміністраторами, зловмисник може використовувати це для отримання підвищених привілеїв в хост-системі.

  9. Використання неправильно налаштованих запланованих завдань: зловмисники можуть використовувати неправильно налаштовані заплановані завдання для отримання підвищених привілеїв. Наприклад, якщо запланована завдання неправильно налаштована для запуску з підвищеними привілеями, зловмисник може скористатися цим, щоб отримати доступ до конфіденційних ресурсів.

Загальна методологія та контрольний список для тестування Неправильне налаштування безпеки вразливі місця

  1. Розвідка: Почніть з ретельної розвідки, щоб визначити потенційні цілі і вектори атаки. Це може включати сканування цільової системи або програми на наявність відкритих портів, служб і додатків, а також використання методів збору інформації, таких як OSINT (open-source intelligence).

  2. Перерахування: після визначення потенційних цілей перерахуйте систему або додаток, щоб зібрати додаткову інформацію про цілі, таку як облікові записи користувачів, встановлені програми і параметри конфігурації. Це може включати використання таких інструментів, як Nmap, Metasploit або користувальницьких сценаріїв для автоматизації процесу.

  3. Сканування вразливостей: використовуйте інструменти сканування вразливостей, такі як Nessus або OpenVAS, для виявлення потенційних неправильних налаштувань безпеки або вразливостей. Ці інструменти можуть виявляти неправильно налаштовані служби, застаріле програмне забезпечення, слабкі паролі та інші потенційні уразливості, які можуть бути використані зловмисниками.

  4. Ручне тестування: проведіть ручне тестування для виявлення додаткових неправильних налаштувань безпеки або вразливостей, які могли бути пропущені автоматизованими засобами. Це може включати тестування окремих компонентів системи або додатки, таких як облікові записи користувачів, засоби управління доступом до мережі та права доступу до файлів, для виявлення потенційних неправильних налаштувань або вразливостей.

  5. Експлуатація: Спроба використовувати будь-які виявлені неправильні налаштування безпеки або вразливості для отримання доступу до системи або програми. Це може включати використання експлойтів або користувальницьких сценаріїв для обходу контролю доступу, підвищення привілеїв чи отримання доступу до конфіденційних даних або функцій.

  6. Звітність: Документуйте і повідомляйте про будь-яких виявлених неправильних налаштуваннях безпеки або вразливості, включаючи докладні кроки по відтворенню проблеми і рекомендовані кроки по виправленню. Цим звітом слід поділитися з відповідними зацікавленими сторонами, такими як системні адміністратори або групи безпеки, щоб переконатися, що проблеми усунені і усунені.

Контрольний список, який можна використовувати під час тестування вразливостей з неправильними налаштуваннями безпеки:

Перевірте облікові дані за замовчуванням або слабкі паролі

Перевірка на відсутність виправлень безпеки або застаріле програмне забезпечення

Перевірка на наявність небезпечних засобів контролю доступу до мережі, таких як неправильно налаштовані брандмауери або списки контролю доступу

Перевірка на наявність неправильно налаштованих облікових записів користувачів або дозволів

Перевірка на наявність небезпечних дозволів для файлів або каталогів

Перевірка на наявність неправильно налаштованих параметрів додатки, таких як управління сеансами або перевірка вхідних даних

Перевірка на наявність небезпечних налаштувань ведення журналу або моніторингу

Перевірка на наявність неправильно сконфігурованих середовищ віртуалізації або контейнерів

Перевірка на наявність небезпечної конфігурації хмарних сервісів

Перевірка на наявність потенційних точок витоку або эксфильтрации даних

Слідуючи всеосяжної методології та контрольного списку, організації можуть виявляти і усувати потенційні уразливості з неправильними налаштуваннями безпеки до того, як вони будуть використані зловмисниками.

Набір інструментів для експлуатації Неправильне налаштування безпеки вразливі місця

Автоматизовані інструменти:

1. Nessus – Nessus - це широко використовуваний сканер вразливостей, який може допомогти виявити потенційні неправильні налаштування безпеки і уразливості.

2. OpenVAS – OpenVAS - це сканер вразливостей з відкритим вихідним кодом, який може виявляти потенційні неправильні налаштування безпеки і уразливості в мережі.

3. Nmap – Nmap - це інструмент мережевого сканування, який може допомогти ідентифікувати відкриті порти і служби в цільовій системі.

