Discussione Geoserver honeypot - Strumento GIS offensivo/difensivo

Stato
Discussione chiusa ad ulteriori risposte.

Netcat

Helper
17 Gennaio 2022
523
145
379
716
Ultima modifica:
Durante la mia carriera come GIS developer, ho avuto modo di incontrare il capo di un'azienda italiana (Iptsat S.r.L) che, incredibilmente, ha portato alla mia attenzione la questione della sicurezza informatica. Durante il colloquio, mi ha introdotto un impianto denominato Geoserver. Questo software, scritto in Java, permette di pubblicare dati geospaziali e accedervi tramite client-side tools come ArcGIS, o QGIS.

Ovviamente, come tutti noi sappiamo bene, l'unico server invulnerabile è il server offline. La repository ufficiale di Geoserver, segnala già un'arsenale di vulnerabilità XSS risalenti a versioni di GS pubblicate l'anno scorso, vulnerabilità di file upload/path traversal, e in un'altra versione più datata risultava persino vulnerabile a SQLi.

Comunque, skippando il problema delle vulnerabilità già note (e fixate nell'ultima release), in seguito al mio studio su questo bellissimo strumento open source, ho deciso di creare una replica che implementa un backend scritto interamente in Python, inteso come honeypot. Questa replica imita fedelmente solo il pannello di login di Geoserver, e comunica con l'API di ipinfo.com, un servizio di geolocalizzazione. Tramite queste funzioni, l'honeypot che ho prodotto intercetta i tentativi di bruteforcing, e qualunque sorta di richiesta GET/POST. In seguito, tramite Ipinfo, geolocalizza l'attaccante, stampando delle informazioni di base. Scrivendo manualmente l'IP dell'attaccante nel pannello di Ipinfo, possiamo ottenere numerose informazioni addizionali, come se ad esempio sta usando una VPN.


Lo strumento, dimostra allo stesso tempo il workflow di un "phishing kit" che può essere usato da un attaccante per trarre in inganno un Amministratore, e convincerlo a loggarsi in un pannello falso di Geoserver, dal momento che il mio strumento logga anche le credenziali d'accesso in chiaro. Per impedire l'abuso di GShoneypot come strumento di furto di credenziali altrui, non ho implementato alcuna logica di offuscamento/evasion al codice, né il supporto per trusted TLS certs, lasciando dunque che i browser mostrino l'alert "Phishing website ahead!", rovinando la giornata dello script kiddie. Comunque, rammendo che solamente i browser moderni si accorgono al volo dei siti falsi. Se la tua azienda sta ancora con Windows XP e Firefox ESR 52, è dunque giunta decisamente l'ora di trovare la soluzione che ti impedisca di subire attacchi che potrebbero costarti denaro e reputazione. Dì NO agli hacker nord-coreani, dì SI all'Italia e a infrastrutture moderne e sicure.
 
Stato
Discussione chiusa ad ulteriori risposte.