La mode dans les attaques WEB

La mode dans les attaques WEB jpp

Les attaques de serveurs WEB. 
Les nouveautés de ces derniers mois :

  • 21 Février 2021 : les attaques liées à l'utilisation de Git pour la maintenance de l'arborescence des serveurs Web se multiplient voir article spécifique.
  • Septembre 2020 à Janvier 2021 : Attaque VXWORKS voir article spécifique.
  • Juin 2020 : La dernière attaque "à la mode " : GET /?q=user

Je ne sais pas encore à quoi est liée cette attaque ... mais j'en ai récupéré plus de 20 sur une seule journée ! 
Encore beaucoup de "2 accès de longueur 14 et 4 sans aucun header". Tiens je n'en ai plus vu depuis quelques mois (Mai 2021). et toujours les recherches de "/wp-login.php" prélude (si réussi) à diverses attaques.

Attaques "TYPE" : 
Il existe une multitude d'attaques sur les sites Web depuis tous les "hits" sur /phpmyadmin, /myadmin, /pma/...... /wp-login 
d'autres sont plus ciblées, par exemple /HNAP1 orientée vers certains routeurs ... 
Mais il existe des modes, diffusion d'un nouveau script de recherche de vulnérabilités en général, on voit de telles attaques pendant des périodes plus ou moins longues et elles peuvent représenter un volume très important, les dernières en date concernent deux Url spécifiques :

  • .env, ça continue depuis des mois à faible débit toutefois, existe encore en 2024.
  • /.git/HEAD ou /.git/config, existe là aussi toujours en 2024.
  • Une nouvelle lubie (?) les URL commençant par "//", j'ai même vu "///",je ne sais pas ce que c'est censé faire, mais sur un serveur Apache les "//" sont convertis en "/" pour l'accès ce qui ne change donc rien.

".env" déjà rencontré quelques fois sur une longue période présente ces trois derniers jours une quantité plus de 10 fois supérieure aux autres attaques. 
Il semble que ".env" soit utilisé par certains sites pour stocker des paramètres tels que les accès à la base de données ... si ces fichiers sont accessibles c'est la porte ouverte pour accéder aux données des utilisateurs ... et/ou pirater le site. 
J'ai aussi vu des sites avec un suivi de version assuré par un gestionnaire de version (git), l'accès à HEAD doit pouvoir révéler des choses intéressantes sur le site. 
Dans la plupart des cas il s'agit d'un non-respect des bonnes pratiques car ce type de fichier ne doit pas être "visible de l'extérieur" car contenant des données qui peuvent être sensibles : accès à la base, mot de passe administrateur .... 

Liste d'URL d'attaques courantes :

  • /CHANGELOG.txt  ou LICENSE pour déterminer les logiciels et versions utilisés
  • /jmx-console   pour ceux qui laissent une console java accessible sur internet, c'est une invitation aux tentatives de brute-force
  • /myadmin et variantes phpmyadmin ... PhPMyadmin ... php-my-admin ... /pma
  • /db et variantes /dbadmin ... /admin
  • sans oublier /wp-admin, /wp-login, /wp-content
  • ni non plus les url contenant ../../../ pour essayer de "remonter" dans l'arborescence des fichiers du serveur et, par exemple d'accéder au Graal : le fichier /etc/passwd sur une machine Unix/Linux.
  • Assez récemment on a vu apparaître la mode du // en début d'URL, je n'ai trouvé aucune information sur cette particularité.

J'arrête ici cette liste qui pourrait être longue ... mais qui dans beaucoup de cas cherche à exploiter des "erreurs" de configuration ou des imprudences telles que des couples user/mot de passe faibles voire très faibles ou a des valeurs par défaut, qui n'a jamais vu des accès administrateur "protégés" par admin/admin. 
Une autre "attaque" mais je n'ai pas réussi à trouver à quel vulnérabilité/logiciel elle était destinée, c'est la réception de deux paquets HTTP sans signification particulière, le premier avec un contenu de 14 octets, le second de 4 octets. Quel esprit vicieux a pu inventer pareil scénario. J'en ai vu passer des dizaines en une semaine, puis, après une accalmie, c'est reparti. 

Depuis quelques jours (mai 2021) je trouve des recherches de /telescope .... Il y a toujours des nouveautés correspondant à des failles trouvées et publiées sur diverses applications.

N'oubliez pas d'effectuer les mises à jour de sécurité de tous vos logicieis ...

Attaques currentsetting.htm

Attaques currentsetting.htm jpp

Novembre 2020 : 
Depuis début novembre une nouvelle attaque est apparue, elle se manifeste par des accès qui présentent les caractéristiques suivantes :

  • Accès par IP (paspar URL)
  • HTTP ou HTTPS
  • Pas de headers
  • Contenu = "GET /currentsetting.htm HTTP1/1"

Il semble que cette attaque soit dirigée contre des appareils Netgear, mais le terme "currentsettings" est peut-être utilisé dans d'autres logiciels.