4. Metasploit – Metasploit - це платформа тестування на проникнення, яка може використовуватися для виявлення і використання неправильних налаштувань безпеки і вразливостей.

5. Burp Suite – Burp Suite - це популярний інструмент тестування безпеки веб-додатків, який можна використовувати для виявлення і використання неправильних налаштувань безпеки і вразливостей.

6. OWASP ZAP – OWASP ZAP - це сканер безпеки веб-додатків, який може виявляти потенційні неправильні налаштування безпеки і уразливості.

7. SQLMap – SQLMap - це автоматизований інструмент впровадження SQL, який можна використовувати для виявлення і використання потенційних неправильних налаштувань безпеки і уразливостей у веб-додатках.

8. Hydra – Hydra - це інструмент для злому мережевих паролів, який може допомогти ідентифікувати слабкі або стандартні паролі в мережевих службах.

Ручні Інструменти:

1. Telnet – Telnet - це мережевий протокол, який може використовуватися для віддаленого доступу до цільової системи і управління нею. Його можна використовувати для виявлення потенційних неправильних налаштувань безпеки і вразливостей.

2. Netcat – Netcat - це мережевий інструмент, який можна використовувати для сканування портів, віддаленого доступу і інших завдань, пов'язаних з мережею. Його можна використовувати для виявлення потенційних неправильних налаштувань безпеки і вразливостей.

3. Wireshark – Wireshark - це аналізатор мережевих пакетів, який можна використовувати для збору і аналізу мережевого трафіку. Його можна використовувати для виявлення потенційних неправильних налаштувань безпеки і вразливостей.

4. Sqlmap – SQLMap - це автоматизований інструмент впровадження SQL, який можна використовувати для виявлення і використання потенційних неправильних налаштувань безпеки і уразливостей у веб-додатках.

5. Metasploit – Metasploit - це платформа тестування на проникнення, яка може використовуватися для виявлення і використання неправильних налаштувань безпеки і вразливостей.

6. PowerShell – PowerShell - це мова сценаріїв, який можна використовувати для автоматизації завдань і виконання різних адміністративних функцій. Він може бути використаний для виявлення і використання потенційних неправильних налаштувань безпеки і вразливостей.

7. Інструменти командного рядка Unix / Linux - Різні інструменти командного рядка, такі як "grep", "awk" і "sed", можуть використовуватися для виявлення потенційних неправильних налаштувань безпеки і вразливостей в системах Unix / Linux.

8. Засоби командного рядка Windows - Різні засоби командного рядка, такі як "netstat", "tasklist" і "ipconfig", можуть використовуватися для виявлення потенційних неправильних налаштувань безпеки і вразливостей в системах Windows.

Плагіни для браузера:

1. Firefox Security Toolkit – Firefox Security Toolkit являє собою набір компонентів для браузера, які можна використовувати для підвищення безпеки Firefox. Він включає в себе доповнення для сканування вразливостей, управління паролями та інших завдань, пов'язаних з безпекою.

2. Інструменти розробника Chrome – Інструменти розробника Chrome - це вбудований набір інструментів, які можна використовувати для налагодження та усунення неполадок веб-додатків. Він може бути використаний для виявлення і використання потенційних неправильних налаштувань безпеки і вразливостей.

3. OWASP ZAP – OWASP ZAP - це сканер безпеки веб-додатків, який можна використовувати в якості плагіна для браузера. Він може виявляти потенційні неправильні налаштування безпеки і уразливості в веб-додатках.

4. Acunetix – Acunetix - це сканер безпеки веб-додатків, який пропонує плагін для браузера для виявлення потенційних неправильних налаштувань безпеки і вразливостей.

Тестові фреймворки:

1. Керівництво по тестуванню OWASP – Керівництво по тестуванню OWASP являє собою комплексну платформу тестування, яка включає в себе безліч інструментів і методів для виявлення потенційних неправильних налаштувань безпеки і вразливостей.

2. MITRE ATT & CK – MITRE ATT & CK - це база знань про тактиці та методах, які використовуються суб'єктами загроз. Він включає в себе різні методи виявлення і використання неправильних налаштувань безпеки і вразливостей.

3. NIST SP 800-115 – NIST SP 800-115 являє собою керівництво щодо тестування та оцінки інформаційної безпеки, яке включає в себе структуру для виявлення потенційних неправильних налаштувань безпеки і вразливостей.

