Penetration Testing on metasploitable 2 - Validation phase - Tcp port 21 - FTP service

A táblázatunkban az első vizsgálandó szervíz a 21-es porton futó ftp szolgáltatás. Mielőtt belemerülénénk a vizsgálódásba nézzük meg, hogy az egyes eszközök segítségével milyen információhoz jutottunk:

Nmap:
21/tcp    open  ftp         vsftpd 2.3.4
Nessus:

OpenVAS:

Nexpose:

Igazából három különböző kockázatot érzékeltek a szkennerek. (A nessust fogom mindig alapként használni, mert áttekinthetőbb a riport amit készít, és a másik két szkennernél csak azokat a jelzéseket hozom fel, ami bővebben kifejti a hibát illetve más hibát fed fel.)

Az első és a legkritikusabb kockázat, hogy van egy hátsó ajtó a rendszerben. Ezt a Nexpose nem ismerte fel(...) viszont a nessus és az openvas igen.

Nmap-al is ellenőrizhetjük:

A nessushoz tartozó plugint is ráengedhetjük kézzel is:

Metasploitban is ban hozzá használható modul:

Ezen a ponton célszerűnek látszik a shadow file kidumpolása:

Erre le kell futtatni egy john-the-rippert, hátha talál a felhasználói nevekhez jelszavakat.

Exploitdb-n is rá tudunk keresni a problémára, ha az előzőek nem hoztak volna eredményt:

Securityfocus is egy jó hely a keresésre:

Kali linuxon a searchsploit is egy kereső amivel próbálkozhatunk:

A CVE Details adatbázisban is rákerestem, de ott nincs fent a hiba...

Talán  ezért nem találta meg a Nexpose, holott a metasploitban még modul is van hozzá.
Mindegy, ez egy Validált (nem false pozitív) létező hiba. Elérhető exploit csak a metasploitban van rá, illetve a nessus nasl szkriptjével lehetne még esetleg szórakozni vele.
A hiba kihasználhásával nem kell itt különösebben foglalkozni, elég ha azt meg tudjuk állapítani, hogy a hiba valós és elérhető hozzá exploit. Így a hiba a nagyon súlyos kategóriába esik, mivel a gépen a támadó azonnal root jogot képes szerezni. Ez a hiba mindenképpen javítandó és minél sürgősebben.

A második probléma(?) hogy az anonymous elérés engedélyezve van. Ez nem biztos, hogy valós probléma, mert lehet, hogy ez egy anonymous ftp szerver és pont ez a cél. Mindenesetre, hogy ez false pozitívnak számít-e azt az alkalmazás dönti el. Az, hogy mi célból funkcionál a szolgáltatás.

A harmadik probléma, hogy cleartext-ben mennek az adatok. Ha ez csak egy anonym ftp szerver és senki nem lép fel rá a neten keresztül (az adat feltőltés biztonságos csatornán történik) és publikus adatok vannak rajta publikálva, akkor ez is false pozitív. Amennyiben bármilyen érzékeny adat (pl jelszó) közlekedik a hálózaton, akkro ez az adattól függően vagy közepesen súlyos vagy súlyos probléma is lehet akár. Ez az adott adat érzékenységétől függ.

Azt meg kell még nézni, hogy írás joga van-e az anonymous ftp usernek. Illetve, hogy mihez van olvasási joga. (Valószínűleg, ha ez exploitálható lenne akkor azt már rég észlelték volna, de egy ellenőrzést megér)

A táblázatban ezt a szolgáltatást Unsafe-re állítjuk (nem biztonságos) és a kockázatot a legmagasabbra vesszük. Súlyos vagy kritikus és piros színnel jelöljük, hogy a menedzserek is lássák, hogy itt valami nagyon nem jó. És a kritikus kockázat mellett a másik két problémát is fel kell tüntetni.

A kritikus probléma megoldására a javasolt megoldás a teljes verzió csere. Patch nincs a problémára és work-around megoldások sem. A szolgáltatást azonnal le kell állítani és egy másik verziójú ftp daemont kell feltelepíteni a gépre. A másik két észrevétel alkalmazás függő. Ha szükséges az anonymous elérést le kell tiltani, illetve ha érzékeny adatok közlekednek a hálózaton, akkro az egész szolgáltatást le kell cserélni olyanra ami rejtjelezi a csatornát. (scp, sftp, stb)

Ha a feladat áthatolás tesztelés, akkor a hiba segítségével további (belső hálózaton lévő) gépek támadása válik lehetségessé. A fertőzött gépre telepíteni kell egy saját hátsó ajtót és utána mehet a belső hálózat feltérképezése és további célpontok utáni kutatás. (Amennyiben ez szkópja a vizsgálatnak)

Mivel az ftp user ftp jelszóval működik, célszerű lehet más default felhasználók és default jelszavak tesztelése az ftp protokoll alatt. A loginok tesztelését egy későbbi fázisban fogom elvégezni, egyben a többi login teszteléssel (ssh, telnet, stb) 
ftp login tesztelése metasploittal:

Ez egy kicsit lassan fut, úgyhogy hydrával csináltam meg inkább:

Ennél a szolgáltatásnál van még egy probléma: Lehetséges a login brute forcolás, vagyis tömeges belépési kísérletekkel lehet elérasztani a rendszert. Ez ellen lehet lokálisan fail2ban-al, vagy globálisabb szinten IDS,IPS rendszer működtetésével védekezni.