Привіт! Мене звати Стівен...

Я — інструктор з кібербезпеки вдень і мисливець за помилками вночі. Це мій перший досвід написання повноцінної історії про хакерство, тож пристебніться, бо ця історія буде по-справжньому цікавою.

Перед тим, як зануритися, невелика заувага: я не розкриваю ім'я організації, яку тестував. Етика важлива, і відповідальне розкриття є ключовим. Також, все, що тут описано, має освітню мету, не пробуйте це на випадкових сайтах, якщо не хочете потрапити у юридичні неприємності.

Все почалося, коли я подивився відео на YouTube від Еки, дослідника, який знайшов IDOR, що витікало персональні дані клієнтів — повні імена, KYC інформація, все включено. Звісно, він зробив те, що робить будь-який відповідальний хакер: повідомив про це і потім завантажив відео на YouTube, щоб увесь світ міг побачити. Коли я зайшов, вразі уразі, вразі, уразі, вразі та вразі заплати для юриспинга та захисту власного правопису по завідомому сертифікацію користувнів у головних джгуравек ...

Привіт! Мене звати Стівен…

Я — інструктор з кібербезпеки вдень і мисливець за помилками вночі. Це мій перший досвід написання повноцінної історії про хакерство, тож пристебніться, бо ця історія буде по-справжньому цікавою.

Перед тим, як зануритися, невелика заувага: я не розкриваю ім'я організації, яку тестував. Етика важлива, і відповідальне розкриття є ключовим. Також, все, що тут описано, має освітню мету, не пробуйте це на випадкових сайтах, якщо не хочете потрапити у юридичні неприємності.

Все почалося, коли я подивився відео на YouTube від Еки, дослідника, який знайшов IDOR, що витікало персональні дані клієнтів — повні імена, KYC інформація, все включено. Звісно, він зробив те, що робить будь-який відповідальний хакер: повідомив про це і потім завантажив відео на YouTube, щоб увесь світ міг побачити. Коли я зайшов, вразі уразі, вразі, уразі, вразі та вразі заплати для юриспинга та захисту власного правопису по завідомому сертифікацію користувнів у головних джгуравек ...

Розуміння IDOR

Небезпечні прямі посилання на об'єкти (IDOR) — це тип вразливості контролю доступу, коли зловмисники можуть отримати доступ або змінити дані, що належать іншим користувачам, маніпулюючи значеннями введених даних (наприклад, ID користувачів) у запитах API. Це відбувається, коли додаток не перевіряє, чи має користувач дозвіл на доступ до певних ресурсів.

Сценарії атак з SSRF

1. Вивчення внутрішньої мережі

Зловмисники можуть скористатися SSRF для сканування і картографії внутрішніх мереж, які зазвичай недоступні з Інтернету. Аналізуючи часи відгуку, статус-коди та повідомлення про помилки, вони можуть визначати активні хости і сервіси в приватних сегментах мережі організації.

1. Зловживання службою метаданих хмарних середовищ

У хмарних середовищах зазвичай існують сервіси метаданих, до яких можна отримати доступ лише зсередини екземпляра. Ці сервіси містять чутливу інформацію, зокрема облікові дані для доступу, ідентифікатори екземплярів та конфігураційні дані.

Як захистити систему від таких вразливостей

1. Правильна валідація введених даних і створення списку дозволених URL

• Застосовуйте строгі перевірки URL, наданих користувачем, використовуючи бібліотеки для парсингу.
• Створюйте список дозволених доменів і протоколів, замість того щоб блокувати відомі небезпечні значення.
• Перевіряйте не тільки початковий URL, а й будь-які редиректи, які можуть відбутися під час обробки запиту.

1. Мережеві рівні захисту

• Налаштуйте брандмауери для запобігання вихідних з'єднань з внутрішніми IP-адресами з публічних серверів.
• Блокуйте доступ до загальних адрес служб метаданих (169.254.169.254, 169.254.170.2 тощо).
• Впровадьте фільтрацію вихідного трафіку, щоб контролювати, до яких ресурсів сервери можуть підключатися.
• Розміщуйте вразливі додатки в ізольованих мережевих сегментах із чіткими контрольними точками доступу.

