通过一个IT管理服务提供商攻陷190个澳大利亚组织机构的邮件供应链
编译:代码卫士
数字化时代,软件无处不在。软件如同社会中的“虚拟人”,已经成为支撑社会正常运转的最基本元素之一,软件的安全性问题也正在成为当今社会的根本性、基础性问题。
随着软件产业的快速发展,软件供应链也越发复杂多元,复杂的软件供应链会引入一系列的安全问题,导致信息系统的整体安全防护难度越来越大。近年来,针对软件供应链的安全攻击事件一直呈快速增长态势,造成的危害也越来越严重。
为此,我们推出“供应链安全”栏目。本栏目汇聚供应链安全资讯,分析供应链安全风险,提供缓解建议,为供应链安全保驾护航。
注:以往发布的部分供应链安全相关内容,请见文末“推荐阅读”部分。
本文作者详述了自己如何从一个管理服务提供商入手,攻陷190家澳大利亚组织机构的邮件供应链。全文如下。
一周前我打算做一个实验,一次性扫描几百家澳大利亚组织机构,查看他们SPF记录中列出的任意IP地址是否和AWS和Azure 提供的公开IP范围之间存在重合之处。之后查看是否有IP地址已发布并可复用。结果即是查看我是否可以从已扫描域名中发送SPF(发送者策略框架,是组织机构在DNS上发布的公开记录,通常包含一系列IP地址告知收件组织机构从何处接收合法邮件和授权邮件)验证的邮件并最终将漏洞报给受影响的组织机构。
上述就是我所做的实验,之后开始过滤结果。
01抢先获得第一个IP地址
第一次检查时我发现一个本地市议会在 SPF 记录中添加了一些 /16地址拦截,这些地址和分配给虚拟机(EC2实例)的AWS IP 范围重叠。
这个市议会拥有一个非常超越权限的 SPF 记录,他们在想什么呢?他们包含了AWS 为澳大利亚 EC2实例保留的每个IP地址,即 1,048,544 个 IP 地址。
这里的问题是什么?如果AWS中的IP地址未被使用或者由客户保留,则另外一名客户可抢先获得该IP地址。由于该市议会包含了每个IP,实际上就是AWS 的 ap-southeast-2 区域(澳大利亚悉尼)的任意EC2实例中均包含可代表该域名发送的IP地址。
于是我展开了测试,第一个EC2 实例含有授权IP地址,我可以从该市议会给自己发送一份 SPF 验证邮件,通过了所有的SPF和DMARC检查。
02开源情报工作
对于为何有人会这样配置 SPF 记录我百思不得其解,于是决定尝试并调查其中的原因。
分析 SPF 记录:我发现SPF记录中包含的 AWS IP 块源自嵌入式域名查询 pre.net.au。该市议会使用的是 .gov.au 域名结构,而这一个结构似乎源自另外一家澳洲公司。
进行WHOIS 查询:此时,我开始认为IT管理服务提供商 (MSP) 可能设立了市议会的 SPF 记录,通过快速查询pre.net.au 的WHOIS 后验证了这个想法!该域名为一家澳大利亚 IT MSP 和 Web 开发公司 Precedence Group 所有。
03枚举MSP
访问了 Precedence Group 网站后,发现导航栏中包含一个名为 Portfolio 的链接,当时我认为可能仅有5个或10个关联企业。
但事实并非如此。Precedence Group 记录列出了有业务往来的每个组织机构,且并非仅仅列出了公司名称或标志还列出了客户的域名。
点击了几个网站后我还发现 Precedence Group 在自己所设计的每个网站底部都包含一个文本片段 “web design by precedence”。
于是我决定通过谷歌搜索所有含 “web design by precedence” 的网站,并抓取 Precedence Group Portfolio 页面中的所有客户域名,最终我找到了329个客户域名。
04头奖!