4. PTES – Стандарт виконання тестування на проникнення (PTES) являє собою комплексну платформу тестування, яка включає в себе безліч інструментів і методів для виявлення потенційних неправильних налаштувань безпеки і вразливостей.

5. OSSTMM – Керівництво по методології тестування безпеки з відкритим вихідним кодом (OSSTMM) являє собою платформу тестування, яка включає в себе безліч інструментів і методів для виявлення потенційних неправильних налаштувань безпеки і вразливостей.

Середній бал CVSS Неправильне налаштування безпеки вразливі місця

CVSS (Common Vulnerability Scoring System) - широко поширений відкритий галузевий стандарт для оцінки серйозності уразливості. CVSS присвоює уразливості оцінку на основі її потенційного впливу та простоти використання. Оцінка CVSS визначається на основі трьох основних категорій: базова, Тимчасова і екологічна.

Середній бал CVSS для вразливостей з неправильною конфігурацією може змінюватись в залежності від конкретної уразливості та її впливу на систему або програму. Проте в цілому уразливості з неправильною конфігурацією, як правило, мають більш низький середній бал CVSS порівняно з іншими типами вразливостей, такими як віддалене виконання коду або впровадження SQL.

Одна з причин цього полягає в тому, що уразливості з неправильною конфігурацією часто вимагають, щоб зловмисник мав певний рівень доступу або знань про системі або додатку, що може ускладнити їх використання. Крім того, уразливості з неправильною конфігурацією не завжди можуть призвести до прямого компрометації системи або програми, а швидше можуть створити можливості для інших типів атак.

Однак навіть незначні уразливості з неправильною конфігурацією можуть становити значний ризик для безпеки організації, оскільки їх часто можна використовувати в поєднанні з іншими уразливими для запуску успішної атаки. Наприклад, неправильна конфігурація, яка дозволяє зловмиснику отримати доступ до конфіденційних даних, що може поєднуватися з іншого вразливістю, яка дозволяє зловмисникові підвищити свої привілеї і отримати більший контроль над системою.

В цілому, уразливості з неправильною конфігурацією, що мають оцінку CVSS 4 або вище, вважаються уразливими середнього або високого ступеня ризику і повинні бути усунуті негайно. Однак важливо пам'ятати, що оцінка CVSS - це всього лише один фактор, який слід враховувати при оцінці серйозності уразливості, і інші фактори, такі як потенційний вплив на організацію, також повинні братися до уваги.

Загальна перерахування слабких місць (CWE) для Неправильне налаштування безпеки вразливі місця

У цьому списку представлені деякі з найбільш поширених CWE:

CWE-255: Керування обліковими даними: Зберігання конфіденційних облікових даних небезпечним способом, наприклад, у вигляді звичайного тексту або файла конфігурації, може призвести до несанкціонованого доступу до систем і даних.

CWE-428: Неправильний контроль доступу: ця слабкість пов'язана з відсутністю належних засобів контролю доступу, таких як аутентифікація користувача або доступу на основі ролей, що може дозволити несанкціонований доступ до конфіденційних ресурсів.

CWE-521: Слабкі вимоги до паролю: Слабкі вимоги до паролю, такі як короткі або легко вгадувані паролі, можуть полегшити зловмисникам доступ до систем і даних.

CWE-522: Недостатньо захищені облікові дані: ця слабкість пов'язана із зберіганням конфіденційних облікових даних, таких як паролі або ключі API, небезпечним способом, до якого зловмисники можуть легко отримати доступ.

CWE-697: Недостатнє порівняння: ця слабкість виникає, коли дані порівнюються неправильно, наприклад, при перевірці паролю або автентифікації, що може призвести до несанкціонованого доступу.

CWE-732: Небезпечне призначення дозволів для критично важливих ресурсів: ця вразливість виникає, коли конфіденційні ресурси, такі як файли або каталоги, які не захищені належним чином належними дозволами, що може призвести до несанкціонованого доступу.

CWE-799: Неправильний контроль частоти взаємодії: Ця слабкість пов'язана з відсутністю належного контролю за частотою і кількістю взаємодій з системою або додатком, що може призвести до відмови в обслуговуванні або інших атак.

