Dual de los Ejércitos Homed


  Share  
|


los ejércitos de base dual introducir un agujero de seguridad importante en la arquitectura de red ya que pueden dar a los usuarios con derechos de acceso y privilegios en una red o dominio de los derechos y privilegios que tal vez no tienen la intención de tener en un dominio independiente. Esta vulnerabilidad suele aparecer como una máquina de escritorio empresarial relacionada con la organización interna de LAN y conectados de forma simultánea a través de una línea de módem a un ISP local. En esta configuración, cualquier usuario de Internet podrá acceder a la red corporativa a través de la conexión de acceso telefónico. Sin embargo, existen otras configuraciones en las que esta vulnerabilidad puede ocurrir.

Por ejemplo, en un compromiso, en particular, el cliente era un ISP que también proporciona servicios de hospedaje Web a miles de empresas. Las instalaciones de alojamiento consistía en un gran número (en los cientos) de los ejércitos basados en UNIX, con idéntica configuración, ejecutando los servidores Web de Netscape.

El modelo de los ISP, en lugar de proporcionar una gestión completa, era mantener las máquinas, pero permiten a los clientes a administrar los servidores Web de sí mismos.

Incluido en el paquete de alojamiento web era el lenguaje de secuencias de comandos tcl, que permite la gestión remota de los servidores web. Lo que tal vez era desconocido para los ISP es que a través del lenguaje de scripts tcl, los clientes conocedores y visitantes, incluso a los sitios Web alojados sería capaz de hacer algo más que la administración básica. Es posible utilizar el servidor Web, que se ejecuta con privilegios de root, para tener acceso de root en las máquinas a través de varias cadenas de dirección URL especialmente diseñada. Este es un ataque a la validación de entrada en el servidor Web.

Esto dio lugar al compromiso de la máquina host, en gran parte de la misma manera mal configurado los servidores Microsoft IIS puede llevar al compromiso de la máquina host. Sin embargo, esto no resulta ser el peor de la exposición en la red.

Una vez que una máquina de la red de alojamiento web se ha visto comprometida (por ejemplo, acceso a la raíz se logró), un conjunto de herramientas de hackers podrían ser cargados en la máquina, incluidas las herramientas para descifrar contraseñas. Una vez de haber adquirido acceso de root en una máquina, que fueron capaces de determinar que la red estaba conectada a una segunda red utilizada para apoyar las diversas unidades de negocios de la ISP. Además, encontramos que algunos usuarios de la red de alojamiento web tenían cuentas en la segunda red, así y utiliza las mismas contraseñas.

En este punto, el acceso a esta segunda red se logra simplemente por la existencia de cuentas con el mismo nombre de usuario y contraseña en ambas redes, y el kit de herramientas hacker podría volver a ser copiado e instalado.

Hemos sido capaces de determinar que una máquina en esta segunda red se alojan también en una tercera red. Esta red de tercera de la red corporativa, en la residencia para apoyar la nómina y la funcionalidad de contabilidad y mantener bases de datos de clientes y otros activos valiosos. Esta red estaba destinado a ser un autónomo, la red interna. Una máquina se dejó por error de base dual.

Esta máquina fue descubierto por la identificación que tenía dos tarjetas NIC con direcciones IP pertenecientes a dos rangos de direcciones separadas. Por lo tanto, las cuentas de usuario (y la cuenta de root) en esta caja tenía los derechos de ambas redes. Como era de esperar, la cuenta de root tenido la misma contraseña en todos los hosts en la segunda red, y por lo tanto, ganamos acceso de root a la base de la organización, la red interna.

En resumen, fue posible tener acceso de root a una máquina en la red de alojamiento web utilizando el software existente en los servidores Web de sí mismos, para ir a una segunda red a través de cuentas de usuario con el mismo nombre de usuario / contraseña de pares, y finalmente, después de descubrir una caja de base dual, para obtener acceso no autorizado a la red corporativa interna. En realidad, dado que los derechos de acceso válido había sido alcanzado, este acceso fue autorizado en el sentido de que los mecanismos de control de acceso no se detenga o identificarlo como innecesaria.

Después de los administradores de la compañía se dio cuenta de que había dejado accidentalmente una máquina en su red interna, privada de base dual en una red que tenía conexiones con el mundo exterior, y por lo tanto daña la integridad y confidencialidad de los activos de la empresa los datos críticos y la información del cliente, que se comprensiblemente sorprendido y mortificado.

Lecciones aprendidas

Hemos visto varios casos donde las organizaciones no tenían conocimiento de que una máquina de base dual existido o la organización había utilizado una gran cantidad de base dual como una solución fácil de solucionar problemas con ciertas aplicaciones comunicarse a través de firewalls. La moraleja de esta historia es que mucha atención a las necesidades de atención a la arquitectura de red de una organización. Después de diseñar e implementar una arquitectura segura, tanto en configuración del host y la topología de la red general, cualquier cambio debe pasar por un mecanismo de control de cambios para evitar riesgos de seguridad tales como el escenario de base dual de colarse en el medio ambiente.

presentado por Abraham Humphrey

Share  
© 2005-2010 E-articles.info All Rights Reserved - Terms and conditions