Un server dovrebbe essere considerato compromesso semplicemente perché una porta era aperta?

Question

Un server dovrebbe essere considerato compromesso semplicemente perché una porta era aperta?

#1 da (16 voti)

15

Oggi ho ricevuto una notifica di un incidente di sicurezza a Mandrill . All'inizio ero preoccupato, ma poi, dopo essermi immerso nei dettagli, mi sono confuso sul motivo per cui consideravano questo degno di nota.

Per riassumere, sembra che Mandrill abbia apportato alcune modifiche ai propri gruppi di sicurezza EC2, il che ha portato alcune porte dei loro server di registrazione a essere accessibili su Internet per alcune settimane.

On March 10, we discovered evidence that automated attempts were made against Mandrill's internal logging servers in an effort to use them in a botnet. Analysis of the servers that were impacted, including network traffic logs and files present on the servers, indicates that these attempts were unsuccessful. There are no signs that the servers were targeted to access the data stored on them.

We investigated the issue and found that the opportunity for this attack stemmed from a firewall change we made on February 20 in order to more granularly control access to some of Mandrill's servers. Parts of Mandrill's infrastructure are hosted with Amazon Web Services (AWS), and we use EC2 Security Groups to control access. One change was made to a security group that contained more servers than we intended to affect. As a result, a cluster of servers hosting Mandrill's internal application logs was made publicly accessible instead of allowing internal-only access.

Ora, ci occupiamo tutti di botnet sempre e il modo per mantenere le macchine ragionevolmente al sicuro da loro è abbastanza noto. Soprattutto perché quasi tutto ciò che pubblico è pubblico e vedo milioni di tentativi botnet, nessuno dei quali riesce mai a fare altro che generare voci di registro.

Ma per questo motivo raccomandano che tutti invalidi e cambino tutte le loro chiavi API. Personalmente ho circa una dozzina di chiavi API attive e mi ci vorrà quasi tutto il pomeriggio per cambiare tutte queste cose dove devono essere cambiate.

Il mio pensiero personale è che hanno reagito in modo eccessivo a questo. Ma io non so tutto. C'è qualche ragione per cui semplicemente avere porte aperte sarebbe considerato un potenziale compromesso qui?

firewalls defense system-compromise botnet

posta Michael Hampton 19.03.2015 - 02:12

fonte

1 risposta

Leggi altre domande sui tag firewalls defense system-compromise botnet

connessione desktop remoto a una macchina potenzialmente compromessa Un modo standard per aggiungere manualmente una firma digitale a un file PDF?

score 16 · Accepted Answer

Dalla lettura della divulgazione, sembra che quello che succede sia che la porta aperta non è in realtà solo una porta casuale, ma piuttosto è una porta in cui un certo servizio interno che non è mai stato progettato per essere esposto direttamente al mondo esterno stava ascoltando. Se esiste una vulnerabilità in quel servizio interno, ciò potrebbe aver permesso a un possibile utente malintenzionato di ottenere la chiave API degli utenti che utilizzano il loro servizio entro il periodo di tempo specificato.

Mentre notano che l'attacco sembra un attacco automatico piuttosto che un attacco mirato, si deve considerare che gli aggressori sofisticati spesso usano un attacco automatizzato altamente visibile per deviare l'attenzione del server e del sysadmin lontano da un altro attacco nascosto e mirato che stanno accadendo allo stesso tempo, cioè il grande DDoS che causa molta attenzione è solo un diversivo.

Un attaccante sofisticato avrebbe potuto cancellare le proprie tracce se fossero riusciti a ottenere privilegi nel sistema per far sembrare che nessuno avesse compromesso dati importanti. Questo è il motivo per cui si consiglia di modificare le chiavi API, anche se non hanno trovato alcuna prova dei dati effettivamente interrogati. Soprattutto perché questo è un server di registrazione che è stato compromesso e poiché sysadmin di solito utilizza i registri per rilevare compromessi, un server di registrazione compromesso può nascondere ciò che sta realmente accadendo.

Un attaccante sofisticato potrebbe anche aver lasciato una backdoor / rootkit sul sistema per permettersi di rientrare nel sistema in un secondo momento, quando tutti pensavano che le cose si fossero sistemate, in modo che potessero fare il loro attacco a un ritmo più lento dall'interno confine di sicurezza, che potrebbe essere altamente pericoloso. Questo è il motivo per cui stanno smantellando la macchina coinvolta.

Oppure potrebbe essere che lo facciano come una dimostrazione per alcuni potenziali clienti attenti alla sicurezza che sono in bilico sulle decisioni di acquisto a causa di dubbi sulla loro sicurezza. Ciò potrebbe spostare l'atteggiamento di quei potenziali clienti che decidono di assumere il loro servizio, dal momento che ora sono rassicurati sul fatto che la società non starebbe trattenendo la mamma quando ci sono vulnerabilità che potrebbero riguardarli.

Is there some reason that simply having open ports would be considered a potential compromise here?

Sì, la porta aperta espone un servizio interno che non è stato progettato per uso esterno. I servizi destinati ad uso interno spesso non hanno la sicurezza che i servizi pubblici potrebbero ottenere, poiché si presuppone che il servizio sia accessibile solo da macchine affidabili. Ad esempio, un servizio interno potrebbe non utilizzare SSL per comunicare all'interno della rete attendibile, oppure potrebbero non convalidare i loro input con la massima accuratezza in quanto presumono che i mittenti attendibili eseguano già tutte le convalide necessarie o potrebbero disporre di comandi amministrativi che possono essere utilizzati senza autenticazione , perché presupponeva che tutte le autenticazioni necessarie fossero state eseguite dai servizi pubblici.