CWE-829: Включення функціональності сфери ненадійного контролю: ця слабкість виникає, коли в систему або програму включається ненадійний код, що може призвести до різних проблем безпеки.

CWE-913: Неправильна авторизація: ця слабкість пов'язана з відсутністю належних перевірок авторизації, що може призвести до несанкціонованого доступу до конфіденційних ресурсів.

CWE-942: Занадто дозвільний міждоменної білий список: ця слабкість виникає, коли білий список, який використовується для обмеження міждоменної доступу, є занадто дозвільним, що може дозволити несанкціонований доступ до конфіденційних ресурсів.

CVE, пов'язані з Неправильне налаштування безпеки вразливі місця

CVE-2023-25768 – Відсутність перевірки дозволів в плагіні облікових даних Jenkins Azure 253.v887e0f9e898b і більш ранніх версіях дозволяє зловмисникам із загальним дозволом / дозвіл на читання підключатися до зазначеного зловмисником веб-сервера.

CVE-2023-25767 – Вразливість підробки міжсайтових запитів (CSRF) в плагіні 253.v887e0f9e898b облікових даних Jenkins Azure і більш ранніх версіях дозволяє зловмисникам підключатися до зазначеного зловмисником веб-сервера.

CVE-2023-25766 – Відсутня перевірка дозволів в плагіні облікових даних Jenkins Azure 253.v887e0f9e898b і більш ранніх версіях дозволяє зловмисникам із загальним дозволом / дозвіл на читання перераховувати ідентифікатори облікових даних облікових даних, що зберігаються в Jenkins.

CVE-2023-25765 – У Jenkins Email Extension Plugin 2.93 і більш ранніх версіях шаблони, визначені всередині папки, не були захищені скриптами, що дозволяла зловмисникам визначати шаблони електронної пошти у папках, щоб обійти захист ізольованою середовища і виконати довільний код у контексті Jenkins controller JVM.

CVE-2023-25764 – Плагін розширення електронної пошти Jenkins 2.93 і більш ранніх версій не дозволяє екранувати, очищати або ізолювати висновок шаблону електронної пошти або висновок журналу, створений під час рендеринга шаблону, що призводить до вразливості збережених міжсайтових сценаріїв (XSS), яку зловмисники можуть використовувати для створення або зміни шаблонів електронної пошти.
CVE-2023-25763 – Плагін розширення електронної пошти Jenkins 2.93 і більш ранніх версій не дозволяє уникнути різних полів, включених в пов'язані шаблони електронної пошти, що призводить до вразливості збереженого міжсайтового скриптинга (XSS), яку можуть використовувати зловмисники, здатні контролювати порушені поля.

CVE-2023-25762 – Конвеєр Дженкінса: плагін кроку складання 2.18 і більш ранніх версій не екранує імена завдань у вираженні JavaScript, що використовується в генераторі фрагментів конвеєра, що призводить до вразливості збереженого міжсайтового скриптинга (XSS), яку можуть використовувати зловмисники, здатні контролювати імена завдань.

CVE-2023-25761 – Jenkins JUnit Plugin 1166.va_436e268e972 і більш ранні версії не уникають імен класів тестових сценаріїв у виразах JavaScript, що призводить до вразливості збережених міжсайтових сценаріїв (XSS), що використовується зловмисниками, здатними контролювати імена класів тестових сценаріїв в ресурсах JUnit, оброблюваних плагіном.

CVE-2023-25758 – Пристрої Onekey Touch з версії 4.0.0 та пристрої Onekey Mini з версії 2.10.0 дозволяють зловмисникам "людина посередині" отримати початкову фазу. Доступ "людина посередині" може бути отриманий тільки після демонтажу пристрою (тобто Тут "людина посередині" не відноситься до позиції зловмисника в IP-мережі). ПРИМІТКА: постачальник заявляє, що "наша команда розробників обладнання оновила виправлення безпеки, і це нікого не зачепило".

CVE-2023-25725 – HAProxy до версії 2.7.3 може дозволяти обхід контролю доступу, оскільки в деяких ситуаціях заголовки HTTP / 1 ненавмисно губляться, що називається "контрабандою запитів". Аналізатори HTTP-заголовків у HAProxy можуть приймати порожні імена полів заголовка, які можуть використовуватися для скорочення списку HTTP-заголовків і, таким чином, зникнення деяких заголовків після аналізу та обробки для HTTP / 1.0 і HTTP 1.1. Для HTTP / 2 і HTTP / 3 вплив обмежений, оскільки заголовки зникають перед аналізом і обробкою, як якщо б вони не були відправлені клієнтом. Фіксованими версіями є 2.7.3, 2.6.9, 2.5.12, 2.4.22, 2.2.29, і 2.0.31.

