Preorder drugiego tomu książki sekuraka: Wprowadzenie do bezpieczeństwa IT. -15% z kodem: sekurak-book

admin:admin zawsze w cenie – dostęp do 2 milionów linijek kodu operatora telco

10 lipca 2018, 13:27 | W biegu | 1 komentarz
Tagi: ,

Sprawa była opisana już nieco wcześniej, ale dopiero teraz autor znaleziska pokazał szczegóły. Owe szczegóły to dosyć odważne poczynania w ramach niezamówionych pentestów systemów IT największego operatora telco w Wielkiej Brytanii.

Najpierw rekonesans domen, łącznie z optymalizacją w formie zrobienia screenshotów na usługach http. Potem namierzenie domeny: sonarqube.intdigital.ee.co.uk – gdzie dostępne było (niespodzianka) narzędzie Sonarqube (służące do analizy jakości ale i bezpieczeństwa kodu aplikacji). System dostępny był w najnowszej wersji, ale kilka (prawdopodobnie ręcznych) prób logowania zakończyło się sukcesem przy parze admin:admin.

And to my surprise, the username ‘admin’ with the password ‘admin’ actually worked. I was inside of EE’s SonarQube portal that was used to audit all of their private internal source code for security vulnerabilities; millions and millions of dollars worth of code, sat right in-front of me.

A w kodzie, jak to w kodzie, zahardkodowane różne „secrety” czy materiał do łatwego poszukiwania kolejnych podatności, nie mówiąc już o tak brzydkich rzeczach jako rozpoznanie konkurencji:

 (…) leakage of access tokens used to authenticate to one of their internal employee tools. In the hands of a malicious person, this could have been disastrous! Even if an attacker did gain access to the portal, but overlook the leakage of their access tokens and AWS keys, a malicious person could easily have dumped all of the code (by using wget recursively or curl, for example) and analysed the source code of many of their applications for critical security vulnerabilities.

Zakończmy klasyką – rzecznik operatora skwitował całość:

No customer data is, or has been, at risk.

Dodając jednak

We take the security of our customer data extremely seriously and would like to thank the researcher for bringing this issue to our attention. We’re conducting a thorough investigation to make sure this does not happen again.

–ms

Spodobał Ci się wpis? Podziel się nim ze znajomymi:



Komentarze

  1. Rafał

    hmm screenshoty?

    Odpowiedz

Odpowiedz