Dzisiejszej nocy poinformowaliśmy Was o udanym ataku UGNazi na serwery 4chan.org. Podejrzewaliśmy, że do przekierowania ruchu 4chan.org na Twittera UGNazi doszło przez włamanie do CloudFlare. Przed chwilą poznaliśmy szczegóły tej operacji.
Artykuł zaktualizowany o nowe szczegóły techniczne
CloudFlare to znana na całym świecie firma działająca jako serwer proxy na witryn www. Obsługuje tysiące mniejszych i większych serwisów na całym świecie. Jest bardzo prosta w konfiguracji, w większości zastosowań całkowicie darmowa a jej działanie najlepiej opisuje poniższy obrazek.
Prezes firmy CloudFlare, Matthew Prince, opisał na firmowym blogu, jak doszło do włamania do jego firmy, którego skutkiem było przekierowanie ruchu serwisu 4chan.org. Okazuje się, że cała operacja była dość skomplikowana i zajęła włamywaczom ponad 2 tygodnie. Przypomnijmy, że wczoraj na Twitterze CloudFlare pojawiła się informacja o włamaniu na konto email jednego z pracowników.
Okazuje się, że nie było to konto przypadkowego pracownika, tylko właśnie konto prezesa. Jak do tego doszło?
Przejęcie konta Google
W połowie maja Google otrzymało prośbę dotyczącą prywatnego konta email prezesa CloudFlare, [email protected]. Hasło do konta miało ponad 20 znaków, duży poziom złożoności i nie było użyte w żadnym innym serwisie. Mimo to, prawdopodobnie korzystając z możliwości autoryzacji poprzez odpowiedź na serię pytań, włamywacz po 2 tygodniach przekonał Google, by dopisało do konta dodatkowy adres email służący do odzyskiwania hasła (recovery email).
Jak podał serwis SecurityWeek i sam poszkodowany, do przejęcia konta Google została wykorzystana poczta głosowa. Konto prezesa CloudFlare było skojarzone z jego numerem komórki. Włamywaczom udało się (prawdopodobnie po ataku socjotechnicznym na pracowników sieci komórkowej) przejąć kontrolę nad jego pocztą głosową. Następnie zainicjowali reset hasła, wykorzystując opcję wiadomości głosowej od Google. Wybrali moment, w którym prezes CloudFlare nie odebrał telefonu, przejęli nagranie ze skrzynki głosowej i zresetowali hasło dostępowe do konta.
Przejęcia firmowego konta Google Apps
Firmowe konto Google Apps ([email protected]) jako dodatkowy adres email do odzyskiwania hasła przypisany miało prywatny adres prezesa. Włamywacz wykorzystał ten fakt, by zresetować hasło konta Google Apps. Co ciekawe, wszystkie firmowe konta Google Apps korzystały z dwuczynnikowego uwierzytelnienia. Mimo tego nie było to przeszkodą dla włamywacza, który, jak wyjaśniło Google, skorzystał z „drobnego błędu w procedurze odzyskiwani a hasła, który dotyczył tylko części kont i został już zablokowany”.
Jak się okazuje, ten „drobny błąd” polegał na tym, że dwuczynnikowe uwierzytelnienie nie było wymagane w procesie odzyskiwania hasła, jeśli możliwe było jego przesłanie na inne konto email skojarzone z kontem podstawowym. Ten błąd w logice biznesowej pozwolił włamywaczom na przejęcie konta w Google Apps bez dostępu do drugiego czynnika uwierzytelnienia.
Przejęcie konta 4chan na CloudFlare
Posiadając dostęp do konta CloudFlare na Google Apps, włamywacz zainicjował procedurę resetu konta jednego z setek tysięcy użytkowników CloudFlare, czyli 4chanu. Skorzystał przy tym z procedury, która wszystkie wiadomości związane z resetem hasła wysyłała nie tylko do posiadacza konta, ale także kopię przekazywała na konto CloudFlare (podobno w celu nadzoru nad procedura odzyskiwania hasła). Mają dostęp do tego konta, włamywacz sfinalizował reset hasła 4chanu i zmienił przekierowanie DNS tak, by wszyscy odwiedzający 4chan lądowali na Twitterze UGNazi.
Podsumowanie
CloudFlare twierdzi, że dane klientów nie wyciekły, a atak dotyczył tylko i wyłącznie jednego konta abonenckiego (chociaż mógł każdego innego). Dodatkowo wdrożono niezbędne zmiany: emaile z resetem hasła klienta nie będą już trafiać na konto CloudFlare, prezes uruchomił dwuczynnikowe uwierzytelnienie na swoim prywatnym koncie i pozmieniał wszystkie hasła. Co ciekawe, Twitter firmy wspomina o resecie wszystkich klienckich kluczy API (patrz poniżej), a na blogu firmy nie ma o tym mowy.
Nie da się ukryć, że UGNazi poświęcili wiele wysiłku, by przekierować stronę 4chanu. Mając dostęp do konta Google Apps CloudFlare mogli zapewne spowodować dużo więcej szkód dla tej firmy – szczęście CloudFlare, że nie oni byli finalnym celem ataku. Jest to jednocześnie ważnym przypomnieniem dla klientów CloudFlare i serwisów o podobnym działaniu – oddając komuś jeszcze kontrolę nad swoimi ustawieniami DNS zwiększamy ryzyko, że ulegną one niespodziewanej zmianie.
Komentarze