Règle de détection pour Suricata  : 
drop  tcp $EXTERNAL_NET any -> $HTTP_SERVERS $HTTP_PORTS (msg:"Web attack /currentsetting.htm"; flow:established,to_server; content:"/currentsetting.htm"; nocase; classtype:web-application-attack; sid:9005813; rev:1;metadata:created_at 2020-11-02, updated_at 2020-11-02;)

Règle de détection pour Modsecurity : 
SecRule REQUEST_URI "@beginsWith /currentsetting.htm" "id:962424,phase:1,t:lowercase,t:removeWhitespace,t:htmlEntityDecode,deny,msg:'Web attack /currentsetting.htm', \ 
     severity:'CRITICAL' \ 
    setvar:'tx.msg=%{rule.msg}',status:406" 

Il vous faudra bien entendu adapter les identifiants des règles à votre goût.

Attaques web utilisant Git

Attaques web utilisant Git jpp

Fin février 2021 la fréquence des attaques fondées sur l'utilisation de "git" a augmenté de manière importante. 
Il y a toujours eu quelques tentatives sur ce type d'URL mais le nombre était très marginal. 
Depuis le 18/02/2021 les attaques cherchant des renseignements liés à la maintenance des fichiers du serveur WEB se multiplient. La recherche concerne les sites dont le versionning est géré par git. Beaucoup de requêtes recherchent /.git/HEAD, leur nombre dépasse la vingtaine par jour sur les derniers jours, et cela concerne surtout le port 80.  
J'ai ajouté une règle pour Suricata concernant ces attaques : 
drop tcp $EXTERNAL_NET any -> $HTTP_SERVERS $HTTP_PORTS (msg:"WEB attack /.git/HEAD"; flow:established,to_server;  content:"/.git/HEAD"; nocase; http_uri; classtype:web-application-attack; sid:9005782; rev:1; metadata:created_at 2020-02-18, updated_at 2020-02-18;) 
Et la même règle sans le "HEAD" car tous ne cherchent pas systématiquement .git/HEAD, il peut aussi s'agir de /.git/config ... 
Pour contrer les futures attaques en HTTPS j'ai ajouté une règle pour Modsecurity : 
SecRule REQUEST_URI "@beginsWith /.git/" "id:962303,phase:1,t:lowercase,t:removeWhitespace,t:htmlEntityDecode,deny,msg:'Web attack /.git/', \ 
severity:'CRITICAL' \ 
setvar:'tx.msg=%{rule.msg}',status:406"

Il semble donc imprudent d'utiliser Git pour gérer directement l'arborescence de son serveur Web. Il vaut donc beaucoup mieux gérer son arborescence Web dans une machine séparée, non accessible depuis Internet, on pourra ici utiliser sont outil préféré de versionning et recopier l'arborescence sur le "vrai" serveur Web après chaque train de modifications, la commande "scp" supporte la recopie de répertoires entiers ...

On est maintenant début 2022, presque un an après l'écriture de cet article et on constate toujours de nombreuses attaques cherchant des fichiers ".git" ou ".git/HEAD". Alors même que ces fichiers et répertoires devraient, au minimum, être cachés par un .htaccess ou carrément mis ailleurs, hors de portée ... du service web.

Note 2024 : tous les jours montrent ces recherches de fichier "/.git. ;;;;" en nombre.

VX-WORKS octobre 2020

VX-WORKS octobre 2020 jpp

Octobre 2020 : voir quelques chiffres. 
Très nombreux hits détectés par Suricata avec le message : 
"ET EXPLOIT Possible VXWORKS Urgent11 RCE Attempt - Urgent Flag" 
Sur les quatre dernières semaines cela représente un peu plus de 11000 hits sur mon adresse. 
Ces attaques concernent principalement les port : 80,443,465 et 8080, parfois un peu de 3478.

La détection est assurée par les règles standard, et à jour, de Suricata.

Petite précision : pour ces attaques le "payload" est absent (longueur=0), toute l'astuce tient dans les flags TCP.  
Ces attaques visent la pile TCP de l'OS VXWORKS et d'autres qui sont utilisés par de très nombreux "devices" de par le monde, j'ai vu des articles citant des chiffres énormes de centaines de millions d'appareils de par le monde. 
Des correctifs existent pour les versions récentes mais il existe, probablement, de très nombreux appareils utilisant des versions obsolètes et/ou qui ne sont plus "patchables". Parmi ces systèmes "à risque" on trouve des matériels de commande industrielle aussi bien que des appareils à usage médical, heureusement peu de ces appareils sont, en principe, reliés à Internet, mais avec la manie de tout connecter il est bien possible qu'un nombre certain soit plus ou moins accessible.

26 Janvier 2021 : 
Cette attaque dure déjà depuis plus de 3 mois, du jamais vu. 
Aujourd'hui un record des attaques "VXWORKS", 2093 "hits" entre 00:00 et 23:59, un gars a même insisté avec 831 hits ... Je n'avais encore jamais vu ça. Au fait il faut mettre à jour ma petite statistique accessible ci-dessous.

5 février 2021 : 
Cette attaque a cessé aussi vite qu'elle avait commencé en moins de 24 heures (dernier jour le 29 janvier 2021) le nombre de hits est tombé complètement, le petit tableau ci-dessous résume la chute brutale du nombre de hits :

Date Nombre de Hits
2021/01/24 1720
2021/01/25 929
2021/01/26 2093
2021/01/27 848
2021/01/28 675
2021/01/29 3