Weet je wat niet “sexy” is voor beveiligingsonderzoekers? Mainframe.
deze high-performance systemen die typisch zijn ontworpen voor grootschalige computing zijn het laatste bastion van beveiligingstests en-onderzoek omdat ze doorgaans worden beschouwd als het meest veilige platform op aarde. Daarom vormen deze systemen de kern van bijna elke kritieke transactie waar gewone mensen elke dag op vertrouwen — inclusief bankoverschrijvingen en geldautomaten, het boeken van vluchten en het afhandelen van miljoenen betalingen bij winkels over de hele wereld.
maar wat de aantrekkingskracht niet helpt is dat mainframes berucht moeilijk toegankelijk zijn, waardoor beveiligingstests moeilijk, zo niet onmogelijk zijn.Ayoub Elaassal, een beveiligingsauditor bij adviesbureau Wavestone, was een van de weinigen die toegang hadden tot een mainframe voor een audit. Het draaide z/OS, een gespecialiseerd besturingssysteem gebouwd door IBM voor de Z-serie machines.
het duurde niet lang voordat hij een kwetsbaarheid vond die hem, indien benut, root-toegang had kunnen geven tot een mainframe en zijn vitale, gevoelige gegevens.
” we kunnen mogelijk het hele systeem in gevaar brengen, en wat we ook willen-zoals het onderscheppen van transacties en het uitgeven van overschrijvingen,” vertelde hij me vorige week aan de telefoon.
Elaassal vond dat belangrijke systeembibliotheken , of directory ‘ s-bekend als authorized program facilities (APFs) – in veel gevallen kunnen worden bijgewerkt door een van de mainframe-gebruikers. Volgens zijn schatting, maar liefst de helft van alle audits tonen toegankelijke actualiseerbare bibliotheken, zei hij, en daarom getroffen mainframes op het risico van een aanval.
Elaassal schreef verschillende scripts die de privileges van een gebruiker kunnen escaleren naar het hoogste “root” niveau. Een van de scripts compileert een payload en plaatst het in een van deze gevoelige mappen, effectief steeds een vertrouwd deel van het systeem zelf. De kwaadaardige payload draait dan een aantal bytes en verleent de gebruiker ” root “of” speciale ” privileges op de mainframe.
” zodra je dat soort hefboomwerking-die achterdeur-je kunt doen wat je wilt,” legde hij uit. “Je kunt het geheugen veranderen, gebruikers intrekken, de machine uitschakelen — je kunt alles doen.”
Elaassal zou een lezing geven op de Black Hat conferentie in Las Vegas, maar werd de toegang tot de VS ontzegd. Zijn tools zijn open-source en zijn beschikbaar op GitHub.
het goede nieuws is dat het geen volledig stille aanval is. Omdat het script de toestemming van een gebruiker verandert, moet een bedrijf ervoor zorgen dat het controleert, zei Elaassal.
“met het gereedschap krijg je gewoon root”, zei hij. “Als iemand plotseling om 5 uur’ s ochtends admin wordt, is dat niet normaal.”
Elaassal zei dat de dreiging is beperkt tot degenen met toegang tot de mainframe, maar merkte op dat iedereen met toegang op afstand de Privilege escalatie aanval kan uitvoeren, met inbegrip van externe of bijkantoor personeel. “Je hoeft niet fysiek op de mainframe,” zei hij. “Als je naar de bank gaat, heeft elke bankagent toegang tot het mainframe.”
“als het een bank is, kunt u overschrijvingen doen, witwassen van geld, voeg nul toe aan een bankrekening,” zei hij. “Je kunt de mainframe afsluiten en het bankgeld verliezen — echt geld, wat miljoenen kan zijn voor een grote bank.”
met root privileges, zei hij, ” je kon alles wissen.”
ik vroeg hem waarom hij dan tools zou vrijgeven die de privileges van een gebruiker zouden escaleren tot een schadelijk niveau. Hij zei dat de taak van het waarborgen van verantwoordelijke gebruiker machtigingen en mainframe beveiliging landt vierkant met de eigenaar, en niet iets dat IBM gemakkelijk kan repareren.”Security on a mainframe used to be a guy with a gun,” grapte hij. “Nu zijn deze gevoelige systeembestanden standaard toegankelijk voor honderdduizenden gebruikers op een mainframe.”
” bedrijven vinden het moeilijk en tijdrovend om goede fijnkorrelige regels op te zetten om precies te bepalen wie toegang krijgt tot wat,” voegde hij eraan toe. “Ze komen meestal weg met’ niemand weet hoe het te hacken toch, dus waarom de moeite? Nu kunnen ze dat niet meer zeggen.”
” het is echt in de handen van de klanten om de toegang te controleren,” zei hij.