top of page
Foto do escritorAndré Barreto dos Santos

Vulnerabilidades críticas em provedores de VPS

Atualizado: 24 de abr.


Olhe para essa imagem e responda rápido: você permitiria isso?


Você deixaria um desconhecido entrar no seu datacenter e se conectar à estrutura de rede?

Você colocaria seus servidores em um datacenter no qual desconhecidos podem entrar e conectar-se na rede?


Tudo bem, essas perguntas podem parecer bobas e as respostas óbvias, mas e se te dissermos que isso acontece com mais frequência do que se imagina?


E se te dissermos que é ainda pior, pois acontece sem que essa figura do “hacker” precise arriscar sua integridade física para acessar um datacenter, sem precisar passar por seguranças, portas, controles de acesso e câmeras de monitoramento?


Acredite: sem saber disso, muitas empresas estão colocando seus dados, seus sistemas e a base de funcionamento dos seus negócios em estruturas vulneráveis.



Análise de segurança na estrutura de provedores


A NETSENSOR, uma empresa brasileira que desenvolve tecnologias de segurança cibernética baseadas em inteligencia artificial, utiliza a estrutura das maiores clouds mundiais e, também, de alguns provedores locais, para alcançar uma maior abrangência em seus pontos de presença e, com isso, conseguir uma maior eficiência em seus serviços.


No entanto, antes de colocar seus serviços em uma Cloud ou um provedor local, a empresa faz uma análise de segurança na estrutura do novo fornecedor. E foi justamente durante essas análises de segurança que graves vulnerabilidades em provedores de VPS (Virtual Private Server) foram identificadas.


Tais vulnerabilidades permitem:

  • Capturar o tráfego de rede de outros servidores, pertencentes a outras empresas;

  • Infiltrar-se em redes das quais não se faz parte;

  • Assumir o controle da rede.


Dessa forma, as vulnerabilidades exploradas permitem a quebra de “todos” os pilares da segurança da informação: confidencialidade, integridade e disponibilidade.


Para termos uma ideia mais precisa da gravidade das vulnerabilidades encontradas, avaliamos as mesmas usando os parâmetros do sistema independente mais utilizado no mundo para pontuação de vulnerabilidade de segurança, o CVSS (Common Vulnerability Scoring System).


Esse sistema de pontuação é usado pelo Mitre para classificação de CVEs (Common Vulnerabilities and Exposures) e seguido pelas maiores empresas de tecnologia do planeta.

O sistema de pontuação considera diversos aspectos e classifica uma vulnerabilidade com uma nota de severidade entre 0 e 10.


A vulnerabilidade encontrada na estrutura de VPS dos provedores é classificada com pontuação 10 pelo sistema CVSS, o que representa o mais alto nível de criticidade possível.


Pontuação “base” para a severidade


Pontuação “temporal” para a severidade


Pontuação de “ambiente” para a severidade


Foram avaliados provedores na Europa, USA e Brasil, nos quais conseguimos a assustadora taxa de sucesso de 75% na exploração deles. Considerando apenas os provedores do Brasil, a taxa de sucesso foi de 100%.


Iremos divulgar algumas evidências que comprovam a existência e a exploração de tais vulnerabilidades encontradas.



Tomando o controle da rede


Analisando as configurações de rede do servidor de um dos provedores avaliados, podemos observar que o IP válido para acesso externo está diretamente endereçado na interface de rede.


Configurações da interface de rede


O servidor foi alocado em uma rede “/26”, a qual tem um tamanho de 64 endereços IPs, sendo que 62 deles podem ser utilizados para endereçamento de equipamentos. Na nossa rede, os endereços variam entre XXX.YYY.199.193 e XXX.YYY.199.254.

Fazendo uma consulta por endereços ativos nessa rede, recebemos resposta de 44 equipamentos.


Busca de IPs ativos na rede


Usando uma ferramenta para capturar o tráfego de rede vindo de outros servidores conectados à mesma rede, não recebemos nenhum pacote, que é o funcionamento esperado.


Captura de tráfegos de outros servidores (antes do ataque)


Ao explorarmos com sucesso técnicas para assumir o controle da rede, passamos a receber pacotes vindos de outros servidores, pertencentes a outras empresas.


Captura de tráfegos de outros servidores (depois do ataque)



Assumindo o tráfego de rede do servidor de outra empresa


Dentre os servidores encontrados, selecionamos como alvo aleatório o XXX.YYY.199.238.

Vamos fazer um ataque mais direcionado e assumir o controle do tráfego de rede apenas desse servidor.


Para demonstração, analisamos os serviços presentes no alvo e selecionamos o serviço de FTP, conhecido por trafegar dados em texto puro.


Serviços ativos no servidor alvo


Para simular o acesso de um usuário, utilizamos um desktop externo para fazer uma conexão FTP simples com nosso alvo via internet.


Cliente de FTP


Já em nosso servidor VPS, que assumiu o controle do tráfego de rede do alvo, analisamos todo o tráfego FTP do servidor da vítima.


