The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

Уязвимость в EPP-серверах позволяла получить контроль над 19 доменами первого уровня

13.06.2023 15:17

Исследователи безопасности из группы Hackcompute опубликовали результат своих экспериментов по изучению защищённости регистраторов доменных имён, атака на которых может привести, например, к изменению DNS-серверов для перенаправления запросов на хост злоумышленника. В результате исследования в одной из реализаций XML-протокола EPP (Extensible Provisioning Protocol), применяемого для организации обмена данными между регистратором и оператором реестра доменных имён, выявлена критическая уязвимость, позволяющая прочитать содержимое любых файлов на сервере.

Используя уязвимость исследователям удалось получить содержимое закрытого SSH-ключа администратора сервера, отвечающего за доменную зону "ai" и учётные данные для хранения резервных копий всего содержимого. Персонал регистратора, отвечающего за домен первого уровня "ai" подтвердил, что уязвимость позволяет скомпрометировать сервер и получить полный контроль над любыми доменами в DNS-зоне ".ai", в том числе можно изменить DNS-серверы для любого домена. Кроме инфраструктуры зоны ".ai" проявление уязвимости удалось выявить на серверах, отвечающих за ведение реестра доменных имён в зонах .bj, .bw, .ci, .gl, .ke, .kn, .lb, .ly, .mr, .ms, .mz, .ng, .py, .rw, .so, .ss, .td и .zm.

Отдельный интерес представляет то, как была найдена уязвимость. Так как протокол EPP использует XML и принимает соединения на 700 сетевом порту, исследователи через сканирование портов в глобальной сети построили список хостов, на которых открыт 700 порт и попытались отправить запросы, используя известные типовые приёмы атак на уязвимые XML-библиотеки. На серверах c ПО CoCCA Registry Software сработал приём с подстановкой внешних ресурсов через манипуляции с элементом XXE (XML external entity). Например, для чтения файла /etc/passwd с сервера достаточно было отправить запрос:

 

   <?xml version="1.0" standalone="no"?> 
   <!DOCTYPE foo [ <!ENTITY xxe SYSTEM "file:///etc/passwd"> ]> 
   <epp xmlns="urn:ietf:params:xml:ns:epp-1.0" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xsi:schemaLocation="urn:ietf:params:xml:ns:epp-1.0 epp-1.0.xsd">
   <command> 
      <poll op='req' /> 
      <clTRID>&xxe;</clTRID> 
   </command> 
   </epp>

Далее исследователи изучили Web API, предоставляемый на серверах с CoCCA Registry Software и доступный на стадии до прохождения аутентификации. В Java-классе CitiesServlet была найдена ещё одна уязвимость, позволяющая передать содержимое любого локального файла. Проблема возникла из-за отсутствия проверки наличия символов "/.." при формировании имени файла на основе одного из параметров URI. Сочетание данной уязвимости с XXE-уязвимостью в парсере XML позволило получить доступ к любым файлам в системе, так как ПО CoCCA Registry Software выполняется с правами root.

В ходе атаки XXE-уявзимость использовалась для определения структуры файлов и каталогов на сервере, а уязвимость в Web API для простой загрузки нужных файлов с сервера (например, для загрузки /etc/shadow достаточно выполнить запрос "https://epp.whois.ai/cities?country=/../../../../../../../../etc/shadow"). Исследователи сообщили о проблемах разработчикам ПО CoCCA Registry Software и в настоящее время уязвимости уже устранены.

  1. Главная ссылка к новости (https://hackcompute.com/hackin...)
  2. OpenNews: Техника атаки, позволившая получить контроль над всеми доменами в зоне .io
  3. OpenNews: Атака на регистраторов доменов привела к перенаправлению крупнейших сайтов
  4. OpenNews: Google открыл код ПО для регистраторов доменов первого уровня
  5. OpenNews: Атакующие получили контроль над доменом проекта Metasploit через обман регистратора
  6. OpenNews: Утечка хэшей паролей Whois-сервиса интернет-регистратора APNIC
Лицензия: CC BY 3.0
Короткая ссылка: https://opennet.ru/59285-dns
Ключевые слова: dns, xml, xxe
При перепечатке указание ссылки на opennet.ru обязательно


Обсуждение (47) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.1, ryoken (ok), 16:04, 13/06/2023 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    >>файла /etc/passwd

    А разве не /etc/shadow ..?