1. Безпечні проектні патерни

• Використовуйте спеціалізовані проксі-сервери або API шлюзи для завантаження зовнішніх ресурсів, що застосовують суворі заходи безпеки.
• Використовуйте підписування запитів або попередньо підписані URL для авторизованого доступу до зовнішніх ресурсів.
• Повертайте лише необхідну інформацію у відповідях HTTP, щоб запобігти витоку даних.

1. Заходи глибокого захисту

• Встановіть брандмауери веб-додатків (WAF) з детекцією атак, специфічних для SSRF.
• Застосовуйте принцип найменших привілеїв для облікових записів сервісів, які використовуються веб-додатками.
• Налаштуйте служби метаданих для вимоги додаткової аутентифікації (IMDSv2 для AWS).
• Моніторте вихідні з'єднання для виявлення незвичних шаблонів або напрямків.

1. Сучасні засоби захисту хмарної інфраструктури

• У AWS обов'язково застосовуйте IMDSv2, що вимагає запитів із токеном сесії до служб метаданих.
• Використовуйте відповідні ролі IAM і політики, які обмежують дозволи для зкомпрометованих облікових даних.
• Налаштуйте кінцеві точки VPC з обмеженими групами безпеки для обмеження доступу до API хмари.

Висновок

Server-Side Request Forgery є складним вектором атак, який дає зловмисникам безпрецедентний доступ до внутрішніх систем і чутливих даних. Організації повинні впроваджувати комплексні стратегії захисту, що охоплюють SSRF на кількох рівнях, від валідації введених даних до архітектури мережі і налаштування хмарних служб.

Регулярні оцінки безпеки, зокрема пентестинг, орієнтований на вразливості SSRF, повинні проводитися для виявлення потенційних слабких місць до того, як їх зможе експлуатувати зловмисник. Об'єднуючи технічні контролі з підвищенням обізнаності про безпеку та правильним проектуванням додатків, організації можуть значно знизити ризик атак SSRF.

Джерела

1. OWASP SSRF Prevention Cheat Sheet: https://cheatsheetseries.owasp.org/cheatsheets/ServerSideRequestForgeryPreventionCheatSheet.html
2. Cloud Security Alliance: “Top Threats to Cloud Computing”
3. NIST Special Publication 800–95: “Guide to Secure Web Services”
4. PortSwigger Web Security Academy: SSRF Vulnerability Research

SSD Secure Disclosure допомагає дослідникам безпеки перетворювати їхні знахідки RCE на кар'єру з 2007 року. Ознайомтесь із списком продуктів SSD, що оновлюється щомісяця новими продуктами та постачальниками.
Це означає, що патерни в даних залишаються видимими, що робить їх аналіз і злом надзвичайно простим. Це настільки слабкий метод, що криптографи буквально використовують зображення пінгвіна для демонстрації його неспроможності.

Спочатку я намагався розшифрувати токен аутентифікації, але пізніше зрозумів, що його структура відрізняється від структури паролів. Тому я створив PoC для розшифровки захопленого пароля і шифрування свого власного, що дозволило мені здійснити брутфорс-атаку на кінцеву точку входу. Я був впевнений, що серед 40 тис. електронних адрес хоча б один користувач використовував Password1234.

Висновок

В кінці цієї неймовірної подорожі я відповідально подав свої знахідки. Організація виправила більшість критичних проблем, але це нагадування про те, що безпека не є разовим процесом. Нові вразливості виникають із розвитком систем, і зловмисники завжди знайдуть спосіб проникнути.

Для мене це була лише ще одна кроляча нора. І я завжди шукаю наступну 🤪. Дякую, що прийшли на мою TED-лекцію!

Перекладено з: 🎭 The Curious Case of a Patched IDOR and the Rabbit Hole That Followed