Captura de credenciais de FTP

No conteúdo dos pacotes de rede podemos ver o usuário e a senha usados na tentativa de autenticação que simulamos.


A questão aqui não é discutir as características do protocolo FTP, mas sim o fato de conseguirmos interceptar o tráfego de rede do servidor alvo, pertencente a uma outra empresa que está dividindo a estrutura do provedor.


Importante frisar que a NETSENSOR apenas comprovou a existência da vulnerabilidade e a sua exploração, devolvendo rapidamente o controle do tráfego de rede à estrutura legítima do provedor.


No entanto, salientamos que um atacante poderia, por exemplo, aguardar que um usuário legítimo do sistema fizesse o acesso via FTP, talvez para atualizar arquivos de um sistema WEB nesse servidor, para então capturar as credenciais e, assim, poder acessar dados da empresa e códigos fonte do(s) sistema(s).

Explorando outras técnicas de ataque um criminoso pode, até mesmo, ganhar acesso a todo o servidor dessa empresa.


Muitas outras explorações poderiam ser feitas, como a captura de credencias nos serviços de SMTP, POP3 e IMAP, além de acesso aos dados trafegados por esses protocolos.



Infiltrando-se em outras redes


Para essa nova etapa, vamos escolher um outro provedor.

Nesse outro servidor temos o endereço XXX.YYY.106.81, com as mesmas característica de ter o endereço IP externo diretamente na interface de rede.


Configurações da interface de rede


Identificamos tráfegos provenientes de outras redes lógicas do provedor, e que não envolviam nosso servidor VPS, chegando até nosso dispositivo de rede.

Dessa forma, podemos concluir que não há uma segmentação das redes lógicas como, por exemplo, uma implementação de VLAN isolando cada uma das redes.


Tráfego de outras redes chegando ao dispositivo de rede


Escolhemos, aleatoriamente, a rede XXX.YYY.51.0 como alvo.

Identificamos que o IP com final .15 estava livre nessa rede e criamos uma sub-interface de rede com esse endereço.


Configurações da sub-interface de rede


Para comprovar o sucesso da infiltração nessa rede, da qual não deveríamos fazer parte, usamos o traceroute para nos mostrar o caminho feito para se comunicar com outro IP da rede, o “.16”.

Como podemos ver, o caminho passou por apenas 1 salto, mostrando que a comunicação aconteceu diretamente, sem passar por equipamentos intermediários (roteadores/firewalls).


Comunicação direta com alvo


Novamente usamos uma ferramenta para capturar o tráfego de rede vindo de outros servidores conectados à rede que nos infiltramos e não recebemos nenhum pacote, que é o funcionamento esperado.


Captura de tráfegos de outros servidores (antes do ataque)

Ao explorarmos novamente com sucesso a técnica para assumir o controle da rede, passamos a receber pacotes vindos de outros servidores, pertencentes a outras empresas.


Captura de tráfegos de outros servidores (depois do ataque)


Além de poder capturar o tráfego de rede de outros servidores, quebrando o pilar da “Confidencialidade”, podemos interceptar e manipular os dados, quebrando também o pilar da “Integridade”.

No caso de consultas DNS, podemos interceptar as requisições e manipular as repostas, direcionando a vítima para lugares maliciosos, onde podemos capturar credenciais, dados ou, ainda, disseminar malwares.


Captura de consultas DNS de outros servidores

Por último, podemos simplesmente interromper a comunicação da vítima, quebrando o pilar da “Disponibilidade”.



Conclusão


A NETSENSOR alerta para que todo cuidado seja tomado na hora da escolha de um provedor para colocar seus dados, seus sistemas e o seu negócio.


Assim como você busca bons profissionais para ajudar a cuidar do seu negócio, para desenhar, desenvolver e manter seus sistemas, é fundamental que você também busque bons profissionais de segurança da informação para analisar e apoiar na tomada de decisões, incluindo o local no qual você irá depositar um dos ativos de maior valor na atualidade, seus dados.


Não basta ter uma ótima ideia e desenvolver as melhores soluções para atender as necessidades dos seus clientes, você também precisa manter o funcionamento e a disponibilidade do negócio mas, acima de tudo, você deve zelar pela segurança, reputação e credibilidade da sua empresa diante de um mercado cada vez mais competitivo e exigente.

210 visualizações2 comentários

2 commentaires


Luiz Albuquerque
Luiz Albuquerque
26 juil. 2022

Quais provedores estão com essas vulnerabilidades ?

J'aime
En réponse à

Olá Luiz. Não podemos divulgar os nomes por uma questão de segurança dos clientes desses provedores, espero que compreenda. No entanto, estão descritos no relatório diversos sinais, principalmente na forma em que o IP externo é alocado, que podem te dar pistas se o seu provedor pode estar vulnerável. Minha principal dica/sugestão é buscar provedores que criem uma rede privada somente para você, ao invés de alocar diretamente o endereço externo na interface de rede do servidor.

J'aime
Post: Blog2_Post
bottom of page