一名研究人员发现了大型机的一个安全漏洞,因此获得root访问权,进而得以访问大型机上关键的敏感数据。
你知道安全研究人员眼里“难啃的硬骨头”是什么吗?大型机。
这种高性能系统通常为大规模计算而设计,是安全测试和研究方面的最后堡垒,因为它们通常被认为是地球上最安全的平台。这就是为什么这种系统是普通人每天所依赖的几乎所有重要交易/事务的核心,包括银行电汇及ATM交易、机票预订以及处理全球各地无数零售网点的数百万笔支付。
但是一个不争的事实是,想访问大型机来得异常困难,因而安全测试就算并非没有可能,至少也是困难重重。
咨询公司Wavestone的安全审计员阿尤伯·埃拉索尔(Ayoub Elaassal)是能够访问大型机开展审计工作的幸运儿之一。该大型机运行的是z/OS,这是IBM为其z Series大型机开发的一款专用操作系统。
没过多久,他就发现了一个安全漏洞;如果钻该漏洞的空子,他就能获得访问大型机的root权权,进而可以访问系统上关键的敏感数据。
上周他在电话那头告诉我:“我们有可能闯入整个系统,想干什么就能干什么,比如截获交易内容、发电汇。”
埃拉索尔发现,在许多情况下,该大型机的任何一个用户都可以更新关键的系统库或目录,即所谓的授权程序工具(APF)。据他估计,所有审计中多达一半显示了易于访问的可更新库,因而受到影响的大型机面临遭到攻击的风险。
埃拉索尔写了几段脚本,可以将用户的权限提升到最高级别的“root”权限。其中一段脚本编译了有效载荷(payload),然后将有效载荷投入到这其中一个敏感的目录,实际上本身成了系统的一个可信部分。随后,恶意的有效载荷翻转了几个字节,为用户授予了该大型机的“root”或“特别”权限。
他解释:“一旦你有了这种手段(即后门),就可以为所欲为了。你可以更改存储的内容,吊销用户,关闭机器――你可以做一切。”
埃拉索尔原定于在拉斯维加斯召开的黑帽大会上发言,却被美国当局拒绝入境。他的工具是开源的,现放在GitHub上(https://github.com/ayoul3/Privesc)。
好消息是,这不是一种完全悄无声息的攻击。埃拉索尔表示,由于脚本改变了用户的权限,公司企业应该会引起注意,因为它们通常监控这种操作。
他说:“借助该工具,你完全可获得root权限。要是有人突然在早上5点以管理员的身份进入系统,那不正常。”
IBM z Series大型机
埃拉索尔表示,这个威胁仅限于访问大型机的那些人,但他特别指出:凡是可远程访问的人都能执行权限升级攻击,包括远程站点或分支机构的员工。他说:“你不需要人非得在大型机跟前。如果你去银行,会发现每个银行客户专员都可以访问大型机。”
他说:“如果是家银行,你可以电汇、洗钱、给银行账户清零。你可以关闭大型机,偷走银行的钱;如果是家大银行,损失可能高达数百万美元。”
他说,只要拥有root权限,“就可以删除一切。”
我问他为何后来发布了将用户权限提升到极具破坏性的级别的工具。他说,确保负责任的用户权限和大型机安全的义务完全落在所有者的身上,而这不是IBM可以轻松解决的。
他开玩笑说:“在过去,有荷枪实弹的人确保大型机的安全。现在,这些敏感系统文件默认情况下可以被大型机上的成千上万个用户访问。”
他补充道:“许多公司发现,制定适当的细粒度规则、规定到底谁可以访问什么内容费时又费力。它们通常抱着‘反正没人知道黑入大型机,何必操这份心?’的心态。现在,它们再也不能有这样的心态了。”
他说:“控制访问权其实落到了客户的手里。”
相关阅读:
中高端IT圈人群,欢迎加入!
赏金制:欢迎来爆料!长期有效!
