Quand vos serveurs se transforment en supermarché

Je vais vous parler des risques lié au serveurs

Les serveurs cloud, les boîtes mail, les serveurs FTP et les bases de données MySQL ou MariaDB donnent souvent l’illusion d’être sécurisé comme un coffres forts alors qu’en pratique ce sont parfois des portes entrouvertes remplis de documents sensibles.

Pour un hacker chaque erreur de configuration devient une occasion de récupérer des IBAN, des copies de cartes d’identité, des photos personnelles, des contrats, des sauvegardes complètes ou même des mots de passe et des clés techniques laissés en clair.

Sur un espace cloud mal protégé un simple accès public oublié peut exposer des dossiers entiers de RIB, de factures ou de dump de bases de données téléchargeables sans la moindre authentification.

Une boîte mail compromise peut révéler des années de conversations privées, des pièces jointes confidentielles et des codes de réinitialisation qui ouvrent ensuite d’autres services.

Un serveur FTP non filtré sert souvent de zone de transit ou sont stocker des certificats PEM encore valides, des clés privées ou des listes d’email parfait pour le phishing.

Une base MySQL ou MariaDB accessible depuis internet permet de récupérer en masse nom, emails, hashes de mots de passe, logs de connexion, tokens d’accès et tout ce qui décrit la vie numérique d’utilisateurs ou le fonctionnement interne d’une entreprise.

Pour trouver ce genre de serveurs les hacker ne se contentent pas de scanner au hasard ils s’appuient sur des moteurs de recherche spécialisés comme Shodan ou Censys qui indexent les services exposés sur Internet.

Ils peuvent lister des milliers d’instances mal configurés parfois avec la version du logiciel et même des extraits de données renvoyés en clair.

Ces plateformes permettent d’identifier les cibles les plus fragiles bases ouvertes au monde entier interfaces d’admin accessibles, services oubliés qui tournent toujours avec des paramètres par défaut.  

Une fois un service trouver l’attaquant peut passer à l’étape suivante aller chercher ce qui traîne et transformer une faille en incident majeur.

Les certificats PEM et les clés récupérés peuvent servir à monter des attaques de type MITM il se place entre la victime et un site pour intercepter ou modifier les échanges sans alerte visible dans le navigateur.

Les listes d’emails, associés à des noms et parfois à des informations complémentaires trouvées dans les bases ou les mails alimentent des campagnes de phishing massives mais crédibles avec des messages qui imitent parfaitement le style d’un fournisseur, d’une banque ou d’un supérieur hiérarchique.

Les logs et fichiers de configuration donnent en plus une carte détaillée de l’infrastructure permettant d'aller encore plus loin dans la cyberattaque.

Dans ce tableau un outil comme Hydra cité dans un précédent article vient renforcer encore plus le processus côté bruteforce.

Hydra permet d’automatiser le test de milliers de combinaisons identifiant et mot de passe sur des services comme SSH, FTP, POP3, IMAP, HTTP, MySQL et d’autres jusqu’à ce qu’une combinaison fonctionne.

En combinant les informations récoltées sur les serveurs mal protégés avec des wordlist adaptés le hacker augmente ses chances.

Chaque accès obtenu lui donne de nouvelles données à exploiter.

Au final le hacker n’a pas besoin de techniques avancés des services exposés par erreur, des configurations par défaut, des mots de passe faibles, des sauvegardes non chiffrées et des clés oubliées suffisent à alimenter une chaîne d’attaques.