Найбільш поширені уразливість і вразливість (CVE), пов'язані з неправильними налаштуваннями безпеки, часто резервуються для використання в майбутньому. Це пов'язано з тим, що неправильні налаштування безпеки можуть бути дуже специфічними і можуть мати різні наслідки, починаючи від незначних незручностей і закінчуючи серйозними порушеннями безпеки.

Резервування CVE надає можливість підготуватися до майбутніх вразливостей за рахунок наявності унікального ідентифікатора, який може бути наданий при виявленні уразливості. Після призначення CVE його можна використовувати для відстеження уразливості і координації дій з іншими зацікавленими сторонами. Однак використовуються не всі зарезервовані CVE, оскільки деякі уразливості виявляються і усуваються до того, як їм може бути присвоєно CVE.

Інша причина, по якій CVE, пов'язані з неправильними налаштуваннями безпеки, зарезервовані, полягає в тому, що ці типи вразливостей часто буває важко ідентифікувати і класифікувати. Неправильні налаштування не завжди можуть бути викликані помилкою в самій системі або додатку, а швидше із-за неправильної реалізації або настройки користувачем. Це може утруднити призначення CVE для конкретної неправильної конфігурації, особливо коли існує багато можливих варіантів одного і того ж типу неправильної конфігурації.

Список CVE постійно оновлюється і доповнюється актуальний список всіх існуючих поширених загроз і вразливостей (CVE) для вразливостей, пов'язаних з контрабандою HTTP-запитів, можна знайти на офіційному веб-сайті CVE https://cve.mitre.org/

Список популярних експлойтів , пов'язаних з Неправильне налаштування безпеки вразливі місця

Ось список популярних експлойтів, пов'язаних із вразливостями неправильної налаштування безпеки.

  1. Apache Struts S2-057: Цей експлойт націлений на уразливість в Apache Struts, яка дозволяє віддалене виконання коду з-за неправильної перевірки користувальницького введення. Зловмисники можуть скористатися цією уразливістю, відправляючи спеціально створені запити на сервер.

  2. Heartbleed: цей експлойт націлений на уразливість в OpenSSL, яка дозволяє зловмисникові зчитувати конфіденційну інформацію, таку як паролі або закриті ключі, з пам'яті цільового сервера. Ця вразливість, пов'язана з помилкою кодування, яка призвела до переповнення буфера в реалізації OpenSSL.

  3. Shellshock: цей експлойт націлений на уразливість в оболонці Bash, яка дозволяє віддалене виконання коду з-за неправильної обробки змінних середовища. Зловмисники можуть скористатися цією уразливістю, відправляючи спеціально створені запити на сервер.

  4. Неправильно сконфігуровані сегменти AWS S3: цей експлойт націлений на неправильно сконфігуровані сегменти Amazon Web Services (AWS) Simple Storage Service (S3), які допускають несанкціонований доступ до конфіденційних даних. Зловмисники можуть скористатися цією уразливістю, використовуючи інструменти для сканування загальнодоступних сегментів S3 і доступу до них.

  5. Drupalgeddon: Цей експлойт націлений на уразливість в системі управління контентом Drupal, яка дозволяє віддалене виконання коду з-за неправильної перевірки вводу. Зловмисники можуть скористатися цією уразливістю, відправляючи спеціально створені запити на сервер.

  6. SMBGhost: Цей експлойт націлений на уразливість в протоколі блокування повідомлень Microsoft Server (SMB), який дозволяє віддалене виконання коду з-за неправильної перевірки вводу користувачем. Зловмисники можуть скористатися цією уразливістю, відправляючи спеціально створені запити на сервер.

  7. Віддалене виконання коду Apache Solr: цей експлойт націлений на уразливість в пошуковій платформі Apache Solr, яка дозволяє віддалене виконання коду з-за неправильної перевірки вводу. Зловмисники можуть скористатися цією уразливістю, відправляючи спеціально створені запити на сервер.