     
     
  • 2.21, Аноним (21), 18:09, 13/06/2023 [^] [^^] [^^^] [ответить]  
  • +/
    ну, хочется надеяться что сервис работает не от рута, и к shadow у него прав не окажется..

    а вот с https://epp.whois.ai/cities?country=/../../../../../../../../etc/shadow похоже всё совсем не хорошо...

     
     
  • 3.38, Атон (?), 20:50, 13/06/2023 [^] [^^] [^^^] [ответить]  
  • +2 +/
    > ну, хочется надеяться что сервис работает не от рута, и

    новость не читай?

    >> позволило получить доступ к любым файлам в системе, так как ПО CoCCA Registry Software выполняется с правами root.

     
     
  • 4.42, Аноним (42), 21:45, 13/06/2023 [^] [^^] [^^^] [ответить]  
  • +3 +/
    Как вы яхту назовете... там даже название намекает что оно с каким-то... подвохом...
     

  • 1.2, Аноним (2), 16:07, 13/06/2023 [ответить] [﹢﹢﹢] [ · · · ]  
  • +9 +/
    >отсутствия проверок наличия символов "/.." при формировании имени файла

    Прыжки на грабли пора вносить в олимпийские виды спорта.

     
     
  • 2.36, Tron is Whistling (?), 20:30, 13/06/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Блин, передавать пути из URL в открытие файла - это да, школьного уровня безобразие.
     
     
  • 3.41, Аноним (42), 21:40, 13/06/2023 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Да и додуматься в XML это все оформить... можно подумать хоть 1 кодер на планете помнит ВСЕ фичи XML реализуемые половиной либ, которые помогут пятку прострелить поизящнее на каком-то нежданчике.
     
     
  • 4.48, 1 (??), 09:14, 14/06/2023 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Новость не читай, мысль довоображай !
    "типовые приёмы атак на уязвимые XML-библиотеки".
    Т.е. люди нашли дырку в которую начали пихать разные гадости. И оказалось, что на той стороне или ПО не обновлено, или самописно скопипащено с уязвимостями.
     
     
  • 5.58, Аноним (-), 01:14, 16/06/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Ну а какой процент кодеров вообще задумается что конструкция вида

    <!DOCTYPE foo [ <!ENTITY xxe SYSTEM "file:///etc/passwd"> ]>  

    оказывается подставляет сервер?
     

  • 1.5, Аноним (5), 16:40, 13/06/2023 [ответить] [﹢﹢﹢] [ · · · ]  
  • +2 +/
    Ох уж эти энтерпрайзные интеграции со своими не имеющими аналогов протоколами...
     
     
  • 2.7, Аноним (7), 16:49, 13/06/2023 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Можно подумать там сверхразумы сидят.
     
     
  • 3.24, Аноним (24), 18:53, 13/06/2023 [^] [^^] [^^^] [ответить]  
  • –2 +/
    Ошибки есть везде, но вот тестировать и проверять это нужно,
    а там зачастую просто халатно к этому отнеслись.
     
     
  • 4.29, Аноним (42), 19:41, 13/06/2023 [^] [^^] [^^^] [ответить]  
  • +9 +/
    Протестировать все фичи XML - нормальный такой scope, вам на следующие три жизни работы хватит.
     

  • 1.13, Аноним (13), 17:25, 13/06/2023 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    > содержимое закрытого SSH-ключа администратора сервера

    Как? Зачем он хранил свой ключ на сервере, который администрировал? Зачем у него вообще был какой-то постоянный ключ? Какой-то позор.

     
     
  • 2.15, Аноним (15), 17:43, 13/06/2023 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Так работает энтерпрайз. Главным считается вторичное для ИТ и основное оказывается вне внимания. Автоматизация, сесурити и т.д. оказываются вторичны.
     
     
  • 3.17, Аноним (7), 17:54, 13/06/2023 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Менеджеры говорят что это интересы бизнеса. И типа айтишники не умеют разговаривать с бизнесом. Вот и получают все сразу. Это же какое-то продолжительное время работало, значит можно не напрягаться. Преждевременная оптимизация это лишние траты.  
     
