14 Aralık 2023
Arka plan
Ahold Delhaize kendilerini çağırıyor en büyük gıda perakende gruplarından biri. Onlar halleder Haftada 60 milyon müşteri150 yıldır buralardayız ve işvereniz 414.000+ çalışan. Olduğunu iddia ediyorlar Süpermarketler ve e-ticarette lider. Ayrıca 2020’de siber güvenlikte şeffaflığa verdikleri destek nedeniyle bir ödül kazandı. Bunu insanları içgörülerini paylaşmaya teşvik ederek yapıyorlar. Kulağa hoş geliyor, hadi bunu bugün yapalım!
Bazılarınızın bildiği gibi günlük hayatımda kullandığım şirketleri hacklemeyi seviyorum ve Ahold Delhaize’nin Bol.com ve Albert Heijn’in sahibi olması nedeniyle bunlar iyi bir hedef. Ayrıca, araştırmamızı güvenli bir şekilde yapabilmemiz ve sorunları giderildikten sonra sorumlu bir şekilde açıklayabilmemiz için sorumlu bir açıklama politikasına sahiptirler. Son fakat bir o kadar da önemli olarak, onların Şöhret Duvarı’na bile düşebiliriz ;-).
Tartışma
Genellikle raporun tartışma kısmını yazının altına koyarım. Ama bugün durum farklı. bu şekilde kritik CVSS 10 hatası bildirdikten sonra 3,5 yıldan daha uzun süre yama yapılmadan kaldı. Bu hatanın 2005’ten beri mevcut olduğundan kesinlikle şüpheleniyorum. Bu, çalışanlarını kimlik bilgilerinin sızdırılması riskiyle karşı karşıya bırakıyor. İnsanlar sıklıkla şifreleri yeniden kullandıkları için bu potansiyel sızıntı konusunda bilgilendirilmeleri gerekir.
Bu blogda açıklanan hata 23 Nisan 2020’de keşfedildi. Aynı gün, hata Ahold güvenlik ekibi tarafından doğrulandı; Rapor gelir gelmez bir güvenlik açığını doğrulamak iyi bir şey.
Yanlışlıkla onaydan hemen sonra düzeltileceğini varsaydım. Öğrenilen zor bir ders: Bir ay sonra daima düzeltmeler için kendinizi kontrol edin ve e-postayla bildirdiğiniz tüm hataları takip etmeye çalışın.
2 Kasım 2023’te (>3,5 yıl sonra) hatanın düzeltildiğini belirten bir e-posta aldım. Şaşırtıcı bir şekilde 9 Kasım 2023’te sorunun çözülmediğini ancak hala savunmasız olduğunu keşfettim.
Bu sefer hatayı doğru bir şekilde kullandım ve dışarı kaçırdı /etc/passwd Kavramın bir kanıtı olarak sunucudan dosya. Bunu aşağıda ayrıntılı olarak okuyacaksınız.
Ancak Tam sunucunun en az 3,5 yıl (hatta 18 yıl) boyunca tehlikeye atılmış olduğu düşünülmelidir.. Herkes sunucuda herhangi bir kodu çalıştırabileceğinden. Kimlik doğrulama gerektirmez ve keşfedilmesi kolaydır.
Güvenlik açığı bulunan sunucu, merkezi bir kimlik sağlayıcı görevi görür. Yardım sayfasında görüldüğü gibi farklı Ahold şirketlerini destekleyerek kullanıcıların giriş yapmasına ve şifrelerini sıfırlamasına olanak tanır. İyi değil.
Keşif
Tamam. Bu kadar tanıtım yeter, hackleme zamanı!
Bir şirketi hacklerken her zaman bulmaya çalışırız. mümkün olan en ilginç ve en zayıf varlık. Hatalar için patlama istiyoruz.
Bu arada. Ahold hediye kartlarında maksimum 300 Euro ödül verdiğinden bugün para için hacklemiyoruz (bunu perspektife koymak gerekirse, Shopify gibi şirketler RCE hataları için 200.000 dolara kadar ödül veriyor), bu yüzden bugün bunu yalnızca interneti biraz olsun kolaylaştırmak için yapıyoruz daha emniyetli.
Ahold Delhaize büyüklüğündeki şirketlerle doğru kurulum için büyük bir zorluk kimlik yönetim sistemleri. Sürekli şirket satın alıyorlar ve eski eski sistemlerle çalışmaları gerekebilir. Tüm çalışanların kullanıcı adı, şifreleri ve erişim seviyelerini yöneten sistemler.
Böyle bir sunucunun güvenliğini ihlal ederseniz oyun biterBunu yan saldırılar gerçekleştirmek ve farklı şirket varlıklarında diğer kullanıcıların kimliğine bürünmek için kullanabilirsiniz.
Öyleyse gelin bu varlıkların peşine düşelim.
Çalışanların nereye giriş yaptığını bulmaya çalışmak iyi bir başlangıçtır. Senin için bunu Google’da araştırayım.
Web tasarımına hızlı bir bakış bize 90’ların havasını veriyor; eski kod gibi koktuğu için güvenlik araştırmacıları olarak hoşumuza giden titreşimler ve dolayısıyla yüksek güvenlik sorunları olasılığı.
Hızlı bir arama bize bu sunucunun başka bir adının olduğunu gösterir: ldap-ws-vip.aholdusa.com.
LDAP veya Basit Dizin Erişim Protokolü, bir İnternet Protokolü (IP) ağı üzerinden dağıtılmış dizin bilgisi hizmetlerine erişmek ve bu hizmetleri sürdürmek için kullanılan bir protokoldür. Kullanıcılar, gruplar, cihazlar ve izinler gibi bir ağdaki çeşitli öğeleri düzenlemek ve bulmak için yaygın olarak kullanılır ve bu da onu birçok kuruluşun BT altyapısının merkezi bir parçası haline getirir.
Bu LDAP sunucusundaki tüm ilgi çekici uç noktaları (URL’ler) keşfetmek istediğimizden, aynı zamanda artık aktif olarak bağlantılı olmayan eski mirasları yakalayın.
Bunun için kullanılabilecek harika bir araç https://github.com/tomnomnom/geri dönüş URL’leri tarafından yapıldı TomNomNom.
Araç tam anlamıyla sağlanan etki alanında şimdiye kadar dizine eklenen tüm archive.org verilerini alır ve bulabildiği tüm URL’leri / Uç Noktaları size görüntüler. Bu çok fazla gürültüye neden olur (aynı zamanda resimler ve diğer dosyalar da gösterilir), ancak listeyi belirli kelimelere göre filtrelediğinizde hızlı bir şekilde iyi bir sonuç elde edebilirsiniz.
Bu hitler geçmişte web siteleri oluşturmak için kullanılan bir kodlama dili olan Perl’e benziyor, 90’ların bebeğim! Uzantı.pl bize ipucu veriyor.
Sayfayı ziyaret ederken gönderilebilecek bir form görüyoruz.
Sunucu Tarafı Şablon Ekleme hatasını bulma
Bir sonraki adım, tüm tarayıcı trafiğini yakalayabilmemiz için bu sayfayı Burp Tarayıcısında açmaktır.