接触管理接口是攻击者的宝贵的入口点。中钢协绑定操作指令23-02呼吁让他们从互联网。这是一个新颖的方法寻找这些难以捉摸的设备用得到。

网络安全和基础设施安全机构(CISA)最近出版的绑定操作指令(BOD) 23-02指示美国联邦机构来管理接口的网络,从而降低风险。中钢协定义了网络管理接口为“专用设备接口可通过网络协议,是专门为授权用户在设备上执行管理活动,一组设备,或网络本身。”

而中钢协指导是特定于美国联邦政府机构,任何组织的问题是很重要的。服务器和设备通常有管理接口用于远程设备的配置和管理。这些通常是连接到一个带外网段,但是有时不经意间物理或逻辑上连接到互联网。因为这些是用于管理服务器、网络硬件,任何组织是非常重要的,以确保他们不直接接触到互联网。他们很难找到几个原因:

• 网络管理接口往往专有/供应商,可能看起来就像另一个服务在成百上千的合法组织提供的服务。
• 网络管理接口可能没有任何公开漏洞相关,因此不会识别通过漏洞管理项目。

虽然有很多方法来识别网络管理接口,暴露在互联网上,这个博客展示了一种新颖的方法,寻找难以界定的设备可能是有用的。

发现方案得到信息

服务位置协议(SLP)提供一种方法来发现网络信息服务,包括它们的存在位置和配置。使用两种代理SLP目录和广告服务:服务代理(SA)与一个或多个服务交易而目录代理(DA)处理服务跨多个服务代理。最频繁、服务代理在同一个主机上运行广告服务目录代理处理服务跨多个主机。SLP编目的服务包括网络服务、打印机、照相机、目录服务、存储网络,虚拟化基础设施、web服务、汽车系统等等。我们可以用SLP数据获得服务代理寻找最有可能的服务描述网络管理接口。

以下插件站得住脚的脆弱性管理(原名Tenable.io),成立安全中心(原Tenable.sc)和站得住脚的Nessus可以用来发送特定SLP请求和解析结果:

插件ID	的名字
23778年	得到服务器检测(UDP)
23777年	得到服务器检测(TCP)
175142年	SLP找到属性

前两个方案得到服务器的输出检测插件标识是否远程主机运行方案得到的服务,无论它是一个目录代理或服务代理和服务得到服务器知道。最后一个插件,SLP发现属性,问题得到属性为每个服务请求命令中发现前两个插件。这使方案得到服务器列表所有它知道该服务的属性,可能信息的宝库。

属性可以定义每个服务甚至是特别的,所以确实需要一些检索的属性数据分析。然而,通过扫描可以得到数据泄露信息的节目主持人。

插件23778指示得到服务的例子

图片来源:成立,2023年7月

插件175142指示SLP服务属性的示例

图片来源:成立,2023年7月

找到管理接口

带外服务器管理界面,如综合管理模块(IMM),集成熄灯(iLo)和集成戴尔远程访问控制器(iDRAC),可以观察得到。它也可以识别管理接口存储设备、打印机等等。下面的列表SLP服务可能包括相关属性信息网络化管理界面:

得到服务名称	它暴露了什么?
服务:VMwareInfrastructure	VMWare ESX & ESXi
服务:cmm.smci	超微型计算机更新管理器(总和)
服务:api: https	戴尔和HPE存储
服务:lenovo-smm	联想(Lenovo)系统管理模块
服务:management-hardware.Lenovo: lenovo-xclarity-controller	联想xclarity控制器
服务:x-mgmt.avago:文理学院	英特尔/ Avago RAID管理
服务:raid.001378: http	存储设备(QSAN等)
服务:打印机	打印机
服务:management-hardware.IBM: integrated-management-module2 服务:management-hardware.IBM: integrated-management-module	IBM管理模块

表来源:成立,2023年7月

虽然有更多的服务值得探索,这些都是一些最常见的。

只是快速浏览互联网服务:管理硬件或服务:管理软件服务揭示了几听主持人,虽然可能还有更多:

观察到的主机	得到服务名称
10611年	服务:VMwareInfrastructure
61年	服务:management-hardware.IBM: integrated-management-module2
58	服务:管理 t-hardware.Lenovo: lenovo-xclarity-controller
3	服务:management-software.IBM:平台代理
3	服务:management-hardware.IBM: integrated-management-module
1	服务:management-software.IBM:硬件管理控制台

表来源:成立,2023年7月

例如,下面的屏幕截图显示了web接口的设备使用上述扫描发现的。

图片来源:截图采取成立时发现了一个IBM web界面,扫描一个例子,2023年7月

其中的一些公开的服务也可能表明一个内部和外部IP地址。

服务:raid.001378: http(vendor=Qsan Technology),(model=PerseusAPL),(product=XN3004T),(type=UNIFIED),(hostname=XXXXXX),(version=3.4.2),(builddate=202211290200),(dev=LAN1),(link=Up),(ip=192.168.X.X),(remoteip=XXX.XXX.XXX),(mac=00:13:78:XX:XX:XX),(serial=XXXXXXXXXX),(httpPort=13080),(httpsPort=13443),(webReady=Yes),(flags=0x3),(bpl=XXXX),(qlinkHost=),(qlinkPort=)

我们可以看到QSAN NAS设备托管在内部网络管理接口和网络端口13080和13443,这对这些设备与记录管理界面。

Nessus,结果会是这个样子:

图片来源:成立,2023年7月

结论

接触管理接口极其宝贵的攻击者试图寻找到一个组织。虽然有几种方法来识别这些暴露的管理接口,我们强烈建议客户查看输出的三个SLP Nessus插件外部扫描。无论这些插件显示服务,尤其是上面的服务详细,调查列出的细节和检查ip和端口不暴露在互联网上。也检查信息暴露在SLP预计经常为你的组织,因为它不是。

许多最近的文章显示的重要性,保持安全管理接口:

• 固件漏洞在数以百万计的电脑黑客可以给超级用户身份
• 一些潜在的:糟糕的软件更新可以over-volt,砖远程服务器
• 行爆发后谁指责NordVPN说:我们的一个服务器被黑客通过远程管理工具
• F5,思科管理员:停止你正在做的事情并检查如果你需要安装这些补丁
• 研究人员发现安全性命令注入vuln Fortinet的web应用防火墙
• QCT服务器受到Pantsdown BMC的脆弱性
• 英伟达补丁AMI BMC漏洞影响几个主要供应商

发现暴露管理接口是困难的但是是现代攻击面管理的一个重要组成部分。中钢协打算扫描美国联邦政府机构和提醒他们的存在暴露的管理接口。有额外的方法来确定曝光将帮助所有组织了解敞口和提供额外的时间来纠正中钢协BOD的范围。此外,客户可以利用脆弱性管理的所有方面包括Nessus周边扫描,利用审计文件,利用站得住脚的攻击表面管理(原名Tenable.asm)。

了解更多

• 在这里读了中钢协BOD 23-02:https://www.cisa.gov/news-events/directives/binding-operational-directive-23-02
• 检查中钢协BOD 23-02实现指导:https://www.cisa.gov/news-events/directives/binding-operational-directive-23-02-implementation-guidance
• 检查站得住脚的安全中心(原Tenable.sc)乐队管理仪表板://www.yyueer.com/sc-dashboards/out-of-band-management