  8. Неправильно сконфігурований сервер API Kubernetes: цей експлойт націлений на неправильно сконфігуровані сервери API Kubernetes, які дозволяють несанкціонований доступ до кластеру Kubernetes. Зловмисники можуть скористатися цією уразливістю, використовуючи інструменти для сканування загальнодоступних серверів API Kubernetes і доступу до них.

  9. Перерахування користувачів WordPress: цей експлойт націлений на уразливість в WordPress, яка дозволяє зловмисникові перераховувати справжні імена користувачів, які можуть бути використані в подальших атаках. Ця вразливість, пов'язана з тим, що сторінка входу в WordPress надає різні повідомлення про помилки для невірних імен користувачів і паролів.

  10. Перерахування користувачів OpenSSH: цей експлойт націлений на уразливість в OpenSSH, яка дозволяє зловмисникові перераховувати справжні імена користувачів, які можуть бути використані в подальших атаках. Ця вразливість, пов'язана з тим, що SSH-сервер по-різному реагує на дійсні та недійсні імена користувачів.

Практикуйтеся у виявленні й використанні Неправильне налаштування безпеки вразливі місця

Існує багато корисних способів отримати практичний досвід роботи з уразливими неправильних налаштувань безпеки, в залежності від ваших цілей і ресурсів. Ось кілька рекомендацій:

  1. Налаштування лабораторної середовища: це хороший спосіб отримати практичний досвід роботи з різними системами і додатками. Ви можете створити середовище віртуальної машини з різними операційними системами і додатками і попрактикуватися у виявленні і використанні неправильних конфігурацій. Це дозволяє вам вільно експериментувати, не ризикуючи пошкодити живі системи.

  2. Використовуйте онлайн-ресурси. Існує безліч онлайн-ресурсів, що пропонують вразливі віртуальні машини, завдання та лабораторії для тестування безпеки. Такі сайти, як VulnHub, Hack The Box і PentesterLab, надають ряд завдань та лабораторних робіт, що імітують реальні системи з різними рівнями складності.

  3. Відвідуйте конференції та заходи безпеки: Відвідування конференцій та заходів безпеки може стати відмінним способом повчитися у досвідчених спеціалістів з безпеки, поспілкуватися з колегами і познайомитися з новими інструментами і методами. Багато заходи також пропонують практичні семінари та тренінги, які зосереджені на практичному досвіді.

  4. Беріть участь в програмах винагороди за помилки: Багато компаній пропонують програми винагороди за помилки, які платять дослідникам за виявлення вразливостей в їх системах і повідомлення про уразливість. Це може бути відмінним способом отримати реальний досвід і отримати за це гроші. Такі сайти, як HackerOne і Bugcrowd, надають доступ до безлічі різних програм винагороди за помилки.

  5. Використовуйте інструменти з відкритим вихідним кодом. Існує безліч інструментів і платформ безпеки з відкритим вихідним кодом, які можуть допомогти вам виявити і використовувати уразливості неправильної конфігурації. Такі інструменти, як OWASP ZAP, Nmap і Metasploit, пропонують ряд функцій для тестування і використання різних типів вразливостей.

Пам'ятайте, що практичне вивчення вразливостей неправильних налаштувань безпеки вимагає як теоретичних знань, так і практичного досвіду. Комбінуючи і те, і інше, ви можете отримати більш глибоке розуміння концепцій і методів, пов'язаних з виявленням і використанням неправильних конфігурацій.

Книги з оглядом Неправильне налаштування безпеки вразливі місця

Ось кілька популярних книг, присвячених неправильним налаштувань безпеки і вразливостей:

  1. Керівництво хакера веб-додатків: пошук і використання недоліків безпеки"Дэфидд Штуттард і Маркус Пінто – Ця книга вважається класичною в області тестування безпеки веб-додатків. Він охоплює широкий спектр вразливостей, включаючи неправильні налаштування, і містить практичні рекомендації по їх виявленню і використанню.

  2. Керівництво по тестуванню OWASP v4"від Open Web Application Security Project (OWASP) – Це всеосяжне керівництво по тестування веб-додатків на наявність вразливостей в системі безпеки, включаючи неправильні налаштування. Він охоплює широкий спектр методологій і методів тестування є корисним ресурсом як для початківців, так і для досвідчених фахівців в галузі безпеки.

