Журнал "Information Security/ Информационная безопасность" #5, 2019

не нарушая внешний периметр банка. ВWeb-приложении одного из иностранных филиалов этого банка была найдена SSRF-уязви- мость, через которую была про- сканирована внутренняя сеть и выявлен список серверов баз данных MSSQL. Через эту же уязвимость был организован под- бор учетных данных к банковским базам данных, который увенчался успехом, что впоследствии при- вело к возможности доступа к любому банковскому аккаунту. Для взаимодействия со служ- бами внутри сети используются разные схемы URI, такие как dict://, ftp:// and gopher://. Не всегда ответ на запрос доступен полностью, иногда выда- ется только ошибка. Вот по этой ошибке и можно судить об успеш- ности/неуспешности запроса. К примеру, если сканировать порты сервера через SSRF, то об откры- том порте может свидетельство- вать "Ошибка обработки данных", а о закрытом – "Не удалось уста- новить соединение", и т.д. Запрос на системные Web-интерфейсы самого сервера (localhost) Множество систем и сервисов обладают Web-интерфейсами на локальном IP-адресе, доступ к которому несанкционированно раскрывает информацию ата- кующему. Например, для Apache HTTP можно получить список послед- них запросов с GET-параметра- ми, полным URL-адресом и IP посетителей в данный момент: GET /?url=http://localhost/ser- ver-status. Данная информация может открыть путь до админки, бэка- па или даже идентификатора сессии авторизованного поль- зователя. Аналогичная ситуация для любителей AWS/Amazon EC2 и OpenStack: GET /?url=http://169.254.169.254/ latest/meta-data/. Возможно множество других вариантов, все зависит от кон- кретной системы и ее настройки. Запрос к файлам локальной файловой системы сервера Тут все просто: внешнюю ссыл- ку можно попробовать подменить на путь к локальному файлу, используя схему URI file:///: GET /?url=file:///etc/passwd Такой способ позволяет про- честь многие конфиги и исходные коды Web-приложения и найти учетные данные для полноценной авторизации на сервере и после- дующего его захвата. Из необычных кейсов: на внешнем пентесте клиента выявили SSRF, через которую была скачана часть исходных кодов Web-приложения. Про- анализировав исходники, мы обнаружили несанкционирован- ную возможность загрузки фай- лов на сервер, через которую он уже и был захвачен. Запрос на контролируемый злоумышленником сервер Обычно запрос, инициируе- мый через SSRF, отправляется в определенном формате на API-сервер и может содержать в себе авторизационные данные, начиная от строчки Basic-авто- ризации и заканчивая сессион- ными токенами. Злоумышлен- ник формирует запрос на под- контрольный ему сервер и изу- чает пришедший к нему запрос, находит в нем авторизационные данные и может уже напрямую обращаться к API-серверу, если он доступен из сети атакующего, или использовать эти авториза- ционные данные для подбора к другим сервисам или в связке с прочими атаками. На нашем опыте мы так полу- чали доступы к разному функ- ционалу и серверам, от Sentry до административных API. Челлендж для разработчиков и пользователей Конечно, в реальной жизни такие легкие SSRF, как в опи- санных примерах, встречаются реже. Обычно уязвимый пара- метр спрятан в глубине большого запроса в JSON- или XML-фор- мате. Имеются разнообразные фильтры, которые усложняют подмену данных в запросе и пытаются навязывать их опре- деленный формат. Подобные случаи затрудняют поиск и экс- плуатацию уязвимостей, но их суть остается прежней. Поэтому нужно внимательно относится к безопасности разработки, повы- шать осведомленность разра- ботчиков о разных типах уязви- мостей и их возможных послед- ствиях, проводить независимые аудиты безопасности ключевых информационных систем и тестирование на проникновение инфраструктуры компании. l • 29 ТЕХНОЛОГИИ www.itsec.ru Ваше мнение и вопросы присылайте по адресу is@groteck.ru В этом номере мы по традиции рассмотрим несколько весьма интересных тем, которые касают- ся как новых трендов информа- ционной безопасности, так и хоро- шо забытых старых. В частности, взглянем на методы машинного обучения, которые применяет один из флагманов российской цифровой индустрии – Сбербанк, методы атак на Web-приложения от "Практической лаборатории безопасности" и старые добрые способы прослушки телефонии VoIP от Trend Micro. Генеральный директор "Прак- тической лаборатории безопас- ности" (и по удачному стечению обстоятельств – активно практикующий исследователь) Евгений Соболев напомнит о том, что не всегда стоит торопить своих разработчиков при создании новых кил- лер-фич. Важно не забывать уделять должное внимание безопасности и не оставлять даже узких лазеек для любопытных глаз. Евгений опишет способы использова- ния Server-Side Request Forgery при организации атак на Web-приложения, поделится практическими знаниями и расскажет о своем опыте на примере одного не очень удачливого банка. Так уж сложилось, что мы часто не обращаем внимание на давно забытые механизмы, которые, как показывает практика, умеют с успехом напоминать о себе и становиться серьезным оружием в руках злоумышленников. Ну а мы с вами это учтем при работе и не допустим в своих системах аналогичных уязвимых мест. Андрей Пинчук на примере вышеупомянутого Сбер- банка опишет механизмы машинного обучения Entity Embedding, которые могут быть эффективно использо- ваны для противодействия мошенничеству. Данная статья заставит вас погрузиться в математику, о которой совсем не стоит забывать в наше время появления новых и все более хитроумных алгоритмов ML. После прочтения статьи лучше сразу подумать, как применить данный подход в своих системах: как совершенно справедливо заявляет автор, использование антифрод- решений давно уже вышло за рамки сугубо финансового и банковского секторов. Подход векторного анализа позволит начать под другим углом анализировать поток данных, что даст возможность выявить в системе скры- тые нелинейные зависимости, потенциально имеющие далеко идущие последствия. Этот механизм, на мой взгляд, будет полезен специалистам, проектирующим не только системы антифрод, но и различные самооб- учающие механизмы в SOC. Наконец, направим своей взгляд на всеми любимую технологию цифровой аудиосвязи VoIP, которой сейчас все повсеместно пользуются, сами того не замечая, но о безопасности которой порой забывают, пребывая в коварном заблуждении: раз технология не нова, то все вопросы безопасности коммуникаций уже давно проду- мали за нас. Чтобы рассеять сомнения, компания Trend Micro собрала статистику и аккумулировала аналитику из различных источников. Статья заставит еще раз взглянуть на механизмы защиты АТС и телефонии в целом, что, возможно, даже побудит вас провести соот- ветствующие изменения в собственной инфраструктуре. На этом наша рубрика не заканчивается, и впереди вас ждет еще много увлекательных и полезных материа- лов: за гонкой вооружений наблюдать не менее интересно, чем принимать в ней непосредственное участие. l Сергей Рысин, эксперт по информационной безопасности Колонка редактора