- PVSM.RU - https://www.pvsm.ru -
Мы ни на секунду не забываем про вопросы информационной безопасности и не относимся к ним пренебрежительно. Леонид Волков [1]
Первая часть [2] вышла более двух месяцев назад. После второй [3] с сайта убрали Яндекс.Метрику, правда не без говна длинного ответа [1] про «доморощенных экспертов по информационной безопасности и шапочки из фольги». Может после третьей приведут инфраструктуру в порядок.
Сайт Умного Голосования использует API по адресу https://votesmart.appspot.com/api/v1/fiasco [4]
у которого не выключен режим отладки, благодаря чему мы видим ироничный адрес бекэнда http://fiasco.navalny-team.org [5] и список маршрутов.
Помимо возможности листинга директорий на сервере протух SSL-сертификат, но это уж точно не имеет значения: запросы туда и так идут по HTTP.
Берем адрес https://fiasco.navalny-team.org/address/suggest/ [6] из списка маршрутов и получаем ошибку c traceback-ом и настройками сервера.
К слову последняя версия Django [7] - 3.2.6, а под используемую на сайте 2.2.8 есть CVE [8]. Видим настройки подключения к базам данных:
База данных доступна для внешних подключений на порту 5432 для пользователя test. Это PostgreSQL 10.11 (Debian 10.11-1.pgdg90+1).
Судя по таблице cmd_exec с полем cmd_output кто-то уже использовал её для выполнения системных команд. Благо в Metasploit для этого даже есть модуль [9]. Дальше мы можем оказаться внутри контейнера. Информацию по всем контейнерам нам заботливо оставили тут: http://fiasco.navalny-team.org:8888/docker/ [10].
И даже чуть больше тут: http://fiasco.navalny-team.org:9100/metrics [11]
Правда релиз используемой версии был в 2019 году [12], потому могут сработать многие методики [13] по повышению привилегий и получению контроля за всей системой.
На этом шаге хочется остановиться, ведь не стоит цель навредить, скорее проанализировать, изменилось ли что-нибудь за два прошедших месяца, и обратить внимание на проблемы, которые видны невооруженным взглядом.
Мы всегда читаем и слушаем все, что нам пишут, признаем ошибки и стараемся работать лучше. Леонид Волков [1]
Вместо заключения хочется оставить цитату Алексея Пивоварова:
«Выводы делайте сами».
Автор: Александр
Источник [14]
Сайт-источник PVSM.RU: https://www.pvsm.ru
Путь до страницы источника: https://www.pvsm.ru/informatsionnaya-bezopasnost/367300
Ссылки в тексте:
[1] Леонид Волков: https://www.facebook.com/leonid.m.volkov/posts/4358802630809003?_fb_noscript=1
[2] Первая часть: https://habr.com/ru/post/568842/
[3] второй: https://habr.com/ru/company/itsoft/blog/573958/
[4] https://votesmart.appspot.com/api/v1/fiasco: https://votesmart.appspot.com/api/v1/fiasco
[5] http://fiasco.navalny-team.org: http://fiasco.navalny-team.org
[6] https://fiasco.navalny-team.org/address/suggest/: https://fiasco.navalny-team.org/address/suggest/
[7] последняя версия Django: https://www.djangoproject.com/download/
[8] CVE: https://www.cvedetails.com/vulnerability-list/vendor_id-10199/product_id-18211/Djangoproject-Django.html
[9] есть модуль: https://github.com/swisskyrepo/PayloadsAllTheThings/blob/master/SQL%20Injection/PostgreSQL%20Injection.md#postgresql-command-execution
[10] http://fiasco.navalny-team.org:8888/docker/: http://fiasco.navalny-team.org:8888/docker/
[11] http://fiasco.navalny-team.org:9100/metrics: http://fiasco.navalny-team.org:9100/metrics
[12] был в 2019 году: https://docs.docker.com/engine/release-notes/19.03/#19035
[13] методики: https://github.com/cdk-team/CDK
[14] Источник: https://habr.com/ru/post/574286/?utm_source=habrahabr&utm_medium=rss&utm_campaign=574286
Нажмите здесь для печати.