  3. Злом відкритих веб-додатків: Секрети і рішення безпеки веб-додатків"Джоел Скамбрей, Майк Шема і Калеб Сіма – У цій книзі представлений всеосяжний огляд вразливостей в системі безпеки веб-додатків, включаючи неправильні налаштування, і пропонуються практичні рекомендації по їх виявленню і використанню.

  4. Пошук помилок в реальному світі: практичне керівництво по веб-хакінгу"Пітер Яворські – Ця книга являє собою практичне керівництво по пошуку і використанню веб-вразливостей, включаючи неправильні налаштування. Вона включає тематичні дослідження і приклади, які допоможуть читачам зрозуміти, як виявляти і використовувати неправильні конфігурації в дикій природі.

  5. Black Hat Python: Програмування на Python для хакерів і пентестеровавтор: Джастін Зейтц – Ця книга присвячена використанню Python для тестування та експлуатації безпеки і охоплює широке коло тем, включаючи неправильні налаштування. Вона включає практичні приклади та фрагменти коду, які допоможуть читачам навчитися виявляти і використовувати неправильні конфігурації за допомогою Python.

Всі ці книги високо цінуються в співтоваристві безпеки і містять цінну інформацію і практичні рекомендації по виявленню і використанню вразливостей, пов'язаних з неправильними налаштуваннями безпеки.

Список корисних навантажень для Неправильне налаштування безпеки вразливі місця

Корисне навантаження для вразливостей з неправильними налаштуваннями безпеки може змінюватись в залежності від конкретної уразливості та цільової системи. Проте ось деякі поширені корисні навантаження, які можуть бути використані для використання неправильних конфігурацій:

  1. Впровадження команд: Корисні навантаження, що включають команди командного рядка, можуть використовуватися для використання неправильно налаштованої перевірки вхідних даних або недостатньої очищення вхідних даних. Наприклад, ";ls -la" або "$(cat /etc/passwd)".

  2. Обхід каталогів: Корисні навантаження, що включають "../" або "/", можуть використовуватися для використання неправильно налаштованої перевірки обходу колії та доступу до файлів або каталогів за межами передбачуваної області.

  3. Впровадження SQL: Корисні навантаження, що включають інструкції SQL, можуть використовуватися для використання неправильно сконфігурованих SQL-запитів. Наприклад, "' або 1=1 –" або "1'; ВИДАЛИТИ користувачів ТАБЛИЦІ –".

  4. Cross-site scripting (XSS): Payloads that include scripts or HTML code can be used to exploit misconfigured input validation or insufficient output sanitization. For example, “<script>alert(‘XSS’);</script>” or “<img src="x" onerror="alert(‘XSS’)">”.

  5. Включення файлів: Корисні навантаження, що включають шляхи до файлів або URL-адреси можуть використовуватися для використання неправильно налаштованої перевірки включення файлів. Наприклад, "../../../../../../ etc/passwd" або "http://example.com/evil.php“.

  6. Підробка запитів на стороні сервера (SSRF): корисні навантаження, що включають URL-адреси або IP-адреси можуть використовуватися для використання неправильно налаштованої перевірки вхідних даних у запитах на стороні сервера. Наприклад, “http://localhost/admin"або "http://169.254.169.254/latest/meta-data“.

  7. Відкрите перенаправлення: Корисні навантаження, що включають URL-адреси можуть використовуватися для використання неправильно налаштованого перенаправлення URL-адрес. Наприклад, “https://example.com/redirect?url=https://evil.com"або "/////////////////////////
    //////////////////////
    //////////////////////////
    ///////////////////
    //////////////////////
    //////////////////////////
    /////////////////////////
    //////////////////////
    ////////%

  8. Небезпечна десериализация: корисні навантаження, що включають серіалізовані об'єкти, що можуть використовуватися для використання неправильно налаштованої або неповної перевірки серіалізовать даних. Наприклад, "O:4:"Користувач":2:{s:4:"ім'я"; s:3: "Bob"; s:3:"вік";s:2:"20";}".

  9. Розкриття інформації: Корисні навантаження, які містять запити на конфіденційні дані або інформацію, можуть використовуватися для використання неправильно налаштованих елементів управління доступом або дозволів. Наприклад, "/etc/passwd" або "/proc/self/environ".

  10. Обхід аутентифікації: Корисні навантаження, що включають змінені або створені токени аутентифікації, можуть використовуватися для використання неправильно сконфігурованих механізмів аутентифікації. Наприклад, зміна значення cookie сеансу для обходу аутентифікації.