令人震惊的是,我可以抓取329个客户域名(225个源自网站,27个源自谷歌,77个通过其它渠道获取),我决定再来一次扫描,不过这次只关注 Precedence Group 客户。
几分钟后得到了结果。同样的 “pre.net.au” SPF 查询出现在329个客户中的190个中。这190个客户范围广泛,从市议会、金融资讯、航班服务、金融贷款、律所、建筑公司等等不一而足。
05这种情况持续了多久?!
这些组织机构及其下游客户面临风险的情况持续了多久?
为此,我运行了历史DNS查询并追踪易受攻击 SPF 记录的初始创建日期。幸运的是,我发现该域名一直在通过在线工具 SecurityTrails 追踪。之后发现这个越权情况严重的 SPF 记录在近3年前就创建了,组织机构可能自此之后就易受攻击。
06风险是什么?
这190个客户及其下游客户均遭受商业邮件攻陷和钓鱼相关攻击的重大风险。任何人,只要通过信用卡即可注册AWS 账户、获得EC2实例、请求WAS 删除任意SMTP限制并以其中任意组织机构的名义发送 SPF 验证邮件。
07总结
控制自己的邮件发件人供应链对于确保组织机构和客户不会陷入和邮件威胁相关的不必要风险至关重要。通过使用免费的域名扫描工具 CanIPhish,可以对邮件发件人和收件人供应链进行最大程度的可视化。
识别易受攻击的组织机构工作尚在早期阶段。在接下来的数周/数月时间内,随着扩大扫描范围并改进扫描方法,我将会找到更多的组织机构。
目前本文中提到的部分漏洞已修复。
11个恶意python包被指窃取 Discord 令牌、安装shell
对话奇安信代码安全丨十年砥砺前行 迎来软件供应链安全的风口
“木马源”攻击影响多数编程语言的编译器,将在软件供应链攻击中发挥巨大作用GitHub 在 “tar” 和 npm CLI 中发现7个高危的代码执行漏洞
流行的 NPM 包依赖关系中存在远程代码执行缺陷
速修复!热门npm 库 netmask 被曝严重的软件供应链漏洞,已存在9年
Npm 恶意包试图窃取 Discord 敏感信息和浏览器文件
微软“照片”应用Raw 格式图像编码器漏洞 (CVE-2021-24091)的技术分析
速修复!热门npm 库 netmask 被曝严重的软件供应链漏洞,已存在9年
SolarWinds 供应链事件后,美国考虑实施软件安全评级和标准机制
找到软件供应链的薄弱链条
GitHub谈软件供应链安全及其重要性
揭秘新的供应链攻击:一研究员靠它成功入侵微软、苹果等 35 家科技公司开源软件漏洞安全风险分析
开源OS FreeBSD 中 ftpd chroot 本地提权漏洞 (CVE-2020-7468) 的技术分析
集结30+漏洞 exploit,Gitpaste-12 蠕虫影响 Linux 和开源组件等限时赠书|《软件供应链安全—源代码缺陷实例剖析》新书上市
热门开源CI/CD解决方案 GoCD 中曝极严重漏洞,可被用于接管服务器并执行任意代码
GitKraken漏洞可用于盗取源代码,四大代码托管平台撤销SSH密钥
因服务器配置不当,热门直播平台 Twitch 的125GB 数据和源代码被泄露
彪马PUMA源代码被盗,称客户数据不受影响朝鲜黑客伪装成三星招聘人员诱骗安全研究员,或发动供应链攻击
谷歌等联合推出最小可行安全产品 (MVSP),列出供应链供方应满足的最低安全要求
NPM 修复两个严重漏洞但无法确认是否已遭在野利用,可触发开源软件供应链攻击
https://caniphish.com/phishing-resources/blog/compromised-australian-email-infrastructure
题图:Pixabay License
本文由奇安信编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。
奇安信代码卫士 (codesafe)
国内首个专注于软件开发安全的产品线。