Интересное исследование, демонстрирующее важность корректной настройки межсетевых экранов и механизма отслеживания состояния активных сетевых подключений (stateful inspection)

В рамках работы авторы просканировали IPv4-пространство адресов по 15 наиболее популярным портам, подменив в запросах порт источника на 80 (TCP) и 53 (UDP).
По итогам скана было обнаружено более 2 миллионов сервисов, распределенных по 15837 автономным системам и 221 стране и региону, которые были "скрыты" за NAT

Интересные кейсы по результатам сканирования:
В сети интернет-провайдера Truespeed было обнаружено почти 11 тысяч кастомизированных маршрутизаторов Linksys, вероятно, имеющих дефектное правило iptables, которое позволяет входящим TCP-соединениям, инициированным с порта 80, обходить межсетевой экран. При дальнейшем анализе было установлено, что теоретически это позволяло проэксплуатировать RCE в прошивках таких роутеров.
Официальные образы Ubuntu в Oracle Cloud поставлялись с некорректным правилом iptables, которое по умолчанию разрешало любые входящие UDP-датаграммы с исходного порта 123. Это правило, предназначенное для ответов NTP, создавало лазейку, поскольку не отслеживалось состояние соединения, а оно было предустановлено на всех виртуальных машинах, использующих официальные образы Ubuntu! После уведомления исследователей Oracle Cloud удалила это ошибочное правило из своих образов Ubuntu.
Среди наиболее "уязвимых" автономных систем можно выделить подсети итальянского интернет-провайдера (AS1267), а также AS, принадлежащие таким крупным организациям как Apple, SpaceX, Cisco, Tencent, Google, Yandex (AS13238), Cloudflare, Tesla.
Было выявлено много сервисов и хостов, использующих устаревшее ПО или отсутствие какой-либо аутентификации. Например, больше 1000 серверов позволяли получить доступ к IPMI без аутентификации, а почти три тысячи хостов c SSH подвержены уязвимости CVE-2024-6387.

#firewall #yandex #misconfiguration #research #cve