     
  • 4.20, Аноним (20), 18:09, 13/06/2023 [^] [^^] [^^^] [ответить]  
  • +4 +/
    > И типа айтишники не умеют разговаривать с бизнесом.

    Бузинес понимает только язык денег

    Бузинес любит слайды с большими, яркими, разноцветными картинками и кучу умных циферек, как именно плохое сесурити может сделать минус много денег, ай ай

     
  • 4.27, Аноним (27), 19:13, 13/06/2023 [^] [^^] [^^^] [ответить]  
  • +2 +/
    > типа айтишники не умеют разговаривать с бизнесом.

    Я всегда считал, что это бизнес должен уметь договариваться со всеми.

     
     
  • 5.45, nuclight (ok), 01:25, 14/06/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Добро пожаловать в капитализм.
     
  • 5.49, Аноним (7), 09:33, 14/06/2023 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Всего лишь договариваться со всеми. Это же так просто. В каком-то идеальном мире где розовые пони скачут по радуге, да там такое бывает.
     
  • 3.39, Атон (?), 20:51, 13/06/2023 [^] [^^] [^^^] [ответить]  
  • +/
    >  Так работает энтерпрайз.

    .ai — национальный домен верхнего уровня для Ангильи. Домен администрируется правительственными структурами Ангильи.

     
  • 2.16, Аноним (7), 17:52, 13/06/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Администратор меняется каждый квартал. Если ключ не будет лежать там его 100% с концами про..теряют. По другому это не работает.
     
  • 2.19, Аноним (42), 18:03, 13/06/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Если кодеру можно использовать формат позволяющий инклюд посторонних файлов с сервака, то почему админу нельзя колючи раскидать где попало? Или вы думали что если квалификация кодеров дно, то админы с чего-то будут лучше?
     
  • 2.22, Аноним (21), 18:41, 13/06/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Ну как вариант, у меня, например, много где лежат закрытые ключи... фигня в том что они тут и сгенерены просто чтоб место не пропадало... и они никак не используются, открытых к ним ключей никуда не положено, можете заняться попытками с ними куда либо зайти.. (если к вам пришёл коммивояжёр, займите его увлекательной беседой, спасите 5 человек..)
    заодно и в логах насрёте попытками логинов, с неверными ключами....
     
     
  • 3.23, Аноним (21), 18:50, 13/06/2023 [^] [^^] [^^^] [ответить]  
  • –1 +/
    ps, тут больше интересно другое, этот файл не должен читаться никем, кроме самого пользователя (ну и рута)... всё запущено от рута ? Ну чо, маладцы!.
     
     
  • 4.31, Анонус (?), 19:44, 13/06/2023 [^] [^^] [^^^] [ответить]  
  • –1 +/
    А разве закрытая часть ключа настолько отвественного сервиса (это не бложек скучающей домохозяйки, а РЕГИСТРАТОР целой зоны) не должна как минимум лежать на внешнем аппаратном токене? Теоретически сломать могут и их, но это на порядки сложнее, чем несколько слешей подсатвить в запрос.
     

  • 1.25, Аноним (25), 19:06, 13/06/2023 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    >Используя уязвимость исследователям удалось получить содержимое

    Сухари пусть сушат, ибо felony.

     
     
  • 2.32, Аноним (42), 19:45, 13/06/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Я бы скорее настаивал на "criminal negligence" - для тех кто XML допер как формат поюзать, не зная про такие вещи. Это было бы намного правильнее. И взыскать с вот именно кодивших ЭТО весь ущерб еще. Чтобы в следующий раз трезвее оценивали силенки проаудитить универсальный формат на все оказии, например.
     
     
  • 3.44, Аноним (44), 23:21, 13/06/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Тем командам (есть такие, специализирующиеся на прошивках для ECU, контроллерах в самолётах, атомных станциях, и прочих, вот те ребята), кто на себя берут юридическую ответственность за отсутствие в коде багов, способных привести к опасным последствиям, а также делают кучу других вещей, которые обычные программисты не делают, таких, как формальная верификация (и даже формальная верификация hello world - это очень громоздкий процесс, а теперь представь прошивку...), за это платят на порядки больше. Даже в "критической инфраструктуре" использовать труд этих ребят не по карману.

