Hola Amigos,
Con un poco mas de tiempo el día de hoy y como relax de mis ajetreos.
Me anime a retomar el Blog, nuevamente con mis vicisitudes y uno de mis Tales From de Crypt.
Para ello les traigo la historia de como a partir de un script .BAT como punto de partida y vector de ataque, este se convierte en el Script asesino de un conjunto de Server IBM AIX que hacían parte de los objetivos de la auditoria de seguridad.
Entre los objetivos se establecía:
“Encontrar fallos de seguridad en aplicaciones cliente/servidor programadas y en despliegue con cualquier tecnología y lenguaje de programación.”
El proceso se inicia comprometiendo una estación de trabajo y se procede a inhabilitar sus sistemas de contención, permitiendo así instalar hacktools.
 |
| Estación de Trabajo Cliente Comprometida |
Se realiza exploración del ambiente y análisis de los aplicativos existentes, para entender su arquitectura y funcionamiento. Determinando que existen malas practicas de implementación en el despliegue del software.
Cuando se inicia uno de sus aplicativos principales, hace uso de un script batch con la mala practica de quemar credenciales de autenticación en recursos compartidos de un usuario básico limitado que permite activar y mantener los servicios de impresión con los servidores Unix AIX IBM.
 | |
|
 | |
|
REGEDITXXX
[HKEY_LOCAL_MACHINE\SOFTWARE\ORACLE\XXXXX]
"XXXXXXXX_DATE_FORMAT"="DD-MM-YYYY"
"XXXXXXXX_DATE_FORMAT"="DD-MM-YYYY HH24:MI:SS"
"LANG" = "LATIN AMERICAN SPANISH_AMERICA.WE8ISO8859P1"
"XXXXXXX_LANGUAGE" = "LATIN AMERICAN SPANISH"
"XXXXXXX__TERRITORY" = "AMERICA"
"SATDLLPATH"="Z:\\xxxxx\\Client\\xxxxxxxxxxx\\Dlls\\"
"HOME_FORMS6I"="XXXXX"
Haciendo uso de los archivos script y sus credenciales de autenticación se procede a hacer login en el servidor AIX IBM, y explorar revisando archivos del sistema, de errores, de configuración, de logs, históricos, etc.
 |
| Ingresando al Servidor Linux AIX IBM |
 |
| Visualizando archivo de LOG |
 |
| Visualizando ID y archivo PASSWD |
 |
| Proceso de Cracking de Password por Diccionario |
 |
| Visualizando archivo historico .BASH_HISTORY |
 |
| Visualizacion archivo del perfil .PROFILE |
Posteriormente realizamos un análisis de la programación de tareas, para determinar información de operación critica del servidor y la aplicación:
/xxxxxxxxxxxx/users/xxxxxxx> cat crontab
# Min Hour day_of_Month month weekday command
# 30 10 * * 1-5 /oracle9/exports/xxxxxxxxxxxxxx.sh
# 00 22 * * * /xxxxx/exports/xxxxxxxxxx.sh
45 * * * * sh /xxxxxxxx/users/xxxxxxx/xxxxxxx/dataware/scripts/xxxxxxxxxxx.sh
30 23 * * * sh /xxxx/users/xxxxx/xxxxxxx/dataware/scripts/xxxxxxxxxxx.sh\
# 30 01 * * 1,2,3,4,5 /xxxxxxx/exports/xxxxxx.sh
De esta forma encontramos credenciales de un usuario AAAAAAA con su password AAAAAA, con rol y privilegios en el sistema mayor que el usuario XXXXXX con el que accedimos inicialmente, con relaciones de confianza y uso de las mismas credenciales en todos los servidores.
 |
| Se encuentra script con credenciales de nuevo usuario con un rol mayor y privilegios |
Haciendo uso de estas nuevas credenciales de autenticación y de la relación de confianza entre los servidores, se procede a ingresar en cinco (5) servidores AIX IBM.
 |
| Ingreso a diversos Servidores AIX IBM |
Indudablemente se llego mucho mas lejos, aprovechándome de otras fallas de seguridad en la Administración de estos Servidores, pero dejare esta parte de la historia para un nuevo articulo a partir de esta historia de terror.
Como puedes observar las malas practicas en las diversas capas de seguridad pueden causarnos un gran dolor de cabeza, puesto que por esta vez, la mala implementación para el despliegue del aplicativo por funcionalidad se obvio la seguridad, generando un alto riesgo en la materialización del riesgo y un gran impacto en la Organización.
Si te gusto solo:
Dino.
No hay comentarios.:
Publicar un comentario