Sai cosa non sono “sexy” per i ricercatori di sicurezza? Mainframe.
Questi sistemi ad alte prestazioni in genere progettati per l’elaborazione su larga scala sono l’ultimo bastione di test di sicurezza e di ricerca perché in genere sono considerati la piattaforma più sicura sulla Terra. È per questo che questi sistemi sono al centro di quasi tutte le transazioni critiche su cui la gente comune si basa ogni giorno-inclusi bonifici bancari e transazioni ATM, prenotazione di voli e gestione di milioni di pagamenti nei punti vendita di tutto il mondo.
Ma ciò che non aiuta l’appello è che i mainframe sono notoriamente difficili da accedere, rendendo difficili i test di sicurezza, se non impossibili.
Ayoub Elaassal, un auditor di sicurezza presso la società di consulenza Wavestone, è stato uno dei pochi fortunati che sono stati in grado di accedere a un mainframe per un audit. Era in esecuzione z / OS, un sistema operativo specializzato costruito da IBM per le sue macchine della serie Z.
Non ci ha messo molto a trovare una vulnerabilità che, se sfruttata, avrebbe potuto dargli accesso root a un mainframe e ai suoi dati vitali e sensibili.
“Potremmo potenzialmente compromettere l’intero sistema e tutto ciò che vogliamo like come intercettare transazioni e emettere bonifici”, mi ha detto al telefono la scorsa settimana.
Elaassal ha scoperto che le librerie di sistema chiave, o directory-note come authorized Program Facilities (APFs), potrebbero in molti casi essere aggiornate da qualsiasi utente del mainframe. Secondo la sua stima, ben la metà di tutti gli audit mostrano librerie aggiornabili accessibili, ha detto, e quindi mettono i mainframe interessati a rischio di attacco.
Elaassal ha scritto diversi script che possono aumentare i privilegi di un utente al più alto livello “root”. Uno degli script compila un payload e lo inserisce in una di queste directory sensibili, diventando effettivamente una parte affidabile del sistema stesso. Il payload dannoso quindi ribalta alcuni byte e concede all’utente privilegi “root” o “speciali” sul mainframe.
“Una volta che hai quel tipo di leva leverage quella backdoor can puoi fare quello che vuoi”, ha spiegato. “Puoi cambiare la memoria, revocare gli utenti, spegnere la macchina can puoi fare qualsiasi cosa.”
Elaassal doveva tenere un discorso alla Black Hat conference di Las Vegas, ma gli fu negato l’ingresso negli Stati Uniti. I suoi strumenti sono open-source e sono disponibili su GitHub.
La buona notizia è che non è un attacco completamente silenzioso. Perché lo script cambia il permesso di un utente, questo è qualcosa che una società dovrebbe garantire che controlla, ha detto Elaassal.
“Con lo strumento, ottieni solo root”, ha detto. “Se qualcuno diventa un amministratore all’improvviso alle 5 del mattino, non è normale.”
Mainframe IBM serie Z. (Immagine: file foto)
Elaassal ha detto che la minaccia è limitata a quelli con accesso al mainframe, ma ha osservato che chiunque con accesso remoto potrebbe effettuare l’attacco privilege escalation, tra cui personale remoto o filiale. “Non è necessario essere fisicamente al mainframe”, ha detto. “Quando vai in banca, ogni agente di banca ha accesso al mainframe.”
“Se si tratta di una banca, puoi fare bonifici, riciclaggio di denaro, aggiungere zero a un conto bancario”, ha detto. “Puoi spegnere il mainframe e perdere i soldi della banca money soldi veri, che possono essere milioni per una grande banca.”
Con i privilegi di root, ha detto: “potresti cancellare tutto.”
Gli ho chiesto perché avrebbe rilasciato strumenti che avrebbero aumentato i privilegi di un utente a un livello dannoso. Ha detto che l’onere di garantire autorizzazioni utente responsabili e terre di sicurezza mainframe ad angolo retto con il proprietario, e non qualcosa che IBM può facilmente risolvere.
“La sicurezza su un mainframe era un ragazzo con una pistola”, ha scherzato. “Ora, questi file di sistema sensibili sono accessibili di default da centinaia di migliaia di utenti su un mainframe.”
“Le aziende trovano difficile e dispendioso in termini di tempo impostare regole appropriate a grana fine per definire esattamente chi ha accesso a cosa”, ha aggiunto. “Di solito se la cavano con’ nessuno sa come hackerarlo comunque, quindi perché preoccuparsi? Ora non possono più dirlo.”
“È davvero nelle mani dei clienti controllare l’accesso”, ha affermato.