    Поэтому тут - AS IS. Все ошибки и проблемы - на ваш страх и риск.

     
     
  • 4.57, Аноним (57), 01:09, 16/06/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Ну уж нет, знаете, если из-за чьих-то глупых факапов нагибаются целые страны, по-моему as is там уже не катит и с этих кондомов надо как минимум взыскать весь ущерб до последнего цента. Чтоб остальные так делать боялись и более трезво оценивали свои скиллы и выбор технологий.
     
     
  • 5.59, Аноним (59), 19:23, 16/06/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Не нравится - не регай домены в этих зонах.
     
  • 4.60, anonymous (??), 11:07, 17/06/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Вот тут боингу смешно стало.
     
  • 3.46, nuclight (ok), 01:28, 14/06/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Русскому языку разучились? "Преступная халатность" это называется.
     
     
  • 4.56, Аноним (-), 01:03, 16/06/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Это разве россияне повесили баг? Если б вопрос в том чтобы статью россиянину шить - тогда конечно. А так пусть в тех терминах и описывается, глядишь примелькается какому-нибудь gov'у в поисковике и идея найдет почитателей. Задолбали уже так кодить.
     

  • 1.26, cheburnator9000 (ok), 19:09, 13/06/2023 [ответить] [﹢﹢﹢] [ · · · ]  
  • –5 +/
    Дайте угадать. Си?
     
     
  • 2.28, Хру (?), 19:37, 13/06/2023 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Не угадал. Язык тут не при чем. "При чем" тут не выключенная функциональность ХаМЛо-разборщиков, как рекомендует OWASP. Этот функционал в библиотеке либо есть, либо нет, и зависит от архитектора а не от языка
     
  • 2.30, Аноним (42), 19:43, 13/06/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Не угадал! Проабузили официальную фичу XML. О которой кодеры вон того разумеется ни в раз не подумали. А хакеры, оказывается, нехорошие какие, могут что угодно в XMLки вталкивать. Даже вот совершенно левый файл заинклюдить без спросу - опачки!
     
  • 2.33, YetAnotherOnanym (ok), 20:09, 13/06/2023 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Первая ошибка логическая, вторая в жабе.
     
  • 2.47, Дед банан (?), 07:49, 14/06/2023 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Ну, название софта начинается с этой буквы, угадал.

    Вращайте барабан, ëпт.

     
  • 2.50, Аноним (7), 09:35, 14/06/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Жаба. Напомню Жаба безопасно работает с памятью и там вообще нет никаких ансейфов даже при большом желании.
     
     
  • 3.55, Аноним (55), 17:38, 15/06/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Как это защитит от эксплойта с подстановкой имени файла?
     

  • 1.34, Роман (??), 20:21, 13/06/2023 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    Зачем оно интересно под рутом. Да и даже если под рутом, то какой-то ProtectHome уж могли бы вкорячить в юнит сервиса. Не sysv init же у них демонов погоняет, наверняка.
     
     
  • 2.51, Аноним (51), 12:01, 14/06/2023 [^] [^^] [^^^] [ответить]  
  • +/
    >Зачем оно интересно под рутом.

    Потому что "и так сойдёт!"

     

  • 1.52, Аноним (52), 12:07, 14/06/2023 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Надо зарегистрировать сайт в доменной зоне .bj

     
     
  • 2.53, Самый Лучший Гусь (?), 12:50, 14/06/2023 [^] [^^] [^^^] [ответить]  
  • +/
    beef jerky?
     

  • 1.54, Liin (ok), 14:32, 14/06/2023 [ответить] [﹢﹢﹢] [ · · · ]  
  • +3 +/
    Application-сервер от рута, полный доступ к файловой системе - казалось бы, что может пойти не так? )
     
  • 1.61, pavlinux (ok), 01:07, 28/06/2023 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Новость о том, что на свете много админов-расПи3дяев. EPP тут не причём.


    Ну пля .... обычный qemu ...  -serial /dev/tty12 спас бы от всего, хоть целиком дамп вируалки спи3дили бы.  

     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Партнёры:
    PostgresPro
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2024 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру