Wissen Sie, was für Sicherheitsforscher nicht „sexy“ ist? Mainframes.
Diese Hochleistungssysteme, die typischerweise für Großrechner entwickelt wurden, sind die letzte Bastion von Sicherheitstests und -forschung, da sie normalerweise als die sicherste Plattform der Welt gelten. Aus diesem Grund stehen diese Systeme im Mittelpunkt fast jeder kritischen Transaktion, auf die sich normale Menschen täglich verlassen – einschließlich Banküberweisungen und Geldautomatentransaktionen, Flugbuchungen und der Abwicklung von Millionen von Zahlungen in Einzelhandelsgeschäften auf der ganzen Welt.
Aber was dem Appell nicht hilft, ist, dass Mainframes notorisch schwer zugänglich sind, was Sicherheitstests schwierig, wenn nicht unmöglich macht.
Ayoub Elaassal, ein Sicherheitsprüfer bei der Beratungsfirma Wavestone, war einer der wenigen Glücklichen, die für ein Audit auf einen Mainframe zugreifen konnten. Es lief z / OS, ein spezialisiertes Betriebssystem, das von IBM für seine Maschinen der z-Serie entwickelt wurde.
Er brauchte nicht lange, um eine Schwachstelle zu finden, die ihm, wenn sie ausgenutzt würde, Root-Zugriff auf einen Mainframe und seine wichtigen, sensiblen Daten verschafft hätte.
„Wir könnten potenziell das ganze System kompromittieren, und zu allem, was wir wollen – wie das Abfangen von Transaktionen und das Ausgeben von Überweisungen“, sagte er mir letzte Woche am Telefon.
Elaassal fand heraus, dass wichtige Systembibliotheken oder Verzeichnisse – bekannt als Authorized Program Facilities (APFs) – in vielen Fällen von jedem Benutzer des Mainframes aktualisiert werden konnten. Nach seiner Schätzung zeigen bis zu die Hälfte aller Audits zugängliche aktualisierbare Bibliotheken und gefährden daher betroffene Mainframes.
Elaassal schrieb mehrere Skripte, die die Privilegien eines Benutzers auf die höchste „Root“ -Ebene eskalieren können. Eines der Skripte kompiliert eine Nutzlast und platziert sie in einem dieser sensiblen Verzeichnisse, wodurch sie effektiv zu einem vertrauenswürdigen Teil des Systems selbst wird. Die bösartige Nutzlast dreht dann einige Bytes um und gewährt dem Benutzer „Root“ – oder „Special“ -Berechtigungen auf dem Mainframe.
„Sobald du diese Art von Hebelwirkung hast – diese Hintertür – kannst du tun, was immer du willst“, erklärte er. „Sie können den Speicher ändern, Benutzer sperren, den Computer herunterfahren – Sie können alles tun.“
Elaassal sollte auf der Black Hat Conference in Las Vegas einen Vortrag halten, wurde aber die Einreise in die USA verweigert. Seine Tools sind Open Source und auf GitHub verfügbar.
Die gute Nachricht ist, dass es sich nicht um einen völlig stillen Angriff handelt. Da das Skript die Berechtigung eines Benutzers ändert, sollte ein Unternehmen sicherstellen, dass es überwacht wird, sagte Elaassal.
„Mit dem Tool bekommt man einfach root“, sagte er. „Wenn jemand um 5 Uhr morgens plötzlich Administrator wird, ist das nicht normal.“
Elaassal sagte, dass die Bedrohung auf diejenigen beschränkt ist, die Zugriff auf den Mainframe haben, stellte jedoch fest, dass jeder mit Remotezugriff den Privilege Escalation-Angriff ausführen kann, einschließlich Remote- oder Zweigstellenpersonal. „Sie müssen nicht physisch am Mainframe sein“, sagte er. „Wenn Sie zur Bank gehen, hat jeder Bankagent Zugriff auf den Mainframe.“
„Wenn es eine Bank ist, können Sie Überweisungen durchführen, Geldwäsche betreiben und einem Bankkonto Null hinzufügen“, sagte er. „Sie können den Mainframe herunterfahren und das Bankgeld verlieren – echtes Geld, das für eine große Bank Millionen sein kann.“
Mit Root-Rechten sagte er: „Sie könnten alles löschen.“
Ich fragte ihn, warum er dann Tools veröffentlichen würde, die die Privilegien eines Benutzers auf eine schädliche Ebene eskalieren würden. Er sagte, die Verantwortung für die Gewährleistung verantwortlicher Benutzerberechtigungen und Mainframe-Sicherheit liege direkt beim Eigentümer und nicht bei etwas, das IBM leicht beheben könne.
„Security auf einem Mainframe war früher ein Typ mit einer Waffe“, scherzte er. „Jetzt sind diese sensiblen Systemdateien standardmäßig für Hunderttausende von Benutzern auf einem Mainframe zugänglich.“
„Unternehmen finden es schwierig und zeitaufwändig, angemessene feinkörnige Regeln einzurichten, um genau zu definieren, wer Zugriff auf was erhält“, fügte er hinzu. „Sie kommen normalerweise mit“Niemand weiß sowieso, wie man es hackt, warum also die Mühe machen? Jetzt können sie das nicht mehr sagen.“
„Es liegt wirklich in den Händen der Kunden, den Zugang zu kontrollieren“, sagte er.