  11. Неправильна обробка помилок: Корисні навантаження, що включають спеціально створені вхідні дані чи запити, можуть використовуватися для запуску помилок або винятків, які розкривають конфіденційну інформацію або надають несанкціонований доступ. Наприклад, передавання великого обсягу даних для запуску переповнення буфера або трасування стека.

  12. Небезпечне сховище: корисні навантаження, що включають змінені або оброблені запити, можуть використовуватися для використання неправильно сконфігурованих механізмів зберігання, таких як слабке шифрування або зберігання конфіденційних даних у вигляді відкритого тексту. Наприклад, введення пароля у вигляді відкритого тексту або використання слабкого алгоритму шифрування.

  13. Неправильно сконфігуровані засоби контролю доступу: Корисні навантаження, що включають запити до несанкціонованим ресурсів або дій, що можуть використовуватися для використання неправильно сконфігурованих або неповних засобів контролю доступу. Наприклад, доступ до конфіденційних файлу або бази даних без належних дозволів або авторизації.

Пом'якшення наслідків та способи захисту від Неправильне налаштування безпеки вразливі місця

Для захисту від вразливостей неправильної конфігурації системи безпеки можна зробити наступні кроки щодо пом'якшення наслідків:

  1. Застосовуйте принцип найменших привілеїв: обмежте привілеї користувачів мінімумом, необхідним для виконання їх ролей і обов'язків. Це зменшить площу атаки, доступну потенційним зловмисникам.

  2. Підтримуйте програмне забезпечення і системи в актуальному стані: регулярно застосовуйте оновлення та виправлення програмного забезпечення для усунення відомих вразливостей. Це запобіжить використання зловмисниками цих вразливостей для отримання доступу до ваших систем.

  3. Дотримуйтесь рекомендацій з безпеки: використовуйте надійні паролі, використовуйте шифрування, використовуйте безпечні протоколи зв'язку і налаштуйте параметри безпеки у відповідності з рекомендаціями за галузевим стандартам. Це не дозволить зловмисникам скористатися недоліками безпеки в конфігурації вашої системи.

  4. Використовуйте засоби і платформи безпеки: Використовувати засоби безпеки, такі як міжмережеві екрани, системи виявлення вторгнень (IDS) і платформи, орієнтовані на безпеку, для захисту ваших систем і додатків.

  5. Регулярно перевіряйте, перевіряйте системні конфігурації: Регулярно перевіряйте, перевіряйте системні конфігурації, щоб переконатися, що параметри безпеки налаштовані правильно і що ні вразливостей, які можуть бути використані зловмисниками.

  6. Навчайте і навчайте співробітників: навчайте своїх співробітників передовим методам забезпечення безпеки і переконайтеся, що вони поінформовані про потенційні ризики безпеки, пов'язаних з неправильними налаштуваннями безпеки.

  7. Виконайте тестування на проникнення: Проводите регулярне тестування на проникнення для виявлення потенційних неправильних налаштувань безпеки й уязвимостей у ваших системах. Це дозволить вам виявити і усунути ці уразливості до того, як зловмисники зможуть ними скористатися.

Слідуючи цим крокам щодо пом'якшення наслідків, ви можете допомогти захистити свої системи і додатки від вразливостей неправильної конфігурації системи безпеки.

 

Висновок

Уразливості при неправильному налаштуванні безпеки є поширеною проблемою в сучасних веб-додатках, які можуть розкривати конфіденційну інформацію, порушувати цілісність даних і потенційно дозволяють зловмисникам отримувати несанкціонований доступ до систем. Вони можуть виникати за різних факторів, включаючи людську помилку, неправильно налаштовані сервери і застаріле програмне забезпечення. Наслідки неправильної налаштування безпеки можуть бути серйозними, але їх можна запобігти або пом'якшити з допомогою правильної настройки системи, регулярних оновлень і виправлень, суворого контролю доступу і дотримання рекомендацій з безпеки. Організаціям важливо зберігати пильність і проявляти ініціативу в усунення вразливостей, пов'язаних з неправильною конфігурацією системи безпеки, щоб забезпечити безпеку і цілісність своїх систем і даних.

Інші Послуги

Готові до безпеки?

